Privaatsuspoliitika

1. Sissejuhatus

Tere tulemast Digiklassi! Meie jaoks on oluline kaitsta sinu privaatsust ja tagada isikuandmete turvalisus. See privaatsuspoliitika kirjeldab, milliseid andmeid me kogume, kuidas neid kasutame ja kaitseme.

Digiklassi haldab Nutistu OÜ (registrikood 14322776). Oleme nendele andmetele vastutav töötleja GDPR artikkel 4 lg 7 tähenduses.

2. Teenuse kasutusala ja meie roll

Digiklass on tasuta veebipõhine tööriistakogum, mis on mõeldud registreerunud kasutaja isiklikuks kasutamiseks. Esmane kasutajaskond on õpetajad oma õppetöös, kuid rakendusi saab samavõrra kasutada ka muudel eraelulistel või väikese ringi tegevuste eesmärkidel — näiteks meeskonnasündmusel, peo programmis, klubi tegevustes või muudes sarnastes olukordades. Kasutaja registreerib konto eraisikuna oma e-posti või Google/Microsoft kontoga.

Seanssides osalejad (näiteks mängijad, vastajad) Digiklassis kontot ei loo ega pea looma. Osaleja osaleb ainult kasutaja jagatud lingi või seansikoodi kaudu, valdavalt anonüümselt või enda valitud hüüdnime alt.

Digiklass ei ole mõeldud ühelegi asutusele (kool, ettevõte, ühing, MTÜ vms) selle töötajate, õpilaste või muude isikute isikuandmete töötlemise teenuseks. Me ei sõlmi GDPR artikkel 28 andmetöötluslepinguid ühegi asutusega ega esine asutuse volitatud töötlejana. Kui sinu asutus soovib isikuandmeid süsteemselt töödelda, palun kasuta selleks ette nähtud ametlikku platvormi.

Kasutaja vastutab selle eest, et tema poolt sisestatavad andmed (näiteks nimekirja loetletud isikute nimed) oleksid lubatud sisestada asjakohaste reeglite ja kohaldatava õiguse alusel.

3. Milliseid andmeid kogume

2.1 Sisselogimise andmed

Google'i või Microsoft'i kontoga sisselogimisel kogume järgmisi andmeid:

  • Konto ID (Google'i või Microsoft'i)
  • E-posti aadress
  • Nimi
  • Profiilipildi link
  • Konto loomise ja viimase sisselogimise aeg

E-posti ja parooliga registreerimisel kogume:

  • E-posti aadress
  • Nimi
  • Parool (salvestatakse krüpteeritud räsina, mitte lihttekstina)
  • E-posti kinnituse olek ja token
  • Konto loomise ja viimase sisselogimise aeg

2.2 Turvalisusega seotud andmed

Konto turvalisuse tagamiseks kogume:

  • Sisselogimiskatsete ajalugu (IP-aadress, ajatempel, õnnestumise staatus)
  • Parooli lähtestamise tokenid (ajutised, aeguvad automaatselt)
  • Konto lukustamise staatus (aktiveerub pärast 5 ebaõnnestunud sisselogimiskatset)

2.3 Õppetööga seotud andmed

Teenuse pakkumiseks salvestame kasutaja sisestatud või tema seanssides genereeritud sisu:

  • Nimekirjade (näiteks klassi, meeskonna, grupi) nimed
  • Nimekirja liikmete nimed (kasutaja sisestatud — soovitame kasutada eesnime, initsiaale või hüüdnime, kui pärisnime sisestamine pole vajalik)
  • Küsitluste, hääletuste, mängude ja viktoriinide vastused ja tulemused
  • Ürituste registreerimised

Mängudes ja küsitlustes osalejatelt me ei küsi ega salvesta e-posti aadressi, telefoninumbrit, sünniaega, profiilipilti, isikukoodi ega muid otseseid identifikaatoreid. Osalejate kohta salvestub ainult see, mida osaleja ise mängu/küsitluse alustamisel sisestab (näiteks hüüdnimi), pluss tehniline seansi-ID. Enamikus tööriistades on osaleja nime küsimine valikuline ja kasutaja saab selle välja lülitada.

2.4 Failide kogumine (Koguja)

Google Drive'i või Microsoft OneDrive'iga ühendatud failide kogumise funktsiooni kasutamisel salvestame:

  • Krüpteeritud pilveteenuse volitused (Google Drive või OneDrive)
  • Kogumissessioonide andmed (pealkiri, kirjeldus, kausta ID)
  • Failide metaandmed (nimi, suurus, tüüp)
  • Esitaja nimi (kui küsitud)
NB! Failide sisu salvestatakse teie Google Drive'i või OneDrive'i kontole, mitte meie serverisse.

2.5 Tehnilised andmed

Automaatselt kogume:

  • Sessiooniküpsised (sisselogimiseks, kehtivus 30 päeva)
  • Veebilehitseja ja seadme info
  • IP-aadress
  • Rakenduste kasutusstatistika (serveripoolne, ei kasuta küpsiseid ega kolmandaid osapooli)

2.6 Brauseri salvestusruum

Teie seadmesse salvestame:

  • Rakenduse kaartide järjekorra eelistused
  • Uudiskirja tellimise olek

4. Kuidas andmeid kasutame

  • Teenuse pakkumine: õppetööriistade ja funktsioonide tagamine
  • Sisselogimine: kasutajate tuvastamine ja kontode haldamine
  • Isikupärastamine: eelistuste meeldejätmine
  • Teavitused: oluliste uuenduste ja uudiskirja saatmine
  • Analüüs: rakenduste kasutusstatistika kogumine teenuse parandamiseks (serveripoolne, anonüümne)
  • Turvalisus: väärkasutuse tuvastamine ja ennetamine

5. Andmete turvalisus ja majutus

Rakendame järgmisi turvameetmeid:

  • Andmete salvestamine turvalistes andmebaasides
  • Paroolide turvaline räsimine (hashing)
  • Pilveteenuste volituste krüpteerimine (AES-256-CBC)
  • Turvalised küpsised (HttpOnly, Secure lipud)
  • HTTPS-ühendus andmete edastamisel
  • Sisselogimiskatsete piiramine (brute-force kaitse)
  • Konto automaatne lukustamine korduvate ebaõnnestunud katsete korral
  • E-posti aadressi kinnitamine registreerimisel
  • API päringute sageduse piiramine (rate limiting)
  • Regulaarsed turvauuendused

Majutus: Digiklassi serverid asuvad Opalstacki majutusteenuse Frankfurdi (Saksamaa) andmekeskuses. Andmed jäävad Euroopa Liidu piires.

Turvauuendused ja haavatavuste haldus: jälgime kasutatavate teekide ja serveritarkvara turvateateid ning rakendame uuendused mõistliku aja jooksul. Sõltuvuste haavatavuste jälgimine toimub avalike CVE-andmebaaside põhjal. Regulaarset välist turvatestimist (penetration testing) ei teosta — Digiklass on tasuta isiklikuks kasutamiseks mõeldud teenus.

Sisemine ligipääs: Digiklassi süsteemi ja andmebaasidele on ligipääs ainult Nutistu OÜ esindajal süsteemi halduse eesmärgil. Lisaks on majutuse teenusepakkujal (Opalstack) tehniline ligipääs serveriinfrastruktuurile.

Kuigi rakendame parimaid praktikaid, ei saa ükski süsteem tagada 100% turvalisust.

6. Isikuandmetega seotud rikkumised

Kui meile saab teatavaks isikuandmetega seotud rikkumine (näiteks andmete leke, volitamata juurdepääs, andmete kadu või muutmine), tegutseme järgmiselt:

  • Tuvastame ja dokumenteerime rikkumise olemuse, ulatuse ja võimalikud tagajärjed.
  • Hindame rikkumise tõenäolist mõju kasutajate õigustele ja vabadustele.
  • Kui rikkumine tõenäoliselt tekitab füüsiliste isikute õigustele ja vabadustele riski, teavitame Andmekaitse Inspektsiooni 72 tunni jooksul alates rikkumisest teadasaamisest (GDPR artikkel 33).
  • Kui rikkumine tõenäoliselt tekitab kõrge riski, teavitame ka mõjutatud kasutajaid põhjendamatu viivituseta nende registreeritud e-posti aadressil (GDPR artikkel 34).
  • Peame rikkumiste registrit, kuhu kanname kõik tuvastatud isikuandmetega seotud rikkumised koos asjaolude, tagajärgede ja võetud meetmetega.

Kui kahtlustad, et Digiklassi süsteemis on toimunud isikuandmetega seotud rikkumine, palun teavita meid kohe e-posti aadressil mikk@nutistu.ee.

7. Kolmandad osapooled

7.1 Google'i teenused

  • Google OAuth: sisselogimiseks, kui valite Google'iga sisselogimise (Google'i privaatsuspoliitika)
  • Google Drive: failide salvestamiseks, kui valite selle valiku

7.2 Microsoft'i teenused

  • Microsoft Azure AD / Entra ID: sisselogimiseks, kui valite Microsoftiga sisselogimise (Microsoft'i privaatsusavaldus)
  • Microsoft OneDrive: failide salvestamiseks, kui valite selle valiku

7.3 Sisuedastusvõrgud (CDN)

Lehekülje laadimisel tuuakse kirjatüübid ja veebiraamistikud järgmistest võrkudest. Need ei sea küpsiseid ega kogu isiklikke andmeid, kuid teenusepakkujad saavad näha teie IP-aadressi.

  • jsDelivr, cdnjs (Bulma, Font Awesome ja teised teegid)
  • Google Fonts (Inter kirjatüüp)

7.4 YouTube

Mõned rakendused (Kuldvillak, Viktoriin, Kiirviktoriin) võimaldavad kasutajal lisada YouTube'i videoid. Kasutame youtube-nocookie.com domeeni, mis ei sea jälgimisküpsiseid enne kui kasutaja video käivitab.

7.5 Majutusteenus

Opalstack (USA-s asuv ettevõte, serverid Frankfurdis, Saksamaal) pakub serverimajutust. Opalstackil on tehniline ligipääs Digiklassi andmebaasifailidele majutuse osana, kuid neil ei ole õigust andmeid muul eesmärgil kasutada.

8. Andmete jagamine

Me ei müü ega rendi teie andmeid. Andmeid jagame ainult:

  • Teie nõusolekul
  • Teenusepakkujatega: kes aitavad rakendust käitada (nt Google)
  • Seadusest tulenevalt: kohtu- või ametiasutuse nõudel
  • Õiguste kaitseks: meie või kasutajate õiguste, turvalisuse kaitseks

9. Sinu õigused

Euroopa Liidu isikuandmete kaitse üldmääruse (GDPR) alusel on sul õigus:

  • Tutvuda andmetega: saada koopia oma isikuandmetest
  • Parandada andmeid: nõuda ebatäpsete andmete parandamist
  • Kustutada andmeid: nõuda oma andmete kustutamist
  • Piirata töötlemist: keelata teatud andmetöötlus
  • Andmeid üle kanda: saada andmed masinloetaval kujul
  • Esitada vastuväiteid: keelata andmete töötlemine teatud eesmärkidel
  • Võtta nõusolek tagasi: igal ajal

Õiguste kasutamiseks võta meiega ühendust (vt §15). Sul on samuti õigus esitada kaebus Andmekaitse Inspektsioonile (www.aki.ee).

10. Andmete säilitamine

  • Kasutajakonto: kuni konto on aktiivne. Kustutame kuni 30 päeva jooksul pärast taotlust.
  • Nimekirjade andmed ja liikmete nimed: säilitatakse kuni kasutaja need kustutab või konto sulgeb.
  • Küsitluste, mängude, seansside andmed: kustuvad rakenduse-spetsiifilise loogika järgi — enamus seansipõhiselt (näiteks Foor, Klassitahvli vidinad, Lumememm), osa kuni kasutaja kustutab.
  • Pildid, helisalvestid, jagatud tekstid: 30 päeva, seejärel automaatne kustutamine.
  • Sessiooniandmed: 30 päeva pärast viimast aktiivsust.
  • Parooli lähtestamise ja e-posti kinnituse tokenid: aeguvad automaatselt tunni jooksul.
  • Sisselogimiskatsete logid: kuni 90 päeva.
  • Kogumissessioonid: kuni kasutaja kustutab või aeguvad.
  • Rakenduste anonüümne kasutusstatistika: kuni 24 kuud, seejärel anonüümsed kokkuvõtted.

Varukoopiad: andmebaaside ja failide varukoopiad teostab Opalstack majutusteenuse osana (vt Opalstacki dokumentatsiooni). Digiklass ise täiendavaid varukoopiaid ei loo. Konto kustutamise korral kustutame andmed produktsioonisüsteemist; majutaja varukoopiates kustuvad andmed nende rotatsioonigraafiku järgi.

Võid igal ajal taotleda oma konto ja andmete kustutamist.

11. Laste privaatsus

Konto saab luua ainult vähemalt 13-aastane kasutaja ning kasutustingimustega nõustumisel kinnitab kasutaja oma vanust.

Alaealised Digiklassis kontot ei loo. Kui kasutad Digiklassi koos alaealistega (näiteks tunnis õpilastega, treeningus, lastesündmusel või klubi tegevuses) nii, et nad osalevad mängudes või küsitlustes:

  • osalemine toimub anonüümselt või osaleja valitud hüüdnime alt;
  • kogutavad andmed on minimaalsed (seansipõhised vastused, valikuline hüüdnimi);
  • andmed kustuvad tüüpiliselt pärast seansi lõppu, sõltuvalt rakendusest.

Kasutaja vastutab selle eest, et alaealistega rakenduste kasutamine oleks kooskõlas asjakohaste reeglitega (näiteks kooli sisekord, sündmuse korraldaja juhised, vanemate teavitus). Kui kasutaja sisestab nimekirja alaealiste pärisnimed, soovitame eelnevalt konsulteerida vastutava poolega ning kaaluda hüüdnimede või initsiaalide kasutamist.

Kui sinu lapse andmeid on Digiklassi sisestatud ja soovid neid kustutada, võta meiega ühendust — kustutame andmed põhjendamatu viivituseta.

12. Küpsised

Digiklass kasutab ainult teenuse toimimiseks rangelt vajalikke küpsiseid — me ei kasuta jälgimis- ega reklaamiküpsiseid:

  • Sessiooniküpsis (PHPSESSID): sisselogimise meelespidamiseks (kehtivus 30 päeva)
  • CSRF-küpsis: vormide turvaliseks saatmiseks
  • Sisselogimise ümbersuunamise küpsis (login_redirect): ajutine küpsis, mis aegub sisselogimise järel

Kohalik salvestusruum (localStorage) kasutatakse teie seadmes teema (hele/tume režiim) ja rakenduste kaartide järjekorra eelistuste hoidmiseks — need ei lähe serverisse.

Kuna kasutame ainult rangelt vajalikke küpsiseid, ei vaja me küpsiste kasutamiseks eelnevat nõusolekut (EL ePrivacy direktiivi art 5(3) erand). Küpsiseid saate hallata brauseri seadetest, kuid see võib mõjutada rakenduse tööd.

13. Rahvusvahelised andmeedastused

Digiklassi peamised andmed (kasutajakonto andmed, klassinimekirjad, mängu- ja küsitlustulemused) majutame Opalstacki Frankfurdi (Saksamaa) andmekeskuses — andmed jäävad Euroopa Liidu piires.

Kasutaja valikuliselt kasutatavate kolmandate osapoolte (Google OAuth, Google Drive, Microsoft Entra ID, OneDrive, jsDelivr/cdnjs/Google Fonts, YouTube) puhul võivad andmed liikuda väljapoole EL-i (nt USA-sse). Need edastused toimuvad vastavate teenusepakkujate standardsete lepingutingimuste ja andmekaitseraamistike alusel. Kasutaja saab otsustada, kas neid kolmandaid osapooli kasutada — autentimine on alternatiivselt ka e-posti ja parooliga.

14. Muudatused

Võime seda poliitikat aeg-ajalt uuendada. Muudatustest teavitame:

  • Uuendades seda lehte ja kuupäeva
  • Oluliste muudatuste korral e-posti teel

15. Kontakt ja vastutav töötleja

Vastutav töötleja: Nutistu OÜ

Registrikood: 14322776

E-post: mikk@nutistu.ee

Veebileht: digiklass.ee

Küsimuste või taotluste korral võta ühendust ülaltoodud e-posti aadressil.

16. Kohaldatav õigus ja järelevalveasutus

See privaatsuspoliitika lähtub Eesti Vabariigi seadustest ning Euroopa Liidu isikuandmete kaitse üldmäärusest (GDPR). Järelevalveasutus on Andmekaitse Inspektsioon (www.aki.ee), kuhu on õigus esitada kaebus.

← Tagasi avalehele | Kasutustingimused | In English