Polityka prywatności Serwisu EduPlaner (obowiązuje od 1 sierpnia 2025 r.)
Wersja 1.2 – 01.08.2025
1. Wprowadzenie
Niniejsza Polityka prywatności Serwisu EduPlaner („Serwis") wyjaśnia, w jaki sposób, na jakiej podstawie oraz przez jaki okres przetwarzamy dane osobowe użytkowników. Dokument sporządzono zgodnie z art. 13 RODO i art. 14 RODO.
2. Administrator danych
SENQUITY sp. z o.o. z siedzibą w Radomiu, ul. Kozia 16, 26-600 Radom, KRS 0001036693, NIP 7963018492, REGON 525332997 („Administrator"). Kontakt: kontakt@eduplaner.app lub korespondencyjnie na adres siedziby.
Uwaga: Szkoły i inne instytucje edukacyjne działają jako odrębni administratorzy danych dla danych uczniów i nauczycieli, które wprowadzają do systemu. Niniejsza polityka dotyczy danych przetwarzanych przez SENQUITY sp. z o.o. w ramach świadczenia usługi (np. dane kont administratorów szkół, analityka użytkowania).
3. Punkt kontaktowy ds. ochrony danych
W sprawach dotyczących ochrony danych osobowych prosimy o kontakt na dedykowany adres e-mail: iod@eduplaner.app. Informujemy, że Administrator nie wyznaczył formalnego Inspektora Ochrony Danych (IOD) na podstawie art. 37 RODO, ponieważ nie spełnia obligatoryjnych przesłanek. Niemniej, zapewniamy, że wszystkie zapytania dotyczące danych osobowych są obsługiwane z najwyższą starannością przez osoby posiadające odpowiednią wiedzę.
4. Cele, zakres i podstawy przetwarzania
| Cel | Zakres danych | Podstawa prawna | Okres przechowywania |
|---|---|---|---|
| Rejestracja konta szkoły | imię, nazwisko, e-mail, rola użytkownika | art. 6 ust. 1 lit. b RODO | czas trwania umowy + 6 lat (termin przedawnienia roszczeń) |
| Logowanie / uwierzytelnianie | e-mail, hash hasła, adres IP, nagłówek User-Agent, logi bezpieczeństwa | art. 6 ust. 1 lit. b RODO; art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes w zapewnieniu bezpieczeństwa) | czas trwania umowy + 6 lat (termin przedawnienia roszczeń) |
| Audyt bezpieczeństwa | adres IP, nagłówek User-Agent, znaczniki czasu | art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes w zapewnieniu bezpieczeństwa i dochodzeniu roszczeń) | przechowywane tak długo, jak jest to niezbędne do zapewnienia bezpieczeństwa lub dochodzenia roszczeń (zwykle ≤ 24 mies.) |
| Zarządzanie sesjami | tokeny JWT, identyfikator sesji | art. 6 ust. 1 lit. b RODO (realizacja umowy) | przechowywane do czasu wygaśnięcia sesji (najczęściej ≤ 7 dni) |
| Obsługa klienta (help‑desk) | treść korespondencji, identyfikatory konta, logi | art. 6 ust. 1 lit. f RODO (uzasadniony interes w obsłudze) | nie dłużej niż jest to konieczne do obsługi zapytania i ewentualnych roszczeń |
| Marketing e-mail (newsletter) | art. 6 ust. 1 lit. a RODO (zgoda) | do momentu wycofania zgody | |
| Obsługa płatności online (PayU) | e‑mail, identyfikator transakcji, nazwa placówki, NIP, kwota, adres IP | art. 6 ust. 1 lit. b RODO (wykonanie umowy) | 6 lat (wymogi ustawy o rachunkowości) |
Podanie danych oznaczonych jako wymagane jest niezbędne do założenia konta i korzystania z Serwisu; ich niepodanie uniemożliwi rejestrację. Pozostałe dane przekazywane są dobrowolnie.
5. Pliki cookie i podobne technologie
Serwis wykorzystuje niezbędne i analityczne pliki cookie. Podstawą zapisywania lub odczytywania informacji w urządzeniu końcowym jest art. 173–174 Prawa telekomunikacyjnego, natomiast późniejsze przetwarzanie danych osobowych — art. 6 ust. 1 lit. a lub f RODO.
| Typ cookie | Narzędzie | Cel | Retencja | Podstawa prawna |
|---|---|---|---|---|
| Niezbędne | Własne (autentyfikacja) | Utrzymanie sesji użytkownika | Do 7 dni | Art. 6 ust. 1 lit. b RODO |
| Analityczne | Obecnie wyłączone | Analiza ruchu (jeśli aktywowane) | Do 24 miesięcy | Art. 6 ust. 1 lit. f RODO |
Obecnie nie stosujemy plików cookie marketingowych ani pikseli podmiotów trzecich.
6. Przetwarzanie danych w sztucznej inteligencji
Na dzień publikacji niniejszej Polityki generowanie planów lekcji odbywa się w ramach własnej infrastruktury Serwisu; dane nie są przekazywane do podmiotów zewnętrznych w celu przetwarzania w sztucznej inteligencji.
7. Odbiorcy danych
Dane dotyczące płatności online są przekazywane do PayU S.A. (ul. Grunwaldzka 182, 60‑166 Poznań, KRS 0000274399), która działa jako niezależny administrator danych w zakresie obsługi transakcji. PayU otrzymuje wyłącznie dane niezbędne do realizacji płatności: e‑mail, identyfikator transakcji, nazwę i NIP placówki, kwotę oraz adres IP.
Dane mogą być ujawniane m.in. dostawcom usług IT (w szczególności Microsoft Azure oraz SENQUITY OÜ – zarządzanie infrastrukturą w UE) i usług analitycznych. Pełna lista podprocesorów znajduje się w Załączniku B (dostępnym pod adresem https://eduplaner.app/zalacznik-b). Jeżeli dane osobowe użytkowników (np. nauczycieli lub uczniów) są wprowadzane przez uprawnionych przedstawicieli szkoły, źródłem danych jest ta szkoła.
8. Przekazywanie danych poza EOG
Obecnie dane nie są przekazywane poza EOG. Dane przekazywane do PayU S.A. również są przetwarzane wyłącznie na terytorium Polski (EOG), więc nie wiążą się z transferem poza Europejski Obszar Gospodarczy. Dane administrowane przez OÜ pozostają na serwerach UE – brak transferu poza EOG. Jeżeli aktywowany zostanie moduł e-mail, dane mogą trafić do SendGrid (USA) – transfer zabezpieczony SCC 2021/914, Module 3. Podobnie w przypadku aktywacji płatności - PayU S.A. (Polska UE). Jeśli ulegnie to zmianie, transfer nastąpi wyłącznie na podstawie standardowych klauzul umownych UE (SCC) lub innego mechanizmu z Rozdziału V RODO. Użytkownik może otrzymać kopię tych zabezpieczeń na wniosek.
9. Prawa osób, których dane dotyczą
Dostęp, sprostowanie, usunięcie, ograniczenie, przeniesienie danych w formacie CSV/JSON, sprzeciw, wycofanie zgody — realizowane w ciągu 1 miesiąca. Termin odpowiedzi może zostać przedłużony o kolejne 2 miesiące (art. 12 ust. 3 RODO, z powiadomieniem użytkownika). Administrator może odmówić usunięcia danych, gdy ma prawny obowiązek dalszego przetwarzania (np. obowiązki podatkowe lub rachunkowe). Masz prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, lub do organu właściwego ze względu na miejsce zwykłego pobytu (art. 77 RODO). Użytkownik może także zażądać otrzymania kopii swoich danych w strukturyzowanym formacie lub ich przesłania do innego administratora (art. 20 RODO).
10. Usuwanie i anonimizacja danych
Po dezaktywacji konta dane osobowe są maskowane (imię, nazwisko i adres e-mail zastępowane pseudonimem) w możliwie najkrótszym czasie (nie dłużej niż 90 dni). Fizyczne usunięcie z baz produkcyjnych oraz nadpisanie kopii zapasowych następuje maksymalnie w ciągu kilku miesięcy od maskowania lub po upływie obowiązkowej retencji, o której mowa w § 4.
11. Zautomatyzowane decyzje
Nie stosujemy profilowania ani decyzji w pełni zautomatyzowanych w rozumieniu art. 22 RODO.
12. Środki bezpieczeństwa
Stosujemy odpowiednie środki techniczne i organizacyjne, obejmujące szyfrowanie danych w transmisji i spoczynku, geograficznie rozproszone kopie zapasowe oraz infrastrukturę w certyfikowanych centrach danych.
13. Zmiany Polityki
O planowanych zmianach poinformujemy e-mailowo i poprzez baner z odpowiednim wyprzedzeniem przed wejściem w życie.
14. Data wejścia w życie
1 sierpnia 2025 r.
Załącznik B – Lista zatwierdzonych pod-procesorów
| Nr | Pod-procesor | Usługa / funkcja | Jurysdykcja / DC | Podstawa transferu | Zakres danych |
|---|---|---|---|---|---|
| 1 | SENQUITY OÜ | DevOps, infrastruktura, hosting | Estonia (EOG) | EOG – brak transferu | Zarządzanie infrastrukturą w Azure UE |
| 2 | Microsoft Azure | Hosting, DB, Key Vault | UE North + DE | DPA (art. 28) | Wszystkie dane w bazie |
| 3 | SendGrid (Twilio)* | Poczta transakcyjna | USA | SCC Module 3 + US-EU Data Privacy Framework | e-mail i ID konta użytkownika |
- aktywowany tylko, gdy szkoła używa e-maili lub płatności.
Sprzeciw: e-mail na iod@eduplaner.app w ciągu 30 dni od powiadomienia.
Data ostatniej aktualizacji Załącznika B: 20.07.2025