Polityka Prywatności
1. Administrator danych
Administratorem Twoich danych osobowych jest:
Aleksander Marciniak prowadzący działalność gospodarczą pod firmą
AM INFINITY VISIONARY,
wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG),
NIP: 7831936311,
adres: ul. Dojazdowa 2, 62-030 Luboń,
email: kontakt@czasnaexcela.pl.
W sprawach dotyczących ochrony danych osobowych możesz kontaktować się bezpośrednio z Administratorem pod powyższym adresem email. Administrator nie wyznaczył Inspektora Ochrony Danych (IOD) - zgodnie z art. 37 RODO nie ma takiego obowiązku w skali prowadzonej działalności.
2. Podstawa prawna i źródła informacji
Niniejsza Polityka opisuje przetwarzanie danych osobowych zgodnie z:
- RODO - rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.,
- UODO - ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 z późn. zm.),
- UŚUDE - ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344 t.j. z późn. zm.),
- Prawo komunikacji elektronicznej (PKE) - ustawa z dnia 12 lipca 2024 r., w zakresie plików cookies (art. 399) oraz marketingu elektronicznego (art. 398).
3. Jakie dane przetwarzamy i w jakim celu
| Cel | Zakres danych | Podstawa prawna | Okres retencji |
|---|---|---|---|
| Realizacja umowy o dostarczanie Kursu (konto, dostęp, postępy, notatki, pytania pod lekcjami) | email, imię, nazwisko, hasło (w postaci zahaszowanej), aktywność w kursie, notatki | art. 6 ust. 1 lit. b RODO (wykonanie umowy) | przez okres dostępu do Kursu + 3 lata po usunięciu konta (przedawnienie roszczeń z umowy) |
| Dokumentacja księgowa (faktury, ewidencja sprzedaży) | imię, nazwisko, adres rozliczeniowy, NIP (opcjonalnie), email, kwota, numer faktury | art. 6 ust. 1 lit. c RODO (obowiązek prawny - ustawa o rachunkowości, Ordynacja podatkowa) | 5 lat od końca roku obrachunkowego (art. 74 ust. 2 pkt 8 ustawy o rachunkowości) |
| Obsługa reklamacji i zgłoszeń DSA | email, imię, treść zgłoszenia, korespondencja | art. 6 ust. 1 lit. c RODO (obowiązek z UPK + DSA) i lit. f (uzasadniony interes - dowód w ew. postępowaniu) | do 3 lat po zakończeniu sprawy (przedawnienie) |
| Newsletter i marketing bezpośredni (mailingi o kursach i promocjach) | email, imię | art. 6 ust. 1 lit. a RODO (zgoda) + art. 398 PKE (zgoda na marketing elektroniczny) | do odwołania zgody (link „wypisz się" w każdym mailu) |
| Remarketing i pomiar skuteczności reklam (Meta Pixel) | identyfikator przeglądarki (_fbp, _fbc), zdarzenia (wyświetlenie strony, dodanie do koszyka, zakup), adres IP, kraj | art. 6 ust. 1 lit. a RODO (zgoda wyrażona w banerze cookies) | Meta Pixel: 90 dni - do odwołania zgody |
| Weryfikacja wystawców opinii (dyrektywa Omnibus) | email, numer zamówienia, treść opinii, imię + pierwsza litera nazwiska | art. 6 ust. 1 lit. c RODO (art. 4 ust. 2 pkt 3 UPK) i lit. f (jakość serwisu) | do momentu usunięcia opinii przez Kursanta lub 5 lat od wystawienia |
| Program partnerski (rozliczenia prowizji, śledzenie kliknięć, wypłaty) | email, imię, kod partnerski, kliknięcia (IP, user-agent, referrer), zamówienia powiązane, kwoty prowizji | art. 6 ust. 1 lit. b RODO (umowa partnerska) i lit. c (rozliczenia podatkowe) | 5 lat od końca roku obrachunkowego (rozliczenia) + 3 lata po rozwiązaniu umowy partnerskiej (roszczenia) |
| Certyfikaty ukończenia Kursu i ich publiczna weryfikacja | imię i nazwisko, tytuł Kursu, data ukończenia, unikalny identyfikator UUID | art. 6 ust. 1 lit. b RODO (umowa) i lit. a (publikacja - zgoda, odwoływalna) | bezterminowo (certyfikat jest trwałym dokumentem); publiczna weryfikacja - do czasu cofnięcia zgody przez Kursanta |
| Bezpieczeństwo Serwisu (logi zdarzeń bezpieczeństwa, limity zapytań, wykrywanie nadużyć) | adres IP, user-agent, typy akcji, znaczniki czasu | art. 6 ust. 1 lit. f RODO (uzasadniony interes - bezpieczeństwo systemów) | 12 miesięcy (logi bezpieczeństwa) / 1 godzina po wygaśnięciu okna (limity zapytań, usuwane automatycznie) |
| Dochodzenie i obrona roszczeń (w przypadku sporu sądowego) | wszystkie dane niezbędne do ustalenia, dochodzenia lub obrony roszczeń | art. 6 ust. 1 lit. f RODO (uzasadniony interes) | do upływu okresu przedawnienia roszczeń (zwykle 3 lata, dla roszczeń związanych z działalnością gospodarczą - 3 lata) |
| Geolokalizacja IP (weryfikacja terytorium - Polska) | adres IP (jednorazowo, nie zapisywany poza sesją) | art. 6 ust. 1 lit. f RODO (uzasadniony interes - przeciwdziałanie nadużyciom płatności) | tylko na czas sesji (dane nie są trwale zapisywane - po zamknięciu przeglądarki znikają) |
| Analityka - statystyki oglądalności (tylko po zgodzie cookies) | pseudonimowe identyfikatory cookie, zagregowane dane o odsłonach | art. 6 ust. 1 lit. a RODO (zgoda) | 14 miesięcy (domyślny okres Google Analytics 4) lub do odwołania zgody |
| Microsoft Clarity (analiza zachowania - nagrania sesji i mapy cieplne, po zgodzie cookies) | pseudonimowy identyfikator sesji, zdarzenia interakcji (kliknięcia, przewijanie, ruch kursora), typ urządzenia i przeglądarki, adres IP (maskowany), zanonimizowane nagranie sesji | art. 6 ust. 1 lit. a RODO (zgoda) | 90 dni od zebrania - do odwołania zgody |
4. Komu udostępniamy dane (odbiorcy)
Twoje dane udostępniamy wyłącznie podmiotom, które pomagają nam prowadzić Serwis. Każdy z tych podmiotów ma zawartą umowę powierzenia przetwarzania danych (art. 28 RODO) albo jest samodzielnym administratorem (art. 26 RODO - współadministratorzy lub art. 4 pkt 7 - odrębni administratorzy).
| Odbiorca | Rola | Dane | Lokalizacja |
|---|---|---|---|
| dhosting.pl sp. z o.o. (dhosting.pl/rodo) | Hosting serwera i bazy danych (procesor) | wszystkie dane przechowywane w systemie | Polska |
| BunnyWay d.o.o. (Bunny.net) (bunny.net/privacy) | Hosting i streaming wideo lekcji (procesor) | adres IP oraz dane techniczne połączenia podczas odtwarzania wideo | Słowenia (EOG); globalna sieć CDN |
| Stripe Payments Europe Ltd. (stripe.com/privacy) | Operator płatności (samodzielny administrator) | email, imię, nazwisko, adres rozliczeniowy, kwota, metoda płatności (numer karty NIE trafia na nasze serwery) | Irlandia (EOG) + USA (tylko dla transakcji wymagających) |
| inFakt sp. z o.o. (infakt.pl/polityka) | Wystawianie faktur (procesor) | imię, nazwisko, NIP, adres, email, pozycje faktury, kwoty | Polska |
| MailerLite Limited (mailerlite.com/legal/privacy) | Wysyłka newslettera i mailingów transakcyjnych (procesor) | email, imię (dla personalizacji) | Irlandia (EOG) + USA (Standard Contractual Clauses) |
| Google Ireland Ltd. (OAuth „Zaloguj przez Google") | Autoryzacja logowania (samodzielny administrator procesu OAuth) | email, imię, nazwisko, avatar, google_id - tylko dla Kursantów, którzy wybrali tę metodę logowania | Irlandia (EOG) |
| Meta Platforms Ireland Limited (facebook.com/privacy/policy) | Remarketing i pomiar skuteczności reklam Facebook/Instagram - wyłącznie po wyrażeniu zgody „marketing" w banerze cookies | identyfikator przeglądarki (_fbp, _fbc), zdarzenia na stronie (wyświetlenie, dodanie do koszyka, zakup), adres IP - Meta jest współadministratorem danych reklamowych (art. 26 RODO) | Irlandia (EOG) + USA (Data Privacy Framework) |
| Google Ireland Ltd. (Google Analytics 4) | Anonimowa analityka ruchu w Serwisie - wyłącznie po wyrażeniu zgody „analityka" w banerze cookies | pseudonimowy identyfikator (_ga), zdarzenia odsłon, źródło ruchu, zanonimizowany adres IP | Irlandia (EOG) + USA (Data Privacy Framework) |
| ip-api.com (dostępny również jako backup: ipinfo.io) | Weryfikacja kraju IP (procesor) | adres IP (jednorazowo, nie jest przez nas przechowywany) | Niemcy (serwery UE) - planowana migracja na lokalną bazę MaxMind GeoLite2 |
| Kancelaria prawna / księgowa (w razie potrzeby) | Obsługa prawna lub księgowa (procesor) | dane niezbędne do konkretnej sprawy | Polska |
| Microsoft Ireland Operations Ltd. (privacy.microsoft.com) - narzędzie Clarity | Analiza zachowania użytkowników - nagrania sesji i mapy cieplne (odrębny administrator) | zanonimizowane zdarzenia interakcji, dane techniczne urządzenia, nagranie sesji (po zgodzie) | Irlandia (EOG); możliwe transfery do USA na podstawie DPF / standardowych klauzul umownych |
| Organy państwowe (sąd, prokuratura, UODO, UOKiK) - tylko na żądanie | Odbiorcy na podstawie przepisów prawa | zakres wymagany przez organ | Polska |
Nie sprzedajemy Twoich danych. Udostępniamy je wyłącznie procesorom i współadministratorom wymienionym w tabeli powyżej, w zakresie niezbędnym do realizacji wskazanych celów. Reklamowe cookies (Meta Pixel) ładowane są tylko po wyrażeniu przez Ciebie zgody w banerze cookies - do tego czasu do tych podmiotów nie są przekazywane żadne dane. Zgodę możesz cofnąć w każdej chwili klikając „Ustawienia cookies" w stopce strony.
5. Transfer danych poza EOG
Co do zasady przetwarzamy dane w Polsce i w EOG. W niektórych przypadkach dostawcy usług (Stripe, MailerLite, Google, Meta) mogą transferować dane do USA. Takie transfery odbywają się wyłącznie na podstawie:
- Standardowych Klauzul Umownych (SCC) zatwierdzonych decyzją Komisji Europejskiej 2021/914,
- Data Privacy Framework (DPF) - dla dostawców certyfikowanych (m.in. Stripe, Google, Meta) - decyzja Komisji UE z 10 lipca 2023 r.
Certyfikacje Data Privacy Framework dostawców (Stripe, Google, Meta) są jawne - możesz je zweryfikować na liście prowadzonej przez Departament Handlu USA (dataprivacyframework.gov). Standardowe Klauzule Umowne stanowią część umów powierzenia zawartych z dostawcami. Informacji o stosowanych zabezpieczeniach (w tym sposobu uzyskania kopii odpowiednich klauzul) udzielimy na żądanie - napisz na kontakt@czasnaexcela.pl.
6. Twoje prawa
Zgodnie z RODO (art. 15-22) przysługują Ci następujące prawa:
- Prawo dostępu (art. 15) - możesz uzyskać informację czy przetwarzamy Twoje dane i w jakim zakresie,
- Prawo do sprostowania (art. 16) - możesz poprawić błędne dane,
- Prawo do usunięcia („prawo do bycia zapomnianym") (art. 17) - możesz żądać usunięcia danych, o ile nie stoi to w sprzeczności z obowiązkami prawnymi (np. faktury musimy trzymać 5 lat),
- Prawo do ograniczenia przetwarzania (art. 18),
- Prawo do przenoszenia danych (art. 20) - otrzymasz dane w formacie JSON/CSV,
- Prawo sprzeciwu (art. 21) - wobec przetwarzania opartego na art. 6 ust. 1 lit. f (uzasadniony interes), w tym wobec marketingu bezpośredniego,
- Prawo do cofnięcia zgody w dowolnym momencie - nie wpływa to na zgodność z prawem przetwarzania, które miało miejsce przed cofnięciem.
Aby skorzystać z tych praw, napisz na kontakt@czasnaexcela.pl. Odpowiadamy w ciągu 30 dni (art. 12 ust. 3 RODO), a w złożonych sprawach do 90 dni z informacją o przedłużeniu.
Prawo skargi do organu nadzorczego. Jeżeli uważasz, że przetwarzanie Twoich
danych narusza RODO, możesz wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych:
UODO, ul. Stawki 2, 00-193 Warszawa, tel. 22 531-03-00,
uodo.gov.pl.
7. Pliki cookies
Serwis używa plików cookies oraz podobnych technologii (localStorage) w następujących kategoriach. Twoją decyzję z banera cookies zapisujemy w pamięci przeglądarki (localStorage, klucz cne_consent, ok. 12 miesięcy) i dodatkowo rejestrujemy w naszej bazie jako dowód udzielenia lub odmowy zgody.
| Kategoria | Wymagane? | Cel | Przykłady | Okres |
|---|---|---|---|---|
| Niezbędne | Tak (nie wymagają zgody) | Utrzymanie sesji i logowania, koszyka, ochrona przed CSRF (token przechowywany po stronie serwera w sesji, nie jako osobny plik cookie), zapamiętanie kodu partnera | PHPSESSID, ref (kod partnerski) |
Sesja (PHPSESSID) / 30 dni (ref) |
| Analityczne | Nie (po zgodzie) | Anonimowe statystyki odwiedzin, źródła ruchu, zachowanie użytkowników | Google Analytics 4 (_ga, _ga_*) - GA4 nie przechowuje pełnych adresów IP. Ładowane wyłącznie po zgodzie w banerze. |
14 miesięcy (GA4 domyślne ustawienie) |
| Marketingowe | Nie (po zgodzie) | Remarketing, pomiar skuteczności reklam, personalizacja reklam na Facebook/Instagram | Meta Pixel (_fbp, _fbc). Ładowane wyłącznie po zgodzie w banerze. |
Meta Pixel: 90 dni |
Zarządzanie zgodami. Swoje preferencje dotyczące plików cookies możesz w każdej chwili zmienić: Otwórz ustawienia cookies. Możesz też zablokować cookies w ustawieniach swojej przeglądarki - wpłynie to na funkcjonowanie Serwisu (niezbędne cookies są wymagane do działania sklepu i logowania).
8. Bezpieczeństwo danych
Stosujemy odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo Twoich danych, adekwatne do ryzyka (art. 32 RODO) - w tym m.in. szyfrowanie transmisji (HTTPS/TLS), przechowywanie haseł wyłącznie w postaci zahaszowanej oraz kontrolę dostępu opartą na zasadzie najmniejszego uprawnienia. Szczegółowej konfiguracji zabezpieczeń nie ujawniamy publicznie ze względów bezpieczeństwa.
Zgłaszanie incydentów. Jeżeli zauważysz coś podejrzanego (np. nieautoryzowane logowanie na Twoje konto, dziwne emaile rzekomo od nas), napisz natychmiast na kontakt@czasnaexcela.pl. Incydent naruszenia danych zgłaszamy do UODO w ciągu 72 godzin (art. 33 RODO) i powiadamiamy poszkodowane osoby, jeżeli istnieje wysokie ryzyko dla ich praw i wolności (art. 34 RODO).
9. Profilowanie i decyzje automatyczne
Nie prowadzimy profilowania w rozumieniu art. 22 RODO, tj. nie podejmujemy decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), które miałyby skutki prawne lub istotnie wpływały na Ciebie.
Wyjątek: zautomatyzowana, czasowa blokada konta po wielokrotnych nieudanych próbach logowania - jest to środek bezpieczeństwa; w każdej chwili możesz się skontaktować z nami w celu ręcznego odblokowania.
10. Dane dzieci
Serwis jest skierowany do osób pełnoletnich oraz do osób powyżej 16. roku życia za zgodą opiekuna prawnego. Nie zbieramy świadomie danych od osób poniżej 16. roku życia. Jeżeli dowiesz się, że dziecko poniżej 16 lat przekazało nam swoje dane bez zgody opiekuna - napisz na kontakt@czasnaexcela.pl, niezwłocznie usuniemy te dane.
11. Publiczna weryfikacja certyfikatów
Pod adresem /certyfikat?uid=<UUID> publikujemy publiczną stronę weryfikacji
certyfikatu, zawierającą:
- imię i nazwisko Kursanta,
- tytuł ukończonego Kursu,
- datę ukończenia,
- unikalny identyfikator UUID.
Email NIE jest publikowany - publicznie udostępniamy imię i nazwisko, tytuł Kursu, datę ukończenia oraz identyfikator UUID. Publiczną weryfikację możesz
wyłączyć w ustawieniach konta (sekcja „Certyfikaty") - po wyłączeniu strona
/certyfikat?uid=… nie prezentuje danych certyfikatu.
12. Program partnerski - szczególne informacje
Jeżeli korzystasz z Serwisu po kliknięciu w link partnerski (/ref/KOD) lub jeśli
sam zapisałeś się do programu partnerskiego, przetwarzamy dodatkowo:
- Twój adres IP, user-agent i stronę z której przyszedłeś (referrer) - zapisywane w tabeli
affiliate_clicksna potrzeby rozliczenia prowizji z partnerem, - powiązanie ewentualnego zakupu z kodem partnerskim - przez 30 dni od kliknięcia (cookie
ref).
Partnerzy (autorzy kodów) widzą tylko zagregowane statystyki: liczba kliknięć, liczba zakupów, kwoty prowizji. NIE widzą Twoich danych osobowych (imienia, emaila, adresu IP).
13. Zmiany Polityki Prywatności
- Polityka może być aktualizowana w przypadku zmian prawa, funkcjonalności Serwisu lub listy odbiorców danych.
- O istotnych zmianach (np. dodanie nowego odbiorcy, zmiana podstaw prawnych) informujemy mailowo co najmniej 14 dni przed wejściem w życie.
- Archiwum poprzednich wersji: /legal/archive.
Kontakt w sprawach prywatności: kontakt@czasnaexcela.pl. Staramy się odpowiadać w ciągu 3 dni roboczych.