Wstecz

Dokument prawny

Polityka prywatności

Obowiązuje od: {{EFFECTIVE_DATE}}

⚠️ Wersja robocza — niniejszy dokument zawiera placeholdery oznaczone {{...}}. Przed publikacją wymaga finalnej treści od działu prawnego fire-gem. Nie jest to wiążąca umowa.

Niniejsza Polityka prywatności opisuje, w jaki sposób Cerium ({{COMPANY_NAME}}, {{COMPANY_ADDRESS}}, NIP: {{COMPANY_NIP}}) przetwarza Twoje dane osobowe.

1. Administrator danych

Administratorem Twoich danych osobowych jest {{COMPANY_NAME}} z siedzibą w {{COMPANY_ADDRESS}}, NIP: {{COMPANY_NIP}}, KRS: {{COMPANY_KRS}}.

Kontakt w sprawach RODO: {{DPO_EMAIL}} (Inspektor Ochrony Danych) lub {{EMAIL_KONTAKT}}.

W przypadku korzystania z Cerium jako oprogramowania szkoły — szkoła pełni rolę odrębnego administratora danych swoich uczniów/rodziców/nauczycieli, a Cerium pełni rolę procesora (umowa powierzenia/DPA dostępna w panelu).

2. Jakie dane zbieramy

Dane konta: imię, nazwisko, adres e-mail, hasło (zaszyfrowane bcrypt), rola w organizacji.

Dane szkoły: nazwa, NIP, adres, dane do faktury.

Dane operacyjne: lekcje, oceny, frekwencja, notatki, faktury, wiadomości, materiały — wprowadzane przez Użytkowników.

Dane techniczne: adres IP, identyfikator sesji, rodzaj przeglądarki, znacznik czasu logowania (przechowywane w tabeli login_audit_logs przez {{IP_RETENTION_DAYS}} dni — dla bezpieczeństwa konta).

Dane płatności: obsługiwane wyłącznie przez Stripe Payments Europe Ltd. — Cerium nie przechowuje numerów kart.

Cookies: zob. sekcja 8.

3. Cele przetwarzania i podstawy prawne

Świadczenie usługi (art. 6 ust. 1 lit. b RODO — wykonanie umowy): obsługa konta, lekcje, faktury, komunikacja.

Bezpieczeństwo (art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes): logi loginów, monitoring nadużyć.

Marketing własny (art. 6 ust. 1 lit. f RODO): wyłącznie dla istniejących Użytkowników, w zakresie ulepszania usługi. Możesz w każdej chwili wyrazić sprzeciw.

Newsletter (art. 6 ust. 1 lit. a RODO): wyłącznie po wyraźnej zgodzie. Zgoda możliwa do wycofania w każdej chwili.

Wypełnienie obowiązków prawnych (art. 6 ust. 1 lit. c RODO): księgowość, podatki, KSeF.

4. Okres przechowywania

Dane konta: przez okres trwania umowy + 90 dni po jej zakończeniu (archiwum), następnie trwałe usunięcie.

Faktury i dane księgowe: 5 lat (zgodnie z ustawą o rachunkowości).

Logi loginów (IP, user-agent): {{IP_RETENTION_DAYS}} dni, następnie automatyczne usunięcie.

Dane przy reklamacji: do 3 lat od wniesienia reklamacji (terminy prekluzyjne).

Backupy bazy danych: rotacja z okresem maksymalnie 30 dni.

5. Odbiorcy danych (procesorzy)

Stripe Payments Europe Ltd. (Irlandia) — przetwarzanie płatności kartą; transfer poza EOG do Stripe Inc. (USA) na podstawie standardowych klauzul umownych SCC.

Hetzner Online GmbH (Niemcy) — hosting bazy danych, plików (S3) oraz serwera Jitsi (lekcje wideo). Brak transferu poza EOG.

Zoho Corporation (ZeptoMail, UE) — wysyłka transakcyjnych e-maili (powiadomienia, hasła). Brak transferu poza EOG.

Cloudflare, Inc. (USA) — CDN i Cloudflare Tunnel (proxy ruchu HTTPS). Transfer poza EOG na podstawie SCC oraz DPF.

fire-gem.com (Polska) — operator techniczny Cerium, na podstawie umowy powierzenia.

6. Twoje prawa

Prawo dostępu do danych (art. 15 RODO).

Prawo do sprostowania (art. 16 RODO).

Prawo do usunięcia (art. 17 RODO) — z wyłączeniem danych, których przechowywanie wynika z obowiązków prawnych (np. faktury).

Prawo do ograniczenia przetwarzania (art. 18 RODO).

Prawo do przenoszenia danych (art. 20 RODO).

Prawo do sprzeciwu (art. 21 RODO) — dotyczy przetwarzania na podstawie prawnie uzasadnionego interesu.

Prawo do wycofania zgody w dowolnym momencie (art. 7 ust. 3 RODO).

Prawo do wniesienia skargi do Prezesa UODO (https://uodo.gov.pl).

7. Jak skorzystać z praw

Wyślij e-mail na adres {{DPO_EMAIL}} z opisem żądania.

Odpowiadamy w terminie 30 dni — w wyjątkowych przypadkach przedłużonym do 90 dni (z informacją do Ciebie).

Realizacja jest bezpłatna — z wyjątkiem żądań nieuzasadnionych lub nadmiernych (wtedy możemy pobrać uzasadnioną opłatę administracyjną).

8. Cookies

Cerium używa plików cookies w dwóch kategoriach:

Cookies niezbędne (zawsze aktywne): sesja zalogowanego Użytkownika (next-auth), przełączanie tenanta (activeTenantId), zgoda na cookies (cerium-cookie-consent).

Cookies analityczne (opcjonalne, wymagają zgody): obecnie nie są aktywne — w przyszłości GA4/Meta Pixel z Consent Mode v2.

Możesz w dowolnej chwili zmienić swoją decyzję poprzez wyczyszczenie ustawień cookies w przeglądarce — baner pojawi się ponownie.

9. Bezpieczeństwo

Hasła zaszyfrowane bcrypt (10 rund).

Połączenie HTTPS (TLS 1.3) — wszystkie endpointy.

Rate limiting na endpointach krytycznych (login, kontakt, support, chat).

Izolacja tenantów na poziomie zapytań SQL (filtrowanie po tenantId).

Codzienne backupy bazy danych z rotacją 30-dniową.

Monitoring naruszeń (login_audit_logs, limit_events).

10. Kontakt

W sprawach związanych z polityką prywatności pisz na: {{DPO_EMAIL}}.

Adres korespondencyjny: {{COMPANY_NAME}}, {{COMPANY_ADDRESS}}.

Pełna treść Polityki obowiązuje od dnia {{EFFECTIVE_DATE}}.

WsteczSkontaktuj się