Projekt (draft). Dokument wymaga weryfikacji prawnej przed komercjalizacją. Finalna wersja — z adwokatem, po podpisaniu DPA z Neon/Anthropic/Groq/Tpay/Fakturownia. Publikujemy szkielet, żeby wiedzieć jaką strukturę będziemy obsługiwać w aplikacji.
Ostatnia aktualizacja: 19.04.2026 · Wersja 0.1 (draft)
1. Kto jest administratorem
Administratorem danych jest [firma — do uzupełnienia], dalej „my”. W zakresie danych kursantów wprowadzanych do panelu przez OSK — administratorem jest OSK, a my jesteśmy procesorem (podmiotem przetwarzającym, art. 28 RODO).
2. Jakie dane zbieramy
- Przy rejestracji — e-mail, imię i nazwisko, NIP OSK
- W trakcie korzystania — dane wprowadzane do panelu (kursanci, jazdy, pojazdy, płatności, faktury, notatki)
- Automatycznie — adres IP, typ przeglądarki, logi zdarzeń, cookies niezbędne (sesja)
- Za zgodą — cookies analityczne (jeśli wyrazisz zgodę w bannerze)
3. Po co zbieramy
- Świadczenie usługi (art. 6 ust. 1 lit. b RODO)
- Fakturowanie i rachunkowość (art. 6 ust. 1 lit. c RODO)
- Obsługa zgłoszeń (art. 6 ust. 1 lit. f RODO)
- Analityka produktu — tylko za zgodą (art. 6 ust. 1 lit. a)
4. Podmioty, którym powierzamy dane (subprocesorzy)
| Dostawca | Cel | Lokalizacja |
|---|---|---|
| Neon | Baza danych (Postgres) | UE · Frankfurt |
| Anthropic | AI tutor (Claude) | USA · SCC |
| Groq | Transkrypcja głosowa | USA · SCC |
| Tpay | Płatności | Polska |
| Fakturownia | Faktury VAT / KSeF | Polska |
| IONOS | Hosting aplikacji | Niemcy |
| Mailgun/Resend | E-maile transakcyjne | UE / USA · SCC |
| SMSAPI | Powiadomienia SMS | Polska |
Dostawcy w USA mają podpisane Standardowe Klauzule Umowne (SCC) — to podstawa prawna transferu danych poza EOG zgodnie z art. 46 RODO.
5. Jak długo trzymamy
- Dane konta — przez czas aktywnej subskrypcji + 30 dni
- Karty zajęć — 24 miesiące (Dz.U. 2023/2659)
- Faktury — 5 lat (Ordynacja podatkowa)
- Logi audytowe — 12 miesięcy
6. Twoje prawa
- Dostęp do danych (art. 15 RODO)
- Sprostowanie (art. 16)
- Usunięcie — „prawo do bycia zapomnianym” (art. 17)
- Ograniczenie przetwarzania (art. 18)
- Przeniesienie danych (art. 20) — eksport CSV z panelu
- Sprzeciw (art. 21)
- Skarga do PUODO (uodo.gov.pl)
7. Kontakt w sprawach danych
Zgłoszenia dotyczące prywatności: rodo@napasie.pl. Odpowiadamy w ciągu 30 dni (termin z art. 12 ust. 3 RODO).