Polityka prywatności serwisu PlanJazd

1. Wprowadzenie i zakres dokumentu

1. Niniejsza Polityka prywatności określa zasady przetwarzania danych osobowych w związku z korzystaniem z serwisu internetowego i oprogramowania PlanJazd (dalej: "Serwis”), prowadzonego przez TYNZA DAWID FURTAK (dalej: "Operator” lub "Administrator platformy”), z uwzględnieniem roli Szkoły jazdy (dalej: "Szkoła”) jako odrębnego podmiotu prowadzącego działalność szkoleniową.
2. Polityka ma charakter informacyjny w rozumieniu art. 13 i 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, w zakresie, w jakim Operator przetwarza dane jako administrator lub przekazuje informacje o swoim przetwarzaniu jako podmiot przetwarzający we wskazanych obszarach.
3. W zakresie danych kursantów, dokumentów szkoleniowych i innych informacji wprowadzanych przez Szkołę do warstwy operacyjnej konta Szkoły, pierwszeństwo w kształtowaniu klauzul informacyjnych dla osób, których dane dotyczą, oraz ustalaniu podstaw prawnych biznesowych może przysługiwać Szkole jako administratorowi danych — przy czym faktyczny podział ról zależy od konkretnego obszaru przetwarzania i jest szczegółowo wyjaśniony w niniejszym dokumencie oraz w Umowie powierzenia przetwarzania danych (DPA).
4. Korzystanie z Serwisu jest dobrowolne, jednakże odmowa podania danych niezbędnych do założenia konta lub realizacji usługi może uniemożliwić świadczenie usługi zgodnie z przeznaczeniem Serwisu.

2. Dwie warstwy logiczne danych w systemie

1. Warstwa centralna (platformowa) obejmuje dane i procesy związane z utrzymaniem platformy PlanJazd, rejestracją Szkoły, rozliczeniami pomiędzy Szkołą a Operatorem (jeśli występują), globalnymi ustawieniami bezpieczeństwa, logami incydentów o zasięgu ponadszkolnym, obsługą kont administracyjnych personelu Operatora oraz innymi czynnościami niezbędnymi do prowadzenia SaaS.
2. Warstwa operacyjna Szkoły obejmuje dane prowadzone wyłącznie w interesie organizacyjnym danej Szkoły: kursantów, pracowników, instruktorów (w zakresie danych szkoleniowych i grafiku), harmonogramy jazd, pojazdy, rozliczenia wewnętrzne Szkoły, dokumenty, notatki, treści komunikatora wewnętrznego (jeśli funkcja występuje) oraz dane z publicznych formularzy zapisu skonfigurowanych dla tej Szkoły.
3. Dane warstwy operacyjnej są logicznie izolowane tak, aby osoby upoważnione przez Szkołę "A” nie uzyskiwały w ramach standardowego działania Panelu dostępu do danych Szkoły "B”. Wyjątki wynikają wyłącznie z działań technicznych Operatora (np. naprawa awarii), nakazów organów lub przepisów prawa.

3. Role administratorów i podmiotów przetwarzających — wyjaśnienie dla Szkoły i kursanta

1. Dane konta Szkoły u Operatora (identyfikacja Szkoły, dane kontaktowe osoby reprezentującej, NIP, parametry rozliczeniowe z Operatorem, status konta, ograniczenia usług): typowo przetwarzane są przez Operatora jako administratora danych w celu zawarcia i wykonania umowy o świadczenie usług drogą elektroniczną oraz spełnienia obowiązków prawnych.
2. Dane kursantów prowadzone przez Szkołę w Serwisie: typowo Szkoła jest administratorem danych, a Operator działa jako podmiot przetwarzający na podstawie art. 28 RODO i DPA, realizując polecenia Szkoły wyrażane przez czynności w Panelu (np. dodanie kursanta, wysłanie przypomnienia, eksport).
3. W szczególnych obszarach hybrydowych (np. wspólne cele bezpieczeństwa platformy, analityka zagregowana, przeciwdziałanie nadużyciom) strony mogą występować jako współadministratorzy lub przetwarzać dane na odrębnych podstawach — wtedy informacja o tym fakcie jest podawana explicite w danym podrozdziale.
4. Tablica poglądowa (bez zastąpienia indywidualnej oceny prawnej):

Obszar danych	Typowy administrator	Typowy podmiot przetwarzający
Rejestracja i rozliczenia Szkoły z Operatorem	Operator	podwykonawcy hostingu, płatności (jeśli dotyczy)
Dane kursanta, grafik, dokumenty szkoleniowe	Szkoła	Operator (jako procesor) oraz podwykonawcy wskazani w DPA
Logi bezpieczeństwa przy logowaniu do Panelu	Operator i/lub Szkoła (zależnie od implementacji)	podmioty świadczący hosting, monitoring
Formularz publiczny Szkoły	Szkoła	Operator jako procesor

4. Kategorie osób, których dane mogą być przetwarzane

1. Właściciele i pracownicy administracji Szkoły — dane konta, uprawnienia, dane kontaktowe, identyfikatory w systemie, czasem dane kadrowe w zakresie niezbędnym do korzystania z Serwisu.
2. Instruktorzy — dane identyfikacyjne i kontaktowe, powiązania z grafikiem, pojazdami, ewentualnie oceny lub notatki służbowe wprowadzone przez Szkołę.
3. Kursanci — dane rejestracyjne, dokumenty tożsamości, PESEL (jeśli zbierany), dane opiekunów dla osób małoletnich, adresy, dane o płatnościach i zaległościach, postępy, statusy, notatki Szkoły.
4. Osoby zapisujące się przez stronę lub landing Szkoły — imię, nazwisko, kontakt, treść wiadomości, znaczniki kampanii (UTM itp.), jeśli są zbierane w konfiguracji formularza.
5. Osoby zakładające konto próbne (demo) — dane formularza publicznego (np. nazwa szkoły, e-mail, NIP, miasto), adres IP, identyfikatory prób rejestracji, kody weryfikacyjne.
6. Odwiedzający strony logowania i formularze — adres IP, identyfikatory sesji, nagłówki przeglądarki, logi serwera i aplikacji, pliki cookies zgodnie z ustawieniami.
7. Użytkownicy korzystający z pomocy technicznej — treść zgłoszenia, załączniki, metadane (czas, kanał), które mogą zawierać dane osobowe przekazane dobrowolnie.

5. Jakie dane są zbierane — według sytuacji (szczegółowy katalog)

5.1. Konto użytkownika Panelu (administrator Szkoły, pracownik, instruktor z loginem, kursant z loginem)

• Identyfikatory: imię, nazwisko, często adres e-mail, numer telefonu (jeśli podany), adres (jeśli zbierany w procesie).
• Dane uwierzytelniające: hasło przechowywane w formie zabezpieczonej (nie w postaci jawnej), ewentualnie drugi składnik uwierzytelnienia.
• Atrybuty roli: rola w ramach konta Szkoły, zakres uprawnień, przynależność do oddziału (jeśli występuje).
• Preferencje: język interfejsu, ustawienia powiadomień e-mail lub push (jeśli włączone).
• Zgody: rejestr zgód może obejmować treść zgody, czas, wersję klauzuli, adres IP lub identyfikator urządzenia (w zakresie technicznie możliwym i proporcjonalnym).

5.2. Szkoła jako podmiot w systemie

• Nazwa, NIP, często REGON, adres, dane kontaktowe, identyfikatory konta.
• Informacje o okresie próbnym, ograniczeniach (np. brak SMS w wersji demo), flagach technicznych.
• Ewentualne notatki wewnętrzne Operatora dotyczące obsługi relacji kontraktowej (jeśli moduł CRM jest używany).

5.3. Kursant — zakres typowy (zależnie od wypełnienia pól przez Szkołę)

• Numer ewidencyjny kursanta w szkole, kategoria kursu, statusy (aktywny, zawieszony, zakończony).
• Dane dokumentu tożsamości, numer PESEL (jeśli przetwarzany), data urodzenia, obywatelstwo.
• Adres zamieszkania i korespondencyjny, dane opiekuna prawnego.
• Numer PKK, informacje o płatnościach (kwoty, raty, zaległości), harmonogram jazd, wyniki egzaminów wewnętrznych lub statusy (wg konfiguracji).
• Notatki biurowe lub prywatne wprowadzone przez uprawnionych pracowników Szkoły.
• Odniesienia do plików lub skanów dokumentów (jeśli moduł przechowywania plików jest używany).

5.4. Zapis na kurs przez publiczny link

• Dane zdefiniowane w konfiguracji formularza Szkoły (np. imię, nazwisko, telefon, e-mail, kategoria, treść pytania).
• Metadane: czas zgłoszenia, adres IP, ewentualnie identyfikator kampanii.
• Weryfikacja e-mail może generować dodatkowe zdarzenia (kody, czas ważności).

5.5. Formularz demo dla szkoły

• Nazwa szkoły, e-mail, NIP, miasto, adres IP, licznik prób, kody weryfikacyjne, identyfikatory sesji.
• Przy podejrzeniu nadużyć: informacje mogą trafić do kanału operacyjnego Operatora (np. alert z agregacją techniczną zdarzenia).

5.6. Aktywacja i kreator onboardingu

• E-mail, opcjonalnie telefon, adres IP i informacje o przeglądarce z momentu aktywacji, postęp kroków, znaczniki akceptacji dokumentów.

5.7. Grafik, jazdy, komunikacja operacyjna

• Terminy, miejsca odbioru (jeśli wpisane), przypisanie do instruktora i pojazdu, statusy realizacji, notatki, ewentualnie mechanizmy akceptacji przez kursanta (jeśli funkcja istnieje).
• SMS (model integracyjny): numer odbiorcy, treść, identyfikator żądania i ewentualnie odpowiedź API u zewnętrznego operatora SMS wybranego przez Szkołę; status doręczenia (jeśli zwracany przez dostawcę). Operator PlanJazd nie jest operatorem SMS i nie rozlicza Szkoły „per SMS” — rozliczenia wynikają z umowy Szkoły z danym dostawcą.
• E-mail: adres, treść, nagłówki techniczne, statusy odbioru (jeśli dostępne).
• Komunikator wewnętrzny: treść wiadomości, nadawca, odbiorca, czas.

5.8. Powiadomienia push w przeglądarce

• Token lub identyfikator subskrypcji przypisany do urządzenia/przeglądarki, preferencje kanału.

5.9. Płatności

• Dane niezbędne do obsługi rozliczeń w Serwisie: kwoty, statusy, identyfikatory transakcji po stronie Operatora lub integracji.
• Szczegółowe dane kart lub instrumentów płatniczych mogą być przetwarzane wyłącznie u dostawcy płatności zgodnie z jego regulaminem.

5.10. Funkcje sztucznej inteligencji (jeśli włączone)

• Dane wejściowe do modelu (np. zestawienie terminów, opisy dostępności, pseudonimizacja lub brak pseudonimizacji — zależnie od konfiguracji).
• Przy modelu zewnętrznym może dojść do transferu danych poza EOG — wtedy stosuje się mechanizmy przewidziane Rozdziałem V RODO (np. klauzule standardowe), o ile transfer następuje.

5.11. Rejestr zgód i audyt zmian

• Historia zgód i ich wycofań, identyfikacja użytkownika lub kontekstu udzielenia.
• Logi audytowe istotnych zmian (kto, co, kiedy) dla rozliczalności i bezpieczeństwa.

5.12. Wsparcie techniczne

• Treść zgłoszenia, załączniki, metadane, które mogą zawierać dane wrażliwe — przetwarzane w celu udzielenia pomocy i rozpatrzenia reklamacji.

5.13. Integracja SMS w Panelu szkoły (własne konto API)

1. Szkoła może w obszarze Integracje podłączyć własne konto u zewnętrznego dostawcy SMS (m.in. w danej wersji Serwisu: SMSAPI, SMSAPI International, TextBee, SerwerSMS, SMS Planet, JustSend, SMS Center (Mobitex), BulkGate, Apifonica, Messente, Twilio, Vonage (Nexmo), Bird (MessageBird), Infobip, Plivo, Telnyx, ClickSend, Bandwidth, TextMagic, CM.com — aktualny wybór w interfejsie ma pierwszeństwo).
2. Dane dostępowe (klucze API, tokeny, hasła) są zapisywane wyłącznie w bazie danych przypisanej do konta Szkoły, w formie zaszyfrowanej (kryptografia symetryczna po stronie aplikacji), i służą wyłącznie do wywołań API wskazanego dostawcy w celu wysyłki zleconej przez Szkołę.
3. Administrator danych w zakresie numerów i treści SMS do kursantów pozostaje Szkoła; dostawca SMS działa jako odbiorca na podstawie umowy Szkoły z tym dostawcą. Operator przetwarza te dane jako podmiot przetwarzający w granicach opisanych w DPA.
4. Koszty wiadomości SMS wynikają wyłącznie z cennika i rozliczeń Szkoły u wybranego dostawcy; PlanJazd nie pośredniczy finansowo w zakupie pakietów SMS.

6. Cele przetwarzania i podstawy prawne (RODO)

1. Świadczenie usługi PlanJazd — art. 6 ust. 1 lit. b RODO (wykonanie umowy).
2. Obowiązki prawne — art. 6 ust. 1 lit. c RODO (np. odpowiedzi na żądania organów, przechowywanie dokumentacji zgodnie z przepisami).
3. Prawnie uzasadniony interes Operatora — art. 6 ust. 1 lit. f RODO, np. bezpieczeństwo IT, ochrona przed nadużyciami, dochodzenie roszczeń, analityka zagregowana — po przeprowadzeniu testu równowagi interesów, o ile wymaga tego prawo.
4. Zgoda — art. 6 ust. 1 lit. a RODO, dla działań dobrowolnych (np. marketing elektroniczny niezbędny do zgody, newsletter, opcjonalne cookies).
5. W odniesieniu do szczególnych kategorii danych (jeśli kiedykolwiek przetwarzane w Serwisie) — wyłącznie na podstawie art. 9 RODO, jeśli przepis szczególny lub wyraźna zgoda to uzasadnia.

7. Odbiorcy danych i kategorie podwykonawców

1. Operator może powierzać przetwarzanie podwykonawcom (m.in. hosting i infrastruktura serwerowa, operatorzy warstwy brzegowej sieci / CDN, ochrona przed nadużyciami, Google (reCAPTCHA) w wybranych formularzach, poczta, płatności, monitoring, kopie zapasowe, ewentualnie dostawcy modeli SI). Dostawcy SMS przy wysyłce z konta Szkoły działają na podstawie relacji Szkoła–dostawca; Operator uruchamia wyłącznie techniczne przekazanie treści do API skonfigurowanego przez Szkołę. Umowy z podwykonawcami zapewniają poziom ochrony co najmniej równy wymaganiom art. 28 RODO, o ile dany podmiot działa jako podmiot przetwarzający po stronie Operatora.
2. Lista aktywnych kategorii podwykonawców może być utrzymywana jako załącznik do DPA lub dokument wewnętrzny udostępniany Szkołom na żądanie, z uwzględnieniem tajemnicy przedsiębiorstwa i bezpieczeństwa.

7.1. Hosting i infrastruktura serwerowa — OVHcloud (OVH)

1. Utrzymanie Serwisu PlanJazd opiera się w praktyce na infrastrukturze OVHcloud (OVH), w szczególności na serwerach wirtualnych (VPS) lub równoważnych usługach chmurowych typu IaaS oferowanych przez tego dostawcę.
2. U OVH utrzymywane są m.in. środowisko aplikacji, bazy danych (lub ich części), mechanizmy kolejkowania, a także — w zakresie faktycznie wdrożonym — kopie zapasowe i narzędzia utrzymaniowe.
3. OVH Groupe SAS ma siedzibę we Francji (Unia Europejska). Dane zapisywane w warstwie aplikacji są typowo przetwarzane w centrach danych zlokalizowanych na terytorium UE, przy czym dokładna lokalizacja fizyczna nośników zależy od produktu i ustawień konta u dostawcy (np. region przypisany do usługi).
4. W relacji z OVH Operator korzysta z umów powierzenia / regulaminów dostawcy wymaganych przez RODO; szczegóły techniczne konfiguracji mogą ulegać zmianie przy rozwoju Serwisu — bez zmiany zasady, że podwykonawca przetwarza dane wyłącznie w zakresie niezbędnym do świadczenia usługi.

7.2. Warstwa brzegowa sieci — Cloudflare

1. Operator może korzystać z usług Cloudflare, Inc. oraz podmiotów powiązanych z grupą Cloudflare w zakresie m.in.: reverse proxy, CDN, DNS, certyfikatów TLS, ochrony przed atakami (np. firewall aplikacji webowej — WAF), ograniczania ruchu zautomatyzowanego, mitigacji DDoS, a także — jeśli w danej konfiguracji są włączone — funkcji analizy lub telemetrii ruchu (np. zestawienia żądań, metryki bezpieczeństwa) służących utrzymaniu i zabezpieczeniu Serwisu.
2. W związku z tym żądania kierowane do Serwisu (np. połączenia HTTPS) mogą być obsługiwane przez infrastrukturę Cloudflare zanim dotrą do serwerów Operatora u OVH. W tym procesie mogą być przetwarzane m.in. adres IP urządzenia, nagłówki żądań, informacje o czasie połączenia oraz metadane niezbędne do zapewnienia dostępności, ochrony przed nadużyciami i — w zakresie włączonych narzędzi — analizy ruchu.
3. Część infrastruktury Cloudflare może być zlokalizowana poza EOG. W takich przypadkach Operator stosuje mechanizmy przewidiane rozdziałem V RODO (w szczególności standardowe klauzule umowne lub inne instrumenty dopuszczalne prawem), zgodnie z dokumentacją dostawcy i zawartymi umowami.

7.3. Typowy przepływ ruchu (informacja zwięzła)

W typowym scenariuszu: przeglądarka użytkownika łączy się z siecią Cloudflare (ochrona i przyspieszenie), a następnie — po spełnieniu reguł dostępu — żądanie jest przekazywane do serwera aplikacji hostowanego u OVH, gdzie utrwalane są dane biznesowe przetwarzane w ramach konta Szkoły i warstwy platformowej.

7.4. Google reCAPTCHA (ochrona przed nadużyciami)

1. Na wybranych stronach (m.in. logowanie, formularze kursanta lub inne wrażliwe punkty wejścia) Operator może stosować Google reCAPTCHA (np. w wersji niewidocznej dla użytkownika — v3) świadczoną przez Google LLC / podmioty z grupy Google.
2. W związku z tym do Google mogą być przekazywane m.in. adres IP, dane o przeglądarce i urządzeniu oraz informacje o interakcji z formularzem, służące ocenie ryzyka botowego i ochronie Serwisu.
3. Przetwarzanie przez Google odbywa się według dokumentów: Polityka prywatności Google oraz Warunki usługi Google; użytkownik może zapoznać się z nimi przed wysłaniem formularza.
4. Podstawą prawną jest zwykle prawnie uzasadniony interes Operatora (art. 6 ust. 1 lit. f RODO) polegający na zabezpieczeniu systemu, chyba że w danym procesie przewidziano zgodę jako podstawę.

8. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)

1. Jeżeli dostawca ma siedzibę poza EOG, stosuje się odpowiednie zabezpieczenia przewidiane Rozdziałem V RODO (np. decyzje stosowności Komisji Europejskiej, standardowe klauzule umowne, wiążące reguły korporacyjne).
2. Szkoła, jako administrator danych kursantów przy korzystaniu z usług SI zewnętrznych, powinna ocenić konieczność dodatkowych instrumentów (TIA, DPIA).

9. Okres przechowywania danych

1. Okres przechowywania jest uzależniony od: (a) czasu trwania umowy z Szkołą; (b) przepisów prawa (np. przechowywanie dokumentów księgowych, przedawnienie roszczeń); (c) polityki retencji przyjętej przez Operatora i — w zakresie danych Szkoły — przez Szkołę; (d) żądania usunięcia danych, o ile nie występuje obowiązek dalszego przechowywania.
2. Dane w logach bezpieczeństwa mogą być przechowywane przez czas proporcjonalny do celu (np. wykrywanie incydentów), zwykle ograniczony technicznie i organizacyjnie.

10. Prawa osób, których dane dotyczą

Przysługują Państwu uprawnienia w zakresie określonym w RODO, w tym: dostęp, sprostowanie, usunięcie lub ograniczenie przetwarzania, sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie, przenoszenie danych (w zakresie przewidzianym prawem), cofnięcie zgody w dowolnym momencie (jeśli przetwarzanie na niej oparto), skarga do Prezesa Urzędu Ochrony Danych Osobowych.

Procedura: w sprawach dotyczących danych przetwarzanych przez Operatora jako administratora: kontakt@planjazd.pl (prosimy o wpisanie "RODO” w tytule). W sprawach danych kursanta, których administratorem jest Szkoła, pierwszy kontakt zwykle należy kierować do Szkoły — Operator może przekazać żądanie jako podmiot przetwarzający, jeśli umowa tak przewiduje.

11. Pliki cookies i technologie pokrewne

1. Serwis stosuje pliki cookies niezbędne do działania (sesja, bezpieczeństwo, równoważenie obciążenia), na podstawie prawnie uzasadnionego interesu lub warunku prawnie równoważnego zgodnie z praktyką i wytycznymi organów.
2. Cookies analityczne lub marketingowe — wyłącznie po uzyskaniu zgody użytkownika, jeśli wymagają te przepisy (w tym dyrektywa o prywatności w łączności elektronicznej i implementacja krajowa) lub wewnętrzna polityka Operatora. Zgoda jest zbierana m.in. za pomocą banera zgód opisanego w sekcji 21.
3. Szczegółowe zestawienie funkcji plików cookies i podobnych mechanizmów zawarto w sekcji 17 niniejszej Polityki.
4. Skrypty zewnętrznych dostawców (np. ładowanie API reCAPTCHA z domen Google) mogą tworzyć lub odczytywać własne pliki cookies lub podobne identyfikatory zgodnie z regulaminami tych dostawców — patrz także sekcja 7.4.

12. Zautomatyzowane podejmowanie decyzji i profilowanie

1. Operator nie dąży do zautomatyzowanego podejmowania decyzji wywołujących skutki prawne wobec osób fizycznych w rozumieniu art. 22 RODO, chyba że dana funkcja zostanie wyraźnie opisana i przewidziana odrębną klauzulą.
2. Profilowanie marketingowe — jeśli kiedykolwiek wystąpi — będzie odbywać się na podstawie zgody lub prawnie uzasadnionego interesu zgodnie z osobną informacją.

13. Bezpieczeństwo danych

1. Operator stosuje środki techniczne i organizacyjne adekwatne do ryzyka: szyfrowanie transmisji (HTTPS), kontrolę dostępu, separację środowisk, kopie zapasowe, procedury reagowania na incydenty.
2. W przypadku naruszenia ochrony danych osobowych podlegającego zgłoszeniu do organu nadzorczego, Operator działa zgodnie z art. 33 i 34 RODO, a w relacji z Szkołą — zgodnie z DPA.

14. Zmiany Polityki

Operator może aktualizować Politykę. O istotnych zmianach Użytkownicy mogą zostać poinformowani komunikatem w Serwisie lub wiadomością e-mail, jeśli prawo tego wymaga lub jest to proporcjonalne.

15. Inspektor ochrony danych

Operator nie wyznaczył inspektora ochrony danych, o ile nie wynika inaczej z odrębnego obwieszczenia publikowanego w Serwisie. Wszelkie sprawy dotyczące przetwarzania danych osobowych przez Operatora jako administratora danych platformy można kierować na adres kontakt@planjazd.pl (w tytule wiadomości zaleca się wpisanie „RODO”). Sprawy formalne lub korespondencja dokumentowa mogą być dodatkowo obsługiwane pod adresem dokumenty@planjazd.pl, jeśli został on podany w materiałach informacyjnych Operatora.

16. Dane osobowe dzieci i małoletnich

1. Serwis jest przeznaczony do użytku przez Szkoły prowadzące szkolenia, w tym z udziałem osób małoletnich. Dane takich osób mogą być przetwarzane wyłącznie zgodnie z prawem, w szczególności z art. 8 RODO oraz krajowymi przepisami o reprezentacji małoletnich.
2. W relacji Szkoła–kursant to Szkoła ustala podstawy prawne i klauzule informacyjne niezbędne przy zbieraniu danych małoletniego (w tym zgody rodziców lub opiekunów prawnych, jeśli są wymagane). Operator przetwarza takie dane jako podmiot przetwarzający wyłącznie w zakresie technicznym niezbędnym do świadczenia usługi, o ile Szkoła wprowadzi dane do Serwisu.

17. Pliki cookies i podobne technologie — zestawienie funkcjonalne

1. Poniższa lista ma charakter opisowy funkcji, a nie handlowych nazw produktów: dokładne identyfikatory mogą zależeć od wersji oprogramowania i konfiguracji Serwisu.
2. Niezbędne (często wyłączenie uniemożliwia logowanie lub utrzymanie sesji): identyfikator sesji aplikacji, znaczniki zabezpieczające przed CSRF, preferencje języka lub widoku, ewentualnie znaczniki równoważenia obciążenia lub bezpieczeństwa warstwy brzegowej sieci (np. ochrona przed botami).
3. Cloudflare i dostawcy CDN: mogą stosować własne pliki cookies lub podobne mechanizmy (np. weryfikacja żądania, ograniczenie nadużyć); szczegóły znajdują się w dokumentacji dostawcy.
4. Analityczne i marketingowe: stosowane wyłącznie wtedy, gdy wymagają tego przepisy lub wewnętrzna polityka Operatora — zwykle po uzyskaniu zgody użytkownika, o ile taki mechanizm jest aktywny w danej wersji Serwisu.
5. Użytkownik może zarządzać plikami cookies w ustawieniach przeglądarki; usunięcie plików niezbędnych może ograniczyć działanie Serwisu.
6. Zapis decyzji z banera zgód (sekcja 21) jest utrzymywany w pamięci lokalnej przeglądarki (typowo localStorage) na tej samej domenie — nie zastępuje to plików cookies nadawanych przez serwer, lecz pozwala zapamiętać wybór kategorii bez zbędnej ponownej zgody przy każdym podstronie.

18. Źródła danych (poza bezpośrednim podaniem przez osobę)

Dane mogą pochodzić także z: importu dokonanego przez Szkołę, integracji zewnętrznych skonfigurowanych przez Szkołę, urządzeń końcowych (np. automatyczne metadane połączenia), wcześniejszej korespondencji z Operatorem lub — w zakresie dozwolonym — weryfikacji publicznych rejestrów przy rejestracji Szkoły.

19. Pomiary statystyk i diagnostyka

1. Operator może prowadzić statystyki zagregowane dotyczące ruchu, wydajności i stabilności Serwisu, w tym na podstawie logów serwera i aplikacji, z zachowaniem zasady minimalizacji danych.
2. Jeśli stosowane są narzędzia wymagające identyfikatorów marketingowych lub śledzenia pomiędzy witrynami, dzieje się to zwykle dopiero po spełnieniu warunków prawnych (np. zgoda), o ile taki model jest wdrożony.
3. Narzędzia dostawców brzegowych (np. Cloudflare) mogą dostarczać metryk ruchu i zdarzeń bezpieczeństwa — w zakresie faktycznej konfiguracji; szczegóły: sekcja 7.2.

20. Google reCAPTCHA — uproszczone podsumowanie dla użytkownika końcowego

Jeśli widzisz informację o ochronie formularza przez reCAPTCHA, oznacza to przekazanie części danych technicznych do Google w celu wykrywania automatycznego ruchu (botów). Szczegóły: sekcja 7.4 oraz dokumenty Google podlinkowane przy formularzu.

21. Baner zgód cookies (preferencje w przeglądarce)

1. Na stronach publicznych Serwisu może być wyświetlany baner (centrum preferencji) umożliwiający zarządzanie zgodami na opcjonalne pliki cookies i podobne technologie — w szczególności na kategorie analityczne oraz marketingowe.
2. Pliki niezbędne (niezbędne do działania Serwisu i bezpieczeństwa w podstawowym zakresie) są zawsze aktywne i nie podlegają wyłączeniu z poziomu banera.
3. Wybór użytkownika jest zapamiętywany lokalnie w przeglądarce (np. mechanizm localStorage i ewentualnie dodatkowy znacznik techniczny), przez co przy kolejnych wizytach na tej samej domenie nie trzeba ponownie ustawiać preferencji, chyba że użytkownik je wyczyści albo skorzysta z linku „Ustawienia plików cookies” (ponowne otwarcie panelu).
4. Odrzucenie kategorii opcjonalnych powoduje, że nie uruchamiamy w przeglądarce skryptów służących do analityki lub marketingu wymagających zgody — w granicach faktycznej implementacji danej wersji Serwisu.
5. Baner nie zastępuje ustawień przeglądarki: użytkownik może w każdej chwili usunąć dane lokalne lub zablokować cookies zgodnie z instrukcją producenta przeglądarki.

22. Postanowienia końcowe

W razie kolizji między Polityką a indywidualną umową lub DPA, pierwszeństwo mają postanowienia umowne w zakresie relacji Szkoła–Operator, z zastrzeżeniem przepisów bezwzględnie obowiązających chroniących osoby fizyczne. W sprawach nieuregulowanych przysługuje skarga do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl).