🎓
Planomat
Plan lekcji
System zarządzania planem lekcji
A

POLITYKA PRYWATNOŚCI PLANOMAT

Data wejścia w życie: 09.03.2026

§1. Administrator danych osobowych

Administratorem danych osobowych w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) jest:

Michał Miziński
Adres: Gen. Tadeusza Pełczyńskiego 14D, 01-471 Warszawa
E-mail: michal.mizinski9@gmail.com
Działalność nierejestrowana w rozumieniu art. 5 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców

Administrator nie wyznaczył Inspektora Ochrony Danych (IOD), ponieważ nie jest to wymagane przy prowadzonej skali działalności. Wszelkie pytania dotyczące danych osobowych kieruj na adres e-mail wskazany powyżej.

§2. Jakie dane osobowe przetwarzamy i skąd je pozyskujemy

A) Dane Administratora szkoły (Usługobiorcy) — pozyskiwane bezpośrednio od osoby (art. 13 RODO):

  • imię i nazwisko,
  • adres e-mail (służbowy),
  • nazwa i adres placówki oświatowej.

B) Dane nauczycieli wprowadzanych do systemu przez Usługobiorcę — pozyskiwane od Usługobiorcy (art. 14 RODO):

  • imię i nazwisko,
  • nauczane przedmioty,
  • przydzielone godziny i dyspozycyjność.

Uwaga: Dane nauczycieli wprowadza Administrator szkoły (Usługobiorca). Jest on odpowiedzialny za spełnienie wobec tych osób obowiązku informacyjnego z art. 14 RODO, w tym poinformowanie ich o powierzeniu przetwarzania danych firmie Planomat.

C) Dane uczniów wprowadzanych do modułu Zajęć Dodatkowych przez Usługobiorcę — pozyskiwane od Usługobiorcy (art. 14 RODO):

  • imię i nazwisko ucznia,
  • klasa ucznia,
  • informacje o preferencjach zajęciowych ucznia (wybrane zajęcia dodatkowe),
  • informacje o godzinach odbioru ucznia ze szkoły,
  • informacja o uczestnictwie w świetlicy lub odrabianiu lekcji.

Dane te dotyczą osób małoletnich. Usługobiorca jako administrator danych uczniów jest wyłącznie odpowiedzialny za:

  • posiadanie właściwej podstawy prawnej do przetwarzania danych uczniów,
  • uzyskanie zgody rodziców lub opiekunów prawnych przed wprowadzeniem danych ucznia do systemu,
  • spełnienie obowiązku informacyjnego wobec rodziców lub opiekunów prawnych z art. 14 RODO, w tym poinformowanie ich o powierzeniu przetwarzania danych firmie Planomat.

Planomat przetwarza dane uczniów wyłącznie jako podmiot przetwarzający (procesor) na polecenie Usługobiorcy i nie przetwarza ich do żadnych własnych celów.

D) Dane techniczne — generowane automatycznie:

  • adres IP urządzenia,
  • data i godzina logowania,
  • logi systemowe (błędy, zdarzenia, próby nieautoryzowanego dostępu),
  • anonimowe metryki odwiedzin zbierane przez Vercel Analytics (bez plików cookies identyfikujących użytkownika).

§3. Cele i podstawy prawne przetwarzania danych

Zawarcie i realizacja umowy o świadczenie Usługi — art. 6 ust. 1 lit. b RODO — dane Usługobiorcy.

Wystawianie rachunków, wypełnianie obowiązków podatkowych — art. 6 ust. 1 lit. c RODO — dane Usługobiorcy.

Ustalenie, dochodzenie lub obrona roszczeń — art. 6 ust. 1 lit. f RODO — dane Usługobiorcy.

Zapewnienie bezpieczeństwa systemu, wykrywanie nadużyć — art. 6 ust. 1 lit. f RODO — logi systemowe.

Realizacja polecenia Usługobiorcy — układanie planów lekcji — art. 6 ust. 1 lit. b / art. 28 RODO — dane nauczycieli.

Realizacja polecenia Usługobiorcy — zarządzanie zajęciami dodatkowymi i świetlicą — art. 6 ust. 1 lit. b / art. 28 RODO — dane uczniów (przetwarzane wyłącznie jako procesor na zlecenie szkoły jako administratora).

Analiza ruchu i wydajności aplikacji (Vercel Analytics — dane anonimowe) — art. 6 ust. 1 lit. f RODO — dane anonimowe.

§4. Okres przechowywania danych

  • Dane Usługobiorcy (umowa, korespondencja): czas trwania umowy + 3 lata po jej zakończeniu (przedawnienie roszczeń cywilnych — art. 118 KC).
  • Dane Usługobiorcy (dokumenty księgowe/rachunki): 5 lat od końca roku podatkowego, w którym wystawiono dokument.
  • Dane nauczycieli: do zakończenia świadczenia Usługi dla danego Usługobiorcy, następnie usunięcie w ciągu 30 dni.
  • Dane uczniów z modułu Zajęć Dodatkowych: do zakończenia umowy z Usługobiorcą + 30 dni — po tym czasie trwale usuwane.
  • Dane techniczne (logi systemowe, IP): maksymalnie 12 miesięcy.
  • Dane Vercel Analytics: anonimowe, zgodnie z polityką Vercel — nie pozwalają na identyfikację osoby.

§5. Prawa osób, których dane dotyczą

Każda osoba, której dane przetwarzamy, ma następujące prawa — możesz z nich skorzystać pisząc na: michal.mizinski9@gmail.com

  • Prawo dostępu (art. 15 RODO) — możesz zażądać kopii swoich danych i informacji o przetwarzaniu.
  • Prawo sprostowania (art. 16 RODO) — możesz żądać poprawienia nieaktualnych lub błędnych danych.
  • Prawo usunięcia (art. 17 RODO) — możesz żądać usunięcia danych, jeśli nie ma podstaw do dalszego przetwarzania.
  • Prawo ograniczenia przetwarzania (art. 18 RODO) — możesz żądać ograniczenia operacji na danych w określonych przypadkach.
  • Prawo przenoszenia danych (art. 20 RODO) — możesz otrzymać swoje dane w ustrukturyzowanym formacie.
  • Prawo sprzeciwu (art. 21 RODO) — możesz sprzeciwić się przetwarzaniu opartemu na prawnie uzasadnionym interesie.

W przypadku danych uczniów prawa wykonują rodzice lub opiekunowie prawni — wnioski należy składać za pośrednictwem szkoły jako administratora danych.

Prawo skargi do UODO: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, e-mail: kancelaria@uodo.gov.pl, tel. 606-950-000, www.uodo.gov.pl.

Termin odpowiedzi: bez zbędnej zwłoki, maksymalnie 1 miesiąc. W skomplikowanych sprawach termin może zostać przedłużony o kolejne 2 miesiące — o czym zostaniesz poinformowany.

Uwaga: Prawo usunięcia nie dotyczy danych przechowywanych na podstawie obowiązku prawnego (rachunki, rozliczenia podatkowe).

§6. Odbiorcy danych i przekazywanie poza EOG

Render Services Inc., 525 Brannan Street, San Francisco, CA 94107, USA — hosting serwera aplikacji (backend) — art. 28 RODO + SCC + DPF — USA*

Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA — hosting frontendu, Vercel Analytics — art. 28 RODO + SCC + DPF — USA*

Render Services Inc. (PostgreSQL, Frankfurt) — baza danych — art. 28 RODO — Frankfurt, EOG

*Transfer do USA: Render i Vercel posiadają certyfikację DPF (Data Privacy Framework) oraz stosują Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską, co stanowi odpowiednią gwarancję ochrony danych zgodnie z art. 46 RODO.

Baza danych PostgreSQL hostowana jest w Frankfurcie (EOG) i nie jest transferowana poza EOG. Dane uczniów przechowywane są wyłącznie w bazie danych w Frankfurcie. Dane nie są przekazywane żadnym innym podmiotom poza wskazanymi powyżej dostawcami infrastruktury.

§7. Szczególna ochrona danych osób małoletnich

Dane uczniów przetwarzane w module Zajęć Dodatkowych dotyczą osób małoletnich. Planomat stosuje następujące zasady:

  • dane uczniów przetwarzane są wyłącznie na udokumentowane polecenie szkoły jako administratora,
  • dane uczniów nie są wykorzystywane do profilowania, celów reklamowych ani żadnych celów innych niż świadczenie Usługi,
  • dostęp do danych uczniów mają wyłącznie osoby upoważnione przez Usługobiorcę,
  • dane uczniów usuwane są niezwłocznie po zakończeniu umowy z Usługobiorcą, nie później niż w ciągu 30 dni.

Odpowiedzialność za uzyskanie zgód rodziców lub opiekunów prawnych oraz spełnienie obowiązku informacyjnego wobec nich spoczywa wyłącznie na Usługobiorcy (szkole) jako administratorze danych uczniów.

§8. Pliki cookies i narzędzia analityczne

Vercel Analytics zbiera wyłącznie anonimowe metryki odwiedzin (liczba wizyt, czas ładowania) — bez plików cookies identyfikujących użytkownika, bez śledzenia między sesjami, bez przekazywania danych do celów reklamowych. Nie wymaga zgody użytkownika — podstawa: art. 6 ust. 1 lit. f RODO.

Aplikacja Planomat używa wyłącznie niezbędnych plików sesyjnych (token uwierzytelniający przechowywany w localStorage) koniecznych do funkcjonowania systemu logowania — art. 399 ust. 3 ustawy Prawo Komunikacji Elektronicznej z dnia 12 lipca 2024 r. Pliki te nie wymagają zgody użytkownika.

Aplikacja nie stosuje plików cookies reklamowych, marketingowych ani śledzących.

§9. Bezpieczeństwo danych

Stosowane techniczne i organizacyjne środki ochrony danych (art. 32 RODO):

  • szyfrowanie transmisji danych protokołem HTTPS/TLS,
  • hashowanie haseł algorytmem bcrypt,
  • kontrola dostępu oparta na rolach — każdy Usługobiorca widzi wyłącznie swoje dane,
  • regularne automatyczne kopie zapasowe bazy danych,
  • ograniczenie liczby prób logowania (rate limiting),
  • tokeny uwierzytelniające JWT z czasem wygaśnięcia,
  • monitorowanie bezpieczeństwa infrastruktury i logowanie prób nieautoryzowanego dostępu,
  • fizyczna separacja danych pomiędzy szkołami w bazie danych (architektura multi-tenant),
  • baza danych zlokalizowana w Niemczech (Frankfurt) na terenie EOG.

W przypadku naruszenia ochrony danych stwarzającego ryzyko dla praw lub wolności osób fizycznych, Administrator zgłosi je do UODO w ciągu 72 godzin od jego stwierdzenia (art. 33 RODO) i poinformuje poszkodowane osoby, jeśli ryzyko jest wysokie (art. 34 RODO).

§10. Powierzenie przetwarzania danych (art. 28 RODO)

Planomat przetwarza dane nauczycieli i uczniów wyłącznie jako podmiot przetwarzający (procesor) na polecenie i w imieniu Usługobiorcy (szkoły) jako administratora. Szczegółowe zasady określa Umowa Powierzenia Przetwarzania Danych Osobowych, którą Usługobiorca zobowiązany jest zawrzeć z Usługodawcą przed wprowadzeniem danych nauczycieli lub uczniów do systemu.

Planomat przetwarza powierzone dane wyłącznie w zakresie i celu określonym przez Usługobiorcę. Planomat nie powierza tych danych dalszym podmiotom bez wiedzy Usługobiorcy, z wyjątkiem dostawców infrastruktury wskazanych w §6.

§11. Zautomatyzowane podejmowanie decyzji i profilowanie

Administrator nie stosuje zautomatyzowanego podejmowania decyzji, w tym profilowania, o którym mowa w art. 22 RODO. Algorytmy generowania planów lekcji i przydziału uczniów do zajęć dodatkowych operują na danych organizacyjnych i nie podejmują decyzji wywołujących skutki prawne wobec osób fizycznych.

§12. Zmiany Polityki Prywatności

Polityka Prywatności może być aktualizowana w związku ze zmianami przepisów prawa lub zmianami technicznymi w Usłudze. O istotnych zmianach Usługobiorca zostanie poinformowany drogą e-mail z co najmniej 14-dniowym wyprzedzeniem. Aktualna wersja jest zawsze dostępna na stronie https://planomat.com.pl/polityka-prywatnosci.