Polityka Prywatności

RODO Art. 13 / 14 · Administrator: [DO UZUPEŁNIENIA: pełna nazwa podmiotu prawnego] · Ostatnia aktualizacja: 2026-05-15 · Wersja: 1.0

Niniejsza Polityka Prywatności opisuje, jakie dane osobowe zbiera i przetwarza operator platformy CyberZgodność EDU, w jakich celach, na jakich podstawach prawnych, jak długo oraz jakie prawa przysługują podmiotom danych.

1. Administrator danych

Nazwa	[DO UZUPEŁNIENIA: pełna nazwa podmiotu prawnego]
Adres	[DO UZUPEŁNIENIA: adres siedziby]
NIP	[DO UZUPEŁNIENIA]
E-mail kontaktowy	privacy@cyberzgodnosc.edu.pl
Inspektor Ochrony Danych	[DO UZUPEŁNIENIA: imię i nazwisko lub „nie wyznaczono” z uzasadnieniem]

2. Jakie dane zbieramy i skąd

2.1. Dane przekazane bezpośrednio przez użytkownika

Kategoria danych	Przykłady	Cel zbierania
Dane konta	Adres e-mail, imię (opcjonalne), rola w organizacji	Rejestracja, uwierzytelnianie, komunikacja
Dane uwierzytelniania	Skrót hasła (Argon2id), sekret TOTP, klucz WebAuthn	Bezpieczny dostęp do konta
Dane rozliczeniowe	NIP instytucji, adres e-mail do faktury, osoba kontaktowa	Wystawianie faktur, obsługa zamowień
Treści compliance	Zadania kontrolne, incydenty, rejestry ryzyk, dokumenty	Świadczenie usługi; dane Klienta pod DPA

2.2. Dane zbierane automatycznie

Kategoria danych	Przykłady	Cel zbierania
Dane techniczne	Adres IP przy logowaniu, user-agent, znacznik czasu	Bezpieczeństwo, wykrywanie anomalii
Dzienniki audytu	Identyfikator użytkownika, kod działania, skrót SHA-256	Integralność audytu, zgodność KSC/NIS2
Dane sesji	Token sesji (cookie HttpOnly), identyfikator urządzenia WebAuthn	Zarządzanie logowaniem

3. Podstawy prawne przetwarzania (art. 6 RODO)

Cel przetwarzania	Podstawa prawna
Dostarczanie usługi SaaS, zarządzanie kontem	Art. 6 ust. 1 lit. b — wykonanie umowy
Wystawianie faktur, rozliczenia	Art. 6 ust. 1 lit. c — obowiązek prawny (ustawa o rachunkowości)
Dziennik audytu (append-only, łańcuch skrótów)	Art. 6 ust. 1 lit. f — uzasadniony interes Operatora i Dzierżawcy
Marketing (biuletyn, informacje o produkcie)	Art. 6 ust. 1 lit. a — zgoda; można wycofać w dowolnym momencie
Bezpieczeństwo, wykrywanie naruszeń	Art. 6 ust. 1 lit. f — uzasadniony interes (ochrona systemu)

4. Jak długo przechowujemy dane

Kategoria	Okres retencji	Uzasadnienie
Dane konta aktywnego	Czas trwania subskrypcji	Niezbędne do świadczenia usługi
Dane konta po zamknięciu	30 dni po rozwiązaniu subskrypcji	Eksport danych; ochrona przed błędnym usunięciem
Dane rozliczeniowe / faktury	5 lat od końca roku obrotowego	Ustawa o rachunkowości art. 74
Dziennik audytu	5 lat (lub dłużej jeśli wymagane przepisami KSC)	Uzasadniony interes; wymogi NIS2/KSC
Logi techniczne (IP, user-agent)	90 dni	Bezpieczeństwo; minimalizacja danych
Tokeny sesji	Unieważniane przy wylogowaniu; max 30 dni bez aktywności	Bezpieczeństwo uwierzytelniania

5. Odbiorcy danych

Dane osobowe są udostępniane wyłącznie:

Pracownicy Operatora — w zakresie niezbędnym do obsługi technicznej, na zasadach wiedzy koniecznej z obowiązkowym MFA;
Podwykonawcy — wymienieni w Liście podwykonawców i związani DPA z Operatorem;
Organy publiczne — wyłącznie na podstawie prawnego żądania (nakaz sądu, wniosek UODO, CSIRT).

Dane nie są sprzedawane ani udostępniane w celach reklamowych.

6. Przekazywanie do państw trzecich

Dane biznesowe Dzierżawców są przechowywane na serwerach w UE/EOG. Niektórzy podwykonawcy (Cloudflare, Microsoft) mogą przetwarzać metadane poza UE — szczegóły i gwarancje (SCC, adequacy decision) opisano w Liście podwykonawców.

7. Zautomatyzowane podejmowanie decyzji

Platforma nie podejmuje zautomatyzowanych decyzji mających skutki prawne dla podmiotów danych w rozumieniu art. 22 RODO. Kreator samoidentyfikacji NIS2/KSC generuje sugestie kategorii, jednak ostateczna decyzja należy do Dzierżawcy.

8. Prawa podmiotów danych

Prawo	Zakres	Jak skorzystać
Dostęp (art. 15)	Potwierdzenie przetwarzania, kopia danych	E-mail: privacy@cyberzgodnosc.edu.pl
Sprostowanie (art. 16)	Korekta nieprawidłowych lub niekompletnych danych	E-mail lub panel konta
Usunięcie (art. 17)	„Prawo do bycia zapomnianym” — z zastrzeżeniem obowiązków prawnych	E-mail; dziennik audytu podlega pseudonimizacji, nie usunięciu
Ograniczenie (art. 18)	Wstrzymanie przetwarzania w określonych sytuacjach	E-mail
Przenoszalność (art. 20)	Eksport danych w formacie JSON/CSV	Panel konta (eksport) lub e-mail
Sprzeciw (art. 21)	Przetwarzanie na podstawie uzasadnionego interesu	E-mail; Operator rozpatruje w 30 dni
Skarga do UODO	Jeżeli Operator nie uwzględni wniosku	uodo.gov.pl

9. Bezpieczeństwo danych

Stosowane środki techniczne i organizacyjne (TOM) opisano szczegółowo w Białej Księdze Bezpieczeństwa. Kluczowe elementy:

Szyfrowanie haseł Argon2id (pamięć ≥ 64 MiB, iteracje ≥ 3);
Obowiązkowe MFA (TOTP lub WebAuthn) dla wszystkich kont;
Izolacja Dzierżawców przez FORCE RLS PostgreSQL;
TLS 1.3 dla całej komunikacji sieciowej;
Kopie zapasowe 3-2-1 (Cloudflare R2 + Backblaze B2, oba EU), szyfrowane.

10. Pliki cookie

Platforma używa wyłącznie plików cookie niezbędnych do działania (sesja, CSRF, ochrona Cloudflare). Brak cookie analitycznych ani reklamowych. Szczegóły: Informacja o plikach cookie.

11. Pseudonimizacja przy prawie do usunięcia

Jeżeli podmiot danych zażąda usunięcia danych z dziennika audytu, Operator stosuje pseudonimizację: identyfikatory osobowe są zastępowane stabilnymi pseudonimami (actor_tombstone_<uuid>), łańcuch skrótów jest zachowany. Podstawą prawną przechowania (bez danych osobowych) jest uzasadniony interes w integralności dziennika audytu (wymagany przez KSC/NIS2).

12. Kontakt w sprawach prywatności

E-mail	privacy@cyberzgodnosc.edu.pl
Termin odpowiedzi	Do 30 dni kalendarzowych (art. 12 ust. 3 RODO)
Organ nadzorczy	Urząd Ochrony Danych Osobowych (UODO) — uodo.gov.pl