Polityka Prywatności

Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych Użytkowników korzystających z serwisu internetowego Egzaminer.pl, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) oraz ustawą o ochronie danych osobowych.

Administratorem danych osobowych jest POLAI Wiktor Nowakowski, prowadzący działalność gospodarczą pod nazwą skróconą POLAI, NIP: 6711860898, REGON: 528297818, będący Usługodawcą serwisu Egzaminer.pl (dalej: „Administrator").

W sprawach związanych z ochroną danych osobowych, w tym w celu realizacji praw przysługujących osobom, których dane dotyczą, można kontaktować się z Administratorem pod adresem e-mail: Pokaż email.

W ramach świadczenia usług edukacyjnych przez Serwis Administrator przetwarza następujące kategorie danych osobowych Użytkowników:

• Dane identyfikacyjne i kontaktowe: imię lub pseudonim (nazwa użytkownika), adres e-mail;
• Dane uwierzytelniające: hasło (zaszyfrowane z użyciem zaawansowanych algorytmów kryptograficznych);
• Dane dotyczące roli w Serwisie: rola Użytkownika (uczeń, nauczyciel, administrator);
• Dane dotyczące aktywności w Serwisie: historia logowań, postępy w nauce, wyniki rozwiązanych egzaminów, statystyki indywidualne, aktywność w grach edukacyjnych, zadaniach dnia oraz innych funkcjach Serwisu;
• Dane dotyczące powiązań kont: informacje o przypisaniu kont uczniów do kont nauczycieli (jeśli dotyczy);
• Dane transakcyjne: informacje dotyczące płatności za Subskrypcję Premium, historia transakcji, typ wykupionego planu, data wygaśnięcia subskrypcji (dane kart płatniczych przetwarzane są wyłącznie przez zewnętrznego operatora płatności i nie są przechowywane przez Administratora);
• Dane uwierzytelniania Google OAuth: unikalny identyfikator Google, adres e-mail Google, zdjęcie profilowe Google (wyłącznie w przypadku, gdy Użytkownik decyduje się na logowanie za pośrednictwem konta Google);
• Dane techniczne: adres IP, informacje o przeglądarce i urządzeniu, dane sesji, pliki cookies (wyłącznie w zakresie niezbędnym do funkcjonowania Serwisu).

Administrator nie przetwarza szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO (tzw. danych wrażliwych), w tym danych dotyczących pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależności do związków zawodowych, danych genetycznych, danych biometrycznych, danych dotyczących zdrowia, seksualności lub orientacji seksualnej.

Podanie danych osobowych jest dobrowolne, jednakże niezbędne do założenia konta, korzystania z funkcjonalności Serwisu oraz świadczenia usług edukacyjnych. Brak podania wymaganych danych osobowych uniemożliwi rejestrację konta, realizację umowy o świadczenie usług oraz korzystanie z pełnej funkcjonalności platformy.

W przypadku funkcji opcjonalnych, takich jak logowanie za pośrednictwem konta Google, Użytkownik ma pełną swobodę wyboru sposobu uwierzytelniania. Odmowa podania danych w zakresie logowania przez Google nie wpływa na możliwość korzystania z Serwisu poprzez tradycyjną rejestrację za pomocą adresu e-mail i hasła.

Dane osobowe Użytkowników są przetwarzane przez Administratora w następujących celach oraz na podstawie wskazanych podstaw prawnych:

• Rejestracja i obsługa konta Użytkownika – w tym tworzenie konta, logowanie, zarządzanie ustawieniami konta oraz uwierzytelnianie Użytkownika;
  Podstawa prawna: art. 6 ust. 1 lit. b RODO (przetwarzanie niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy).
• Świadczenie usług edukacyjnych – w tym dostęp do egzaminów online, zadań dnia, gier edukacyjnych, materiałów dydaktycznych oraz innych funkcjonalności platformy;
  Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy o świadczenie usług edukacyjnych).
• Korzystanie z systemu sztucznej inteligencji (AI) – w tym automatyczne sprawdzanie odpowiedzi, ocenianie zadań otwartych oraz generowanie spersonalizowanego feedbacku edukacyjnego;
  Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy) oraz art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora polegający na zapewnieniu wysokiej jakości usług edukacyjnych).
• Prowadzenie statystyk i monitorowanie postępów – w tym śledzenie wyników egzaminów, postępów w nauce, generowanie raportów oraz analiza skuteczności uczenia się;
  Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy) oraz art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora oraz Użytkownika w monitorowaniu efektywności nauki).
• Obsługa płatności i zarządzanie Subskrypcją Premium – w tym realizacja transakcji płatniczych, wystawianie dokumentów księgowych, zarządzanie okresem ważności subskrypcji;
  Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy) oraz art. 6 ust. 1 lit. c RODO (wypełnienie obowiązku prawnego ciążącego na Administratorze, wynikającego z przepisów podatkowych i rachunkowych).
• Zapewnienie bezpieczeństwa Serwisu – w tym wykrywanie i zapobieganie nadużyciom, atakom cybernetycznym, nieautoryzowanemu dostępowi oraz innym zagrożeniom;
  Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora polegający na zapewnieniu bezpieczeństwa systemów informatycznych oraz ochronie danych osobowych Użytkowników).
• Komunikacja z Użytkownikiem – w tym obsługa zapytań, udzielanie wsparcia technicznego, rozpatrywanie reklamacji oraz informowanie o zmianach w Serwisie;
  Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy) oraz art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora w zapewnieniu prawidłowej obsługi Użytkowników).
• Analiza i doskonalenie usług – w tym badanie satysfakcji Użytkowników, analiza statystyczna korzystania z Serwisu oraz optymalizacja funkcjonalności platformy;
  Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora polegający na ciągłym doskonaleniu jakości usług).
• Marketing usług Serwisu – wyłącznie na podstawie udzielonej zgody Użytkownika;
  Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda osoby, której dane dotyczą).
• Realizacja uprawnień wynikających z prawa – w tym dochodzenie roszczeń, obrona przed roszczeniami, realizacja obowiązków wynikających z przepisów prawa;
  Podstawa prawna: art. 6 ust. 1 lit. c RODO (wypełnienie obowiązku prawnego) oraz art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora w dochodzeniu i obronie przed roszczeniami).

W celu zapewnienia prawidłowego działania Serwisu oraz świadczenia usług na najwyższym poziomie, Administrator korzysta z usług zewnętrznych dostawców technologii (procesorów danych), którzy przetwarzają dane osobowe Użytkowników wyłącznie na zlecenie Administratora, zgodnie z zawartymi umowami powierzenia przetwarzania danych oraz wymogami RODO.

Kategorie odbiorców danych:

• OpenAI (OpenAI LLC, USA) – dostawca technologii sztucznej inteligencji wykorzystywanej do automatycznego sprawdzania odpowiedzi, oceniania zadań otwartych oraz generowania spersonalizowanego feedbacku edukacyjnego. Przekazywane dane: treści odpowiedzi Użytkowników, pytania egzaminacyjne oraz kontekst edukacyjny niezbędny do wygenerowania oceny.
• Mathpix (Mathpix Inc., USA) – dostawca technologii przetwarzania treści matematycznych, w tym rozpoznawania wzorów matematycznych oraz konwersji notacji. Przekazywane dane: treści matematyczne wprowadzane przez Użytkowników.
• Google reCAPTCHA (Google LLC, USA) – system ochrony przed spamem i automatycznymi atakami. Przekazywane dane: adres IP, informacje o przeglądarce, dane techniczne niezbędne do weryfikacji, że Użytkownik jest człowiekiem, a nie botem.
• Stripe (Stripe Inc., USA) – zewnętrzny operator płatności odpowiedzialny za obsługę transakcji płatniczych. Przekazywane dane: dane transakcyjne, dane rozliczeniowe, informacje o karcie płatniczej (przetwarzane bezpośrednio przez Stripe, bez dostępu Administratora). Szczegóły w sekcji 6 poniżej.
• Google OAuth 2.0 (Google LLC, USA) – system uwierzytelniania umożliwiający logowanie za pośrednictwem konta Google. Przekazywane dane: unikalny identyfikator Google, adres e-mail, zdjęcie profilowe (wyłącznie w przypadku wyboru tej metody logowania przez Użytkownika). Szczegóły w sekcji 7 poniżej.

Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG):

Niektórzy z wyżej wymienionych dostawców przetwarzają dane osobowe poza Europejskim Obszarem Gospodarczym, w tym w Stanach Zjednoczonych. Przekazywanie danych do państw trzecich odbywa się na podstawie odpowiednich zabezpieczeń prawnych, w szczególności:

• Standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO);
• Decyzji Komisji Europejskiej stwierdzających odpowiedni stopień ochrony danych w państwie trzecim (decyzja o adekwatności – art. 45 RODO);
• Innych mechanizmów zgodnych z wymogami RODO zapewniających odpowiedni poziom ochrony danych osobowych.

Wszyscy procesorzy danych działają wyłącznie na podstawie pisemnych umów powierzenia przetwarzania danych, które zapewniają odpowiedni poziom ochrony danych osobowych oraz zobowiązują ich do przestrzegania zasad bezpieczeństwa i poufności.

Do obsługi płatności online wykorzystujemy usługę Stripe:

• Dane przetwarzane przez Stripe: informacje o karcie płatniczej, adres rozliczeniowy, dane kontaktowe,
• Cel przetwarzania: realizacja płatności za subskrypcje premium,
• Bezpieczeństwo: Stripe jest certyfikowany zgodnie ze standardem PCI DSS,
• Przechowywanie: dane kart płatniczych nie są przechowywane w naszym serwisie,
• Przekazanie danych: do Stripe Inc. (USA) z odpowiednimi zabezpieczeniami.

Stripe przetwarza dane zgodnie z własną polityką prywatności dostępną na stronie: stripe.com/privacy

Oferujemy możliwość logowania przez konto Google:

• Dane udostępniane przez Google: adres e-mail, imię, nazwisko, zdjęcie profilowe, unikalny identyfikator Google,
• Cel przetwarzania: uwierzytelnianie użytkownika, tworzenie i zarządzanie kontem,
• Dobrowolność: logowanie przez Google jest opcjonalne, można korzystać z tradycyjnej rejestracji,
• Przekazanie danych: do Google LLC (USA) zgodnie z polityką Google,
• Bezpieczeństwo: wykorzystujemy standard OAuth 2.0 z odpowiednimi zabezpieczeniami.

Google przetwarza dane zgodnie z własną polityką prywatności dostępną na stronie: policies.google.com/privacy

Serwis wykorzystuje pliki cookies wyłącznie w niezbędnym zakresie, w celu:

• utrzymania sesji użytkownika,
• obsługi funkcji „zapamiętaj mnie",
• zapewnienia bezpieczeństwa i poprawnego działania serwisu (np. ochrona przed spamem).

Nie wykorzystujemy cookies do celów analitycznych, marketingowych, reklamowych ani do śledzenia użytkowników. Nie korzystamy z narzędzi firm trzecich służących do analityki (np. Google Analytics) ani systemów remarketingu.

Podstawą prawną przetwarzania jest uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), związany z utrzymaniem funkcjonalności i bezpieczeństwa serwisu.

Użytkownik może zarządzać plikami cookies poprzez ustawienia przeglądarki. Wyłączenie niektórych cookies może ograniczyć funkcjonalność serwisu.

Dane osobowe mogą być udostępniane:

• operatorom płatności (Stripe) – w celu obsługi płatności,
• Google LLC – w przypadku logowania przez Google OAuth,
• nauczycielom – jeśli użytkownik (uczeń) został przypisany do ich konta,
• uprawnionym podmiotom – na podstawie przepisów prawa,
• dostawcom technologii – jak OpenAI, Mathpix, Google reCAPTCHA (działającym jako procesorzy danych).

Dane nie są przekazywane do państw trzecich poza wskazanymi wyjątkami, a wszelkie przekazania są zabezpieczone zgodnie z wymogami RODO.

Zgodnie z przepisami RODO, Użytkownikowi, jako osobie, której dane dotyczą, przysługuje szereg praw w zakresie ochrony danych osobowych:

• Prawo dostępu do danych (art. 15 RODO) – Użytkownik ma prawo uzyskać od Administratora potwierdzenie, czy przetwarzane są jego dane osobowe, a jeżeli ma to miejsce, ma prawo uzyskać dostęp do tych danych oraz informacje dotyczące celów przetwarzania, kategorii danych, odbiorców danych, okresu przechowywania oraz innych informacji określonych w art. 15 RODO.
• Prawo do sprostowania danych (art. 16 RODO) – Użytkownik ma prawo żądać od Administratora niezwłocznego sprostowania nieprawidłowych danych osobowych lub uzupełnienia niekompletnych danych osobowych.
• Prawo do usunięcia danych – „prawo do bycia zapomnianym" (art. 17 RODO) – Użytkownik ma prawo żądać od Administratora niezwłocznego usunięcia swoich danych osobowych, jeżeli zachodzi jedna z okoliczności określonych w art. 17 ust. 1 RODO, w tym gdy dane nie są już niezbędne do celów, dla których zostały zebrane, gdy Użytkownik cofnął zgodę na przetwarzanie, lub gdy dane były przetwarzane niezgodnie z prawem. Prawo to nie ma zastosowania w przypadkach określonych w art. 17 ust. 3 RODO.
• Prawo do ograniczenia przetwarzania (art. 18 RODO) – Użytkownik ma prawo żądać od Administratora ograniczenia przetwarzania danych w przypadkach określonych w art. 18 ust. 1 RODO, w tym gdy kwestionuje prawidłowość danych, gdy przetwarzanie jest niezgodne z prawem, lub gdy wniósł sprzeciw wobec przetwarzania.
• Prawo do przenoszenia danych (art. 20 RODO) – Użytkownik ma prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przesłać te dane innemu administratorowi, jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy oraz w sposób zautomatyzowany.
• Prawo do sprzeciwu (art. 21 RODO) – Użytkownik ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jego szczególną sytuacją – wobec przetwarzania jego danych osobowych opartego na art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora). Administrator zaprzestanie przetwarzania danych, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności Użytkownika, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
• Prawo do cofnięcia zgody (art. 7 ust. 3 RODO) – W przypadku gdy przetwarzanie danych odbywa się na podstawie zgody (art. 6 ust. 1 lit. a RODO), Użytkownik ma prawo w dowolnym momencie cofnąć zgodę na przetwarzanie danych osobowych, bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed cofnięciem zgody.
• Prawo do wniesienia skargi do organu nadzorczego (art. 77 RODO) – Użytkownikowi przysługuje prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, w przypadku uznania, że przetwarzanie jego danych osobowych narusza przepisy RODO.

Sposób realizacji praw:

W celu realizacji powyższych praw Użytkownik powinien skontaktować się z Administratorem za pośrednictwem adresu e-mail podanego w sekcji 1 niniejszej Polityki Prywatności. Administrator odpowie na wniosek Użytkownika bez zbędnej zwłoki, nie później jednak niż w ciągu miesiąca od otrzymania wniosku. W razie potrzeby termin ten może zostać przedłużony o kolejne dwa miesiące z uwagi na skomplikowany charakter wniosku lub liczbę wniosków, o czym Użytkownik zostanie poinformowany.

Egzaminer.pl może być używany przez osoby niepełnoletnie (np. uczniów szkoły podstawowej) w ramach korzystania z usług edukacyjnych. Podstawą przetwarzania danych jest art. 6 ust. 1 lit. b RODO – wykonanie umowy o świadczenie usług edukacyjnych.

Nie zbieramy dodatkowych danych osobowych ponad to, co jest niezbędne do funkcjonowania serwisu. W szczególności nie przetwarzamy danych w celach marketingowych ani nie profilujemy użytkowników.

Jeśli jesteś rodzicem lub opiekunem prawnym dziecka, które założyło konto w naszym serwisie, możesz:

• zażądać dostępu do danych dziecka,
• zażądać ich sprostowania lub usunięcia,
• skontaktować się z nami w każdej sprawie związanej z przetwarzaniem danych dziecka.

W tym celu prosimy o kontakt pod adresem e-mail podanym w serwisie. Odpowiemy niezwłocznie, zgodnie z obowiązującymi przepisami RODO.

Dane przechowywane są przez okres korzystania z serwisu oraz przez okres wymagany przepisami prawa lub do momentu wycofania zgody – jeśli dane były przetwarzane na jej podstawie.

Dbamy o bezpieczeństwo danych użytkowników, stosując sprawdzone środki techniczne i organizacyjne. W szczególności:

• Hasła są szyfrowane z wykorzystaniem silnych algorytmów kryptograficznych i wielu iteracji,
• Sesje użytkowników są chronione za pomocą bezpiecznych ciasteczek z automatycznym wygaszaniem i monitorowaniem aktywności,
• Dane wejściowe są walidowane, co chroni przed typowymi atakami (takimi jak XSS, CSRF czy SQL injection),
• Transmisja danych odbywa się wyłącznie przez HTTPS, z pełnym szyfrowaniem,
• Nagłówki HTTP są skonfigurowane w sposób zwiększający odporność serwisu na ataki,
• Działanie serwisu jest stale monitorowane pod kątem prób nieautoryzowanego dostępu i nietypowej aktywności,
• Wszystkie dane użytkowników są sprawdzane i oczyszczane przed dalszym przetwarzaniem,
• Formularze są chronione przed spamem i zautomatyzowanymi atakami,
• Systemy są regularnie aktualizowane, a nowe zagrożenia są na bieżąco analizowane.

Naszym celem jest zapewnienie stabilnego, bezpiecznego środowiska, w którym prywatność użytkowników pozostaje pod kontrolą.

Zastrzegamy sobie prawo do zmian w niniejszej polityce. Użytkownicy zostaną poinformowani o zmianach za pośrednictwem serwisu lub drogą e-mailową.

Dbamy o prywatność naszych użytkowników i stosujemy zasadę minimalizacji danych – przetwarzamy wyłącznie te informacje, które są niezbędne do świadczenia naszych usług edukacyjnych.

Serwis nie profiluje użytkowników, nie prowadzi działań marketingowych, nie korzysta z reklam zewnętrznych ani systemów śledzenia zachowań. Wszelkie funkcje serwisu – w tym sztuczna inteligencja, gry edukacyjne czy statystyki – działają lokalnie w obrębie naszej platformy i nie wykorzystują danych do żadnych innych celów poza bezpośrednią obsługą konta użytkownika.

Projektując serwis, priorytetowo traktujemy bezpieczeństwo i prywatność – zarówno pod kątem technicznym, jak i organizacyjnym.