1. Administrator danych
Administratorem danych osobowych przetwarzanych w aplikacji KlasyKasa jest Operator wskazany w sekcji "Kontakt". Z Operatorem można skontaktować się pod adresem e-mail wskazanym w tej sekcji.
2. Kategorie przetwarzanych danych
W zakresie konta skarbnika:
- adres e-mail oraz imię i nazwisko (jeśli zostały podane przez dostawcę logowania);
- czas założenia konta i czas akceptacji regulaminu;
- preferowany język interfejsu.
W zakresie danych wprowadzanych przez skarbnika:
- nazwy klas i lista uczniów (imię, nazwisko, opcjonalnie inicjały do raportów publicznych);
- ewidencja zbiórek, wpłat i wydatków oraz dane rozliczeniowe;
- adresy e-mail rodziców/opiekunów wprowadzone przez skarbnika do udostępniania raportów lub komunikacji.
W zakresie technicznym:
- adres IP i identyfikator sesji w trakcie logowania (mechanizm anty-bot);
- dziennik zdarzeń w aplikacji (audit log) zawierający odniesienia do operacji wykonanych przez użytkownika.
3. Cele i podstawy prawne przetwarzania
| Cel | Podstawa prawna |
|---|---|
| Świadczenie Usługi (prowadzenie konta i ewidencji) | art. 6 ust. 1 lit. b RODO — wykonanie umowy |
| Realizacja obowiązków prawnych (księgowych, podatkowych, RODO) | art. 6 ust. 1 lit. c RODO |
| Zabezpieczenie aplikacji (anty-bot, dziennik zdarzeń) | art. 6 ust. 1 lit. f RODO — uzasadniony interes |
| Komunikacja związana z usługą (powiadomienia o zmianach regulaminu) | art. 6 ust. 1 lit. b/f RODO |
| Marketing własny (jeśli wprowadzony) | art. 6 ust. 1 lit. a RODO — zgoda |
4. Odbiorcy danych
Dane są przekazywane następującym podmiotom przetwarzającym (procesorom) na podstawie umów powierzenia (DPA):
- Vercel — hosting i edge runtime aplikacji
- Neon — baza danych Postgres
- Resend — wysyłka transakcyjnych wiadomości e-mail (linki magic-link)
- Cloudflare — Turnstile (anty-bot na ekranie logowania)
- Google — dostawca logowania OAuth (jeśli wybierzesz logowanie przez Google)
- Apple — dostawca logowania OAuth (jeśli wybierzesz logowanie przez Apple)
Pełna lista procesorów wraz z rolami i lokalizacjami przetwarzania jest utrzymywana w pliku docs/legal/processors.md w repozytorium aplikacji i pozostaje spójna z niniejszą polityką.
5. Okres przechowywania
- Dane konta i ewidencji — przez okres aktywnego konta. Po usunięciu konta dane są nieodwracalnie usuwane w pojedynczej transakcji bazodanowej.
- Dziennik zdarzeń (audit log) — po usunięciu konta historyczne wpisy pozostają w formie zanonimizowanej (powiązanie z użytkownikiem i klasą zostaje zerwane); same wpisy są zachowywane w celach forensycznych zgodnie z art. 6 ust. 1 lit. f RODO.
- Kopie zapasowe — kopia logiczna bazy danych przechowywana jest do 30 dni dla cyklu tygodniowego oraz do 12 miesięcy dla migawek miesięcznych. Usunięte dane znikają z najnowszych kopii niezwłocznie; w starszych kopiach pozostają do końca cyklu retencji.
6. Prawa osoby, której dane dotyczą
Przysługuje Ci prawo do:
- dostępu do swoich danych (art. 15 RODO);
- sprostowania (art. 16 RODO);
- usunięcia ("prawo do bycia zapomnianym", art. 17 RODO) — realizowane samoobsługowo z poziomu ustawień konta;
- przenoszenia danych (art. 20 RODO) — realizowane samoobsługowo poprzez funkcję eksportu w ustawieniach konta;
- sprzeciwu wobec przetwarzania (art. 21 RODO);
- wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
W zakresie danych dzieci wprowadzonych przez skarbnika do ewidencji klasowej, prawa te realizuje skarbnik na zlecenie opiekuna dziecka — usunięcie pojedynczego rekordu ucznia jest dostępne z poziomu ustawień klasy.
7. Pliki cookies
Aplikacja używa wyłącznie plików cookies niezbędnych do działania:
- ciasteczko sesji autoryzacyjnej (NextAuth);
- ciasteczko preferencji języka (PL/EN);
- ciasteczko anty-bot Cloudflare Turnstile (wystawione tylko na ekranie logowania).
Nie używamy cookies analitycznych ani marketingowych. W konsekwencji aplikacja nie wyświetla bannera cookie — zgodnie z wytycznymi RODO/PECR dla cookies ściśle niezbędnych nie jest on wymagany.
8. Zmiany polityki prywatności
Operator może zmienić niniejszą Politykę za uprzednim powiadomieniem Użytkowników. W przypadku zmian materialnych (poszerzenie zakresu przetwarzania, dodanie procesora) Użytkownik zostanie poproszony o ponowną akceptację.
9. Kontakt
Pytania dotyczące przetwarzania danych można kierować na adres e-mail wskazany w stopce aplikacji ("Kontakt").