Polityka prywatności

§1. Administrator danych

1. Administratorem danych osobowych jest Dominik Łyp, prowadzący działalność gospodarczą pod adresem: ul. Wspólna 28, 05-822 Milanówek, NIP: 5080053342 (dalej: „Administrator").

2. Kontakt z Administratorem: dominik@herodio.app.

§2. Zakres i cele przetwarzania danych

Administrator przetwarza dane osobowe w następujących celach:

A. Dane Użytkowników Serwisu (właściciele/pracownicy Placówek):

• Imię i nazwisko, adres email — w celu utworzenia i obsługi konta (podstawa: art. 6 ust. 1 lit. b RODO — wykonanie umowy).

• Dane rozliczeniowe — w celu obsługi płatności za Subskrypcję (podstawa: art. 6 ust. 1 lit. b RODO — wykonanie umowy).

• Adres email — w celu komunikacji związanej z usługą, w tym powiadomień o zmianach (podstawa: art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes).

B. Dane wprowadzone przez Placówki (dane kursantów, rodziców/opiekunów):

• Imiona dzieci, daty urodzenia, imiona rodziców/opiekunów, dane kontaktowe (email, telefon) — przetwarzane przez Administratora jako podmiot przetwarzający (procesor) na zlecenie Placówki, która jest odrębnym administratorem tych danych.

• Podstawa: art. 28 RODO — umowa powierzenia przetwarzania danych.

C. Dane z formularza Widgetu zapisów:

• Imię dziecka, data urodzenia, imię rodzica/opiekuna, email, telefon — gromadzone na zlecenie Placówki w celu obsługi zapisu na zajęcia.

• Administratorem tych danych jest Placówka. Herodio przetwarza je jako podmiot przetwarzający.

§3. Przetwarzanie danych w celach marketingowych

1. Administrator może przetwarzać dane osobowe Użytkowników i rodziców/opiekunów w celach marketingowych, w tym do przesyłania informacji handlowych drogą elektroniczną, wyłącznie na podstawie dobrowolnie udzielonej zgody (art. 6 ust. 1 lit. a RODO).

2. Zgoda na komunikację marketingową obejmuje:

• Marketing Herodio i partnerów Herodio — informacje o usługach Herodio, produktach partnerów biznesowych Herodio, ofertach specjalnych i nowościach.

• Marketing Placówki — informacje o ofercie zajęciowej, promocjach i wydarzeniach organizowanych przez Placówkę, w której Rodzic zapisał dziecko.

3. Każda zgoda jest dobrowolna, niezależna od pozostałych i może być wycofana w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem.

4. Wycofanie zgody: kontakt na dominik@herodio.app lub bezpośrednio z Placówką (w przypadku zgody na marketing Placówki).

5. Dane przetwarzane w celach marketingowych obejmują: imię, adres email, numer telefonu.

6. Dane marketingowe mogą być udostępniane partnerom biznesowym Herodio wyłącznie w zakresie objętym udzieloną zgodą.

§4. Powierzenie przetwarzania danych

1. W zakresie danych osobowych kursantów i ich rodziców/opiekunów wprowadzonych do Serwisu przez Placówkę, Administrator działa jako podmiot przetwarzający (procesor) w rozumieniu art. 28 RODO.

2. Placówka, jako odrębny administrator danych, jest odpowiedzialna za uzyskanie odpowiednich zgód i podstaw prawnych do przetwarzania danych swoich kursantów i ich rodziców/opiekunów.

3. Administrator przetwarza powierzone dane wyłącznie w celu świadczenia usługi Serwisu i nie wykorzystuje ich do własnych celów.

§5. Odbiorcy danych

Dane osobowe mogą być przekazywane następującym kategoriom odbiorców:

• Supabase, Inc. (USA) — hosting bazy danych. Przekazanie na podstawie standardowych klauzul umownych (SCC).

• Vercel, Inc. (USA) — hosting aplikacji. Przekazanie na podstawie SCC.

• Stripe, Inc. (USA) — obsługa płatności. Przekazanie na podstawie SCC. Stripe jest niezależnym administratorem danych płatniczych.

• Google LLC (USA) — uwierzytelnianie OAuth. Przekazanie na podstawie SCC.

§6. Okres przechowywania danych

1. Dane konta Użytkownika — przechowywane przez czas trwania konta i 30 dni po jego usunięciu.

2. Dane rozliczeniowe — przechowywane przez okres wymagany przepisami prawa podatkowego (5 lat od końca roku podatkowego).

3. Dane kursantów i rodziców/opiekunów — przechowywane przez czas trwania Subskrypcji Placówki. Po zakończeniu Subskrypcji dane są usuwane w ciągu 90 dni, chyba że Placówka zażąda ich wcześniejszego usunięcia lub eksportu.

§7. Prawa osób, których dane dotyczą

Na podstawie RODO przysługują następujące prawa:

• Prawo dostępu do danych (art. 15)

• Prawo do sprostowania danych (art. 16)

• Prawo do usunięcia danych (art. 17)

• Prawo do ograniczenia przetwarzania (art. 18)

• Prawo do przenoszenia danych (art. 20)

• Prawo do sprzeciwu (art. 21)

Realizacja praw: dominik@herodio.app. Odpowiedź w terminie 30 dni.

Użytkownicy mają prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).

§8. Bezpieczeństwo danych

1. Dane przesyłane są z wykorzystaniem szyfrowania TLS.

2. Baza danych jest chroniona mechanizmem Row Level Security (RLS) — dane każdej Placówki są izolowane.

3. Hasła przechowywane są w formie zaszyfrowanej (bcrypt) przez Supabase Auth.

4. Dane kart płatniczych nie są przechowywane przez Administratora — obsługuje je wyłącznie Stripe.

5. Dostęp do infrastruktury ograniczony jest do upoważnionych osób.

§9. Zmiany polityki prywatności

1. Administrator zastrzega sobie prawo do zmiany Polityki prywatności.

2. O zmianach Użytkownicy zostaną powiadomieni drogą mailową z 14-dniowym wyprzedzeniem.

3. Polityka wchodzi w życie z dniem 18 marca 2026 r.