Cohorta
Sign up

Dokumenty

Polityka prywatności

TODO, radca prawny: uzupelnic dane administratora, DPO, dokladne cele, podstawy prawne i okresy retencji. Ponizej szkielet wymagany przez RODO art 13/14.

1. Administrator danych

TODO: nazwa firmy, NIP, REGON, adres siedziby, kontakt (email, telefon), dane DPO jesli wyznaczony.

2. Jakie dane zbieramy

  • TODO: dane konta (email, imie, nazwisko, awatar),
  • TODO: dane platnicze (przez Stripe, my dostajemy tylko metadata transakcji, nie numer karty),
  • TODO: tresci tworzone w platformie (posty, komentarze, wiadomosci, certyfikaty),
  • TODO: dane techniczne (IP, user agent, czas wizyty),
  • TODO: cookies (sesyjne, analityczne, marketingowe).

3. Cele przetwarzania i podstawa prawna

TODO, tabela cel → podstawa prawna → retencja:

  • Swiadczenie uslugi konta, art 6(1)(b) RODO (wykonanie umowy), retencja przez czas aktywnosci konta + 3 lata.
  • Realizacja platnosci, art 6(1)(b) i (c) RODO (obowiazki podatkowe), retencja 5 lat dokumenty ksiegowe.
  • Komunikacja transakcyjna (powiadomienia o kursie, certyfikatach), art 6(1)(b) RODO, retencja przez czas trwania subskrypcji.
  • Marketing wlasny, art 6(1)(f) RODO (uzasadniony interes) lub zgoda 6(1)(a) dla nowych uzytkownikow.
  • Bezpieczenstwo i logi, art 6(1)(f) RODO, retencja 90 dni.
  • Dochodzenie roszczen, art 6(1)(f) RODO, retencja do przedawnienia.

4. Komu udostepniamy dane

TODO, lista procesorow:

  • Supabase Inc., hosting baza danych i auth (EU lub US, SCC).
  • Vercel Inc., hosting aplikacji (EU/US).
  • Stripe Inc., platnosci (Irlandia/US).
  • Resend, dostawca email transakcyjnych.
  • TODO: uzupelnic ewentualne analityki (np. Plausible, PostHog, Google Analytics) i platformy social.

5. Przekazywanie poza EOG

TODO: opisac transfery do USA (Stripe, ewentualnie Vercel, Supabase US region), podstawa to standardowe klauzule umowne (SCC) i Data Privacy Framework.

6. Prawa osoby, ktorej dane dotycza

Zgodnie z RODO przysluguje Ci prawo do:

  • dostepu do danych (art 15),
  • sprostowania (art 16),
  • usuniecia (prawo do bycia zapomnianym, art 17),
  • ograniczenia przetwarzania (art 18),
  • przenoszenia danych (art 20),
  • sprzeciwu wobec przetwarzania (art 21),
  • cofniecia zgody w dowolnym momencie,
  • wniesienia skargi do Prezesa Urzedu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

TODO: wskazac kanal kontaktu (formularz / email DPO) i SLA na odpowiedz (do 1 miesiaca).

7. Cookies

TODO: lista cookies sesyjnych (Supabase auth), funkcjonalnych (preferencje motywu), analitycznych (jesli wprowadzone), prawo do wycofania zgody, link do ustawien.

8. Bezpieczenstwo

TODO: opis srodkow technicznych (TLS, RLS w bazie, admin access tylko przez authenticated server actions, sanityzacja tresci), incident response, czas notyfikacji UODO przy naruszeniu (72h).

9. Zmiany polityki

TODO: tryb zmian, kanal informowania uzytkownikow, data wejscia w zycie aktualnej wersji.