Polityka prywatności seriwsu jazdeo

§1. Postanowienia ogólne

1. Niniejsza Polityka Prywatności określa zasady:
   1. przetwarzania danych osobowych przez serwis Jazdeo,
   2. zapisywania i odczytywania informacji na urządzeniach Użytkowników (pliki cookies i podobne technologie),
   3. przetwarzania danych w ramach aplikacji SaaS do zarządzania szkołami jazdy (OSK).
2. Polityka ma zastosowanie do:
   1. strony internetowej https://jazdeo.com (landing i treści informacyjne),
   2. aplikacji https://app.jazdeo.com (platforma SaaS),
   3. wszelkich formularzy kontaktowych, newsletterów oraz innej komunikacji elektronicznej prowadzonej przez Administratora.
3. Korzystanie z Serwisu oznacza zapoznanie się z niniejszą Polityką. W sprawach nieuregulowanych Polityką stosuje się przepisy powszechnie obowiązującego prawa, w szczególności RODO.

§2. Administrator danych i dane kontaktowe

1. Administratorem danych osobowych jest „Karol Świderski”, adres: ul. Warszawska 40/2A, 40-008 Katowice, Polska, NIP: 9542872936, (dalej: „Administrator” albo „My”).
2. Kontakt z Administratorem możliwy jest poprzez:
   1. adres korespondencyjny: jak wyżej,
   2. e-mail: kontakt@jazdeo.com,
   3. telefon: +48 516 459 810,
   4. formularz kontaktowy na stronie https://jazdeo.com/kontakt (lub inny aktualny adres kontaktowy wskazany w Serwisie).
3. Administrator nie powołał Inspektora Ochrony Danych. Wszelkie sprawy związane z ochroną danych należy kierować bezpośrednio do Administratora.

§3. Zakres stosowania - kiedy jesteśmy Administratorem, a kiedy Procesorem

1. W zależności od kontekstu przetwarzania danych, Administrator może występować:
   1. jako Administrator danych osobowych - w szczególności wobec:
      • osób odwiedzających stronę jazdeo.com,
      • osób zakładających lub posiadających konto w aplikacji (właściciele OSK, pracownicy biura, instruktorzy),
      • osób zapisanych na newsletter lub kontaktujących się przez formularze, e-mail, telefon,
      • potencjalnych klientów (OSK) w ramach działań sprzedażowych i marketingowych,
   2. jako Podmiot przetwarzający (Procesor) - w szczególności wobec:
      • danych kursantów i innych osób fizycznych wprowadzanych do systemu przez Ośrodki Szkolenia Kierowców (OSK),
      • danych instruktorów i pracowników OSK, jeśli to OSK decyduje o celach i sposobach ich przetwarzania w ramach aplikacji.
2. W zakresie, w jakim OSK korzystają z aplikacji Jazdeo w celu przetwarzania danych swoich kursantów, to OSK pozostaje Administratorem tych danych, a Jazdeo przetwarza je wyłącznie w ich imieniu, na podstawie odrębnej umowy powierzenia przetwarzania danych (DPA) lub odpowiednich postanowień umownych.
3. Niniejsza Polityka opisuje:
   1. zasady przetwarzania danych,
   2. ogólne zasady, na jakich przetwarzamy dane jako Podmiot przetwarzający na rzecz OSK.

§4. Kategorie osób, których dane dotyczą

Administrator może przetwarzać dane następujących kategorii osób:

1. Od odwiedzających stronę jazdeo.com oraz podstrony - dane zbierane automatycznie (logi, cookies, dane analityczne).
2. Od użytkowników aplikacji:
   • administrator szkoły jazdy - OSK,
   • pracownik biura OS,
   • instruktor jazd,
   • kursant.
3. Od osób kontaktujących się z Administratorem (formularz, e-mail, telefon, social media).
4. Od subskrybentów newslettera i osób biorących udział w testach / pilotażu.
5. Od osób reprezentujących klientów i potencjalnych klientów (właściciele OSK, osoby podejmujące decyzje).

§5. Rodzaje przetwarzanych danych

1. Dane gromadzone automatycznie (logi, techniczne)

• adres IP,
• data i czas połączenia,
• identyfikator urządzenia i sesji,
• typ i wersja przeglądarki,
• system operacyjny,
• przybliżone dane o lokalizacji (na podstawie IP),
• odwiedzane podstrony i działania w aplikacji (np. rezerwacje, logowania, błędy).

2. Dane użytkowników aplikacji (OSK, biuro, instruktorzy, kursanci)

• imię, nazwisko, data urodzenia
• nazwa szkoły jazdy i dane firmy (NIP, adres, dane rozliczeniowe),
• adres e-mail, numer telefonu,
• dane konta (login, hasło - przechowywane w postaci zahashowanej),
• uprawnienia / rola w systemie,
• kategorię prawa jazdy i typ kursu,
• harmonogram jazd, historia odbytych godzin,
• dane związane z płatnościami za kurs (np. informacje o rozliczeniu godzin, status opłacenia).
• historia logowania i aktywności w aplikacji (rezerwacje, potwierdzenia godzin, notatki techniczne).

3. Dane związane z rozliczeniami

• dane identyfikujące OSK jako klienta (nazwa, adres, NIP),
• dane osoby do kontaktu w sprawach rozliczeń,
• informacje o wybranym planie, okresach rozliczeniowych, płatnościach.

4. Dane marketingowe i kontaktowe

• adres e-mail,
• imię / nazwisko i stanowisko w OSK,
• numer telefonu,
• historia kontaktu (wiadomości, rozmowy, notatki handlowe),
• informacja o zgodach marketingowych.

§6. Źródła danych

1. Dane pochodzą przede wszystkim:
   1. bezpośrednio od osoby, której dane dotyczą (np. rejestracja konta, kontakt, newsletter),
   2. od OSK, które wprowadzają dane swoich pracowników, instruktorów i kursantów do aplikacji,
   3. z systemów teleinformatycznych (logi serwera, zdarzenia aplikacyjne, cookies, narzędzia analityczne).
2. W przypadku danych instruktorów lub kursantów wprowadzanych przez OSK, jeżeli OSK nie decyduje się na utworzenie konta do którego instruktor lub kursant będzie miał dostęp, OSK jest zobowiązany poinformować te osoby o przetwarzaniu ich danych w aplikacji Jazdeo oraz o roli Jazdeo jako podmiotu przetwarzającego.

§7. Cele i podstawy prawne przetwarzania danych

1. Dane przetwarzane przez Administratora jako Administrator danych

1. Założenie i utrzymanie konta w aplikacji
   • cel: świadczenie usługi drogą elektroniczną (Jazdeo),
   • podstawa: art. 6 ust. 1 lit. b RODO (wykonanie umowy).
2. Realizacja umowy z OSK (klientem)
   • cel: zawarcie i wykonywanie umowy, obsługa płatności, fakturowanie, wsparcie techniczne,
   • podstawa: art. 6 ust. 1 lit. b RODO (umowa) oraz lit. c (obowiązki podatkowe, rachunkowe).
3. Utrzymanie bezpieczeństwa i stabilności aplikacji
   • cel: logowanie zdarzeń, zapobieganie nadużyciom, analiza błędów, zabezpieczenia dostępu,
   • podstawa: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes - zapewnienie bezpieczeństwa usług).
4. Kontakt z użytkownikami i osobami zainteresowanymi
   • cel: odpowiedź na zapytania, wsparcie techniczne, ustalanie szczegółów współpracy,
   • podstawa: art. 6 ust. 1 lit. b RODO (działania przed zawarciem umowy) lub lit. f (prawnie uzasadniony interes - komunikacja biznesowa).
5. Newsletter i komunikacja marketingowa
   • cel: przesyłanie informacji o nowych funkcjach, ofertach, materiałach edukacyjnych,
   • podstawa: art. 6 ust. 1 lit. a RODO (zgoda) oraz przepisy Prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną.
6. Marketing bezpośredni skierowany do klientów B2B (OSK)
   • cel: pozyskiwanie i utrzymanie klientów, wysyłka informacji handlowych do firm,
   • podstawa: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes - marketing własnych usług w relacji B2B).
7. Ustalenie, dochodzenie i obrona przed roszczeniami
   • cel: ewentualne dochodzenie roszczeń lub obrona przed nimi, archiwizacja dowodowa,
   • podstawa: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes - ochrona praw).
8. Analityka korzystania z Serwisu
   • cel: analiza danych statystycznych, poprawa użyteczności, optymalizacja funkcjonalności,
   • podstawa: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes - rozwój usługi), a w zakresie, w jakim wymagana jest zgoda cookie - art. 6 ust. 1 lit. a RODO.

2. Dane przetwarzane przez Administratora jako Podmiot przetwarzający (Procesor)

1. Przetwarzanie danych kursantów i instruktorów na rzecz OSK
   • cel: udostępnienie OSK systemu do zarządzania kursantami, instruktorami, harmonogramem jazd, rozliczeniami,
   • podstawa: art. 28 RODO - przetwarzanie na podstawie umowy powierzenia z OSK, które pozostaje Administratorem danych.
2. Szczegółowe cele przetwarzania danych kursantów (np. przygotowanie do egzaminu, wewnętrzne rozliczenia OSK) określa OSK w swojej dokumentacji i obowiązku informacyjnym wobec kursantów.

§8. Prawnie uzasadnione interesy realizowane przez Administratora

Za prawnie uzasadniony interes w rozumieniu art. 6 ust. 1 lit. f RODO uznaje się w szczególności:

1. zapewnienie bezpieczeństwa aplikacji i sieci,
2. zapobieganie nadużyciom i oszustwom,
3. marketing własnych usług w relacjach B2B,
4. dochodzenie roszczeń i obrona przed nimi,
5. analiza statystyczna i rozwój funkcjonalności Serwisu,
6. testowanie nowych funkcji w ograniczonej grupie użytkowników (np. pilotaż).

§9. Odbiorcy danych i kategorie podmiotów przetwarzających

1. Dane mogą być udostępniane następującym kategoriom odbiorców:
   1. Dostawcy infrastruktury IT i hostingu
      • np. dostawca bazy danych i hostingu aplikacji,
      • dostawca hostingu i serwowania frontendu.
   2. Dostawcy usług e-mail i powiadomień
      • dostawcy systemów do wysyłki wiadomości transakcyjnych i marketingowych.
   3. Dostawcy narzędzi analitycznych i monitoringu
      • systemy analizy ruchu (np. narzędzia analityczne),
      • systemy logowania błędów i monitoringu działania aplikacji.
   4. Dostawcy usług księgowych i płatności
      • biuro rachunkowe,
      • operatorzy płatności (jeśli są stosowani do obsługi subskrypcji).
   5. Podmioty świadczące usługi prawne, doradcze i audytowe, jeśli jest to konieczne do ochrony naszych praw.
2. Dane mogą być przekazywane organom publicznym, jeśli obowiązek taki wynika z przepisów prawa.
3. Aktualna lista kluczowych podmiotów przetwarzających może być udostępniona na żądanie uprawnionych użytkowników (w szczególności OSK jako klienci).

§10. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)

1. Część dostawców usług IT (np. dostawcy chmury, narzędzi analitycznych lub wysyłki e-mail) może mieć siedzibę poza EOG lub wykorzystywać infrastrukturę zlokalizowaną poza EOG (np. w Stanach Zjednoczonych).
2. W przypadku przekazywania danych poza EOG stosujemy wyłącznie mechanizmy dopuszczone przez RODO, w szczególności:
   1. decyzje wykonawcze Komisji Europejskiej (np. EU-US Data Privacy Framework),
   2. standardowe klauzule umowne (Standard Contractual Clauses - SCC),
   3. inne odpowiednie zabezpieczenia przewidziane w art. 46-49 RODO.
3. Informacja o stosowanych zabezpieczeniach może zostać udostępniona na żądanie osoby, której dane dotyczą, w granicach dopuszczanych przez prawo i tajemnicę przedsiębiorstwa.

§11. Okres przetwarzania danych

1. Dane osobowe przetwarzamy przez okres:
   1. Konto w aplikacji - przez czas trwania umowy / korzystania z aplikacji przez OSK oraz osoby posiadające konta, a następnie przez okres przedawnienia ewentualnych roszczeń.
   2. Dane kursantów przetwarzane jako Procesor - przez czas trwania umowy z OSK oraz zgodnie z instrukcjami OSK. Po zakończeniu współpracy dane są usuwane.
   3. Dane dla celów księgowych i podatkowych - przez okres wymagany przez przepisy prawa.
   4. Newsletter i komunikacja marketingowa - do momentu wycofania zgody lub wniesienia sprzeciwu, nie dłużej niż jest to konieczne do realizacji celów marketingowych.
   5. Dane w logach systemowych i technicznych - przez okres niezbędny do zapewnienia bezpieczeństwa, analizy błędów i optymalizacji działania systemu.
   6. Dane przetwarzane na podstawie uzasadnionego interesu - do czasu skutecznego wniesienia sprzeciwu lub ustania tego interesu.
2. Po upływie wskazanych okresów dane są usuwane lub poddawane anonimizacji.

§12. Obowiązek podania danych i konsekwencje ich niepodania

1. Podanie danych:
   1. w zakresie wymaganym do zawarcia i wykonania umowy (np. dane OSK, dane do faktury, dane konta użytkownika) - jest niezbędne, aby korzystać z aplikacji Jazdeo,
   2. w zakresie wymaganym przepisami prawa (np. dane księgowe) - jest obowiązkowe,
   3. w pozostałym zakresie (np. dodatkowe dane w profilu, zgody marketingowe) - jest dobrowolne.
2. Niepodanie danych:
   1. wymaganych umową - może uniemożliwić założenie konta lub korzystanie z aplikacji,
   2. wymaganych prawem - może uniemożliwić zawarcie lub realizację umowy,
   3. dobrowolnych - nie powoduje braku możliwości korzystania z Serwisu, ale może ograniczyć niektóre funkcje (np. brak newslettera).

§13. Prawa osób, których dane dotyczą

1. Osobie, której dane dotyczą, przysługują następujące prawa (w zakresie przewidzianym przez RODO):
   1. prawo dostępu do danych,
   2. prawo do sprostowania danych,
   3. prawo do usunięcia danych („prawo do bycia zapomnianym"),
   4. prawo do ograniczenia przetwarzania,
   5. prawo do przenoszenia danych,
   6. prawo do wniesienia sprzeciwu wobec przetwarzania danych - w szczególności wobec przetwarzania na podstawie uzasadnionego interesu i marketingu bezpośredniego,
   7. prawo do cofnięcia zgody w dowolnym momencie - w zakresie, w jakim przetwarzanie odbywa się na podstawie zgody (cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania przed jej cofnięciem),
   8. prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
2. Realizacja praw odbywa się poprzez kontakt z Administratorem, wykorzystując dane wskazane w §2.
3. W przypadku danych przetwarzanych przez Jazdeo jako Podmiot przetwarzający (np. dane kursantów OSK), żądania dotyczące tych danych powinny być w pierwszej kolejności kierowane do OSK jako Administratora danych.

§14. Zabezpieczenia danych

1. Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych adekwatnie do ryzyka, w szczególności zabezpiecza dane przed:
   • nieuprawnionym dostępem,
   • utratą, zniszczeniem, uszkodzeniem,
   • nieuprawnioną modyfikacją.
2. W szczególności stosowane są m.in.:
   • szyfrowanie połączeń (SSL/TLS) między urządzeniem użytkownika a Serwisem,
   • przechowywanie haseł w formie zaszyfrowanej (hash),
   • kontrola dostępu po stronie serwera,
   • mechanizmy autoryzacji i uprawnień zależnie od roli użytkownika,
   • mechanizmy logowania zdarzeń (logi bezpieczeństwa, logi aplikacyjne),
   • okresowe aktualizacje oprogramowania i infrastruktury.
3. Administrator dokłada starań, aby współpracować wyłącznie z podmiotami przetwarzającymi, które zapewniają odpowiednie gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.

§15. Pliki cookies i podobne technologie

1. Serwis wykorzystuje pliki cookies oraz podobne technologie lokalnego przechowywania danych w przeglądarce użytkownika.
2. Cookies mogą być używane w następujących celach:
   1. zapewnienie prawidłowego działania Serwisu i aplikacji (cookies techniczne, sesyjne),
   2. utrzymanie sesji użytkownika po zalogowaniu,
   3. zapamiętanie wybranych ustawień (np. preferencje interfejsu),
   4. prowadzenie anonimowych statystyk odwiedzin i sposobu korzystania z Serwisu,
   5. w ograniczonym zakresie - realizacja działań marketingowych, jeśli użytkownik wyrazi stosowne zgody.
3. W ramach Serwisu mogą być stosowane:
   1. cookies własne Administratora,
   2. cookies zewnętrzne dostawców narzędzi analitycznych i infrastrukturalnych.
4. Użytkownik może zmienić ustawienia cookies w swojej przeglądarce, w tym zablokować ich obsługę. Ograniczenie obsługi cookies może jednak wpływać na poprawne działanie Serwisu, w szczególności aplikacji app.jazdeo.com.
5. Szczegółowe informacje o stosowanych cookies mogą być publikowane w odrębnej „Polityce cookies" lub w banerze cookies w Serwisie.

§16. Logi systemowe, telemetria i analityka

1. W czasie korzystania z Serwisu zbierane są automatycznie dane w logach systemowych i aplikacyjnych. Dane te mogą obejmować:
   • adres IP,
   • datę i czas zdarzenia,
   • identyfikator użytkownika (jeśli jest zalogowany),
   • informacje o przeglądarce, systemie operacyjnym i urządzeniu,
   • informacje o błędach aplikacji i działaniach użytkownika (np. tworzenie rezerwacji).
2. Dane te są wykorzystywane w szczególności w celu:
   • zapewnienia bezpieczeństwa i stabilności działania aplikacji,
   • diagnostyki problemów technicznych,
   • tworzenia zagregowanych statystyk korzystania z Serwisu.
3. Administrator może wykorzystywać narzędzia analityczne (np. narzędzia do analizy ruchu i zdarzeń), z poszanowaniem przepisów dotyczących cookies oraz ochrony danych osobowych.

§17. Newsletter i komunikacja marketingowa

1. Użytkownik może dobrowolnie zapisać się na newsletter lub wyrazić zgodę na otrzymywanie informacji marketingowych (np. w formularzu zapisu lub przy zakładaniu konta).
2. W takim przypadku dane (adres e-mail, ewentualnie imię/nazwisko) są przetwarzane w celu:
   • wysyłki informacji o nowych funkcjach, treściach, ofertach,
   • prowadzenia działań marketingowych własnych usług Administratora.
3. Użytkownik może w każdej chwili zrezygnować z otrzymywania newslettera, korzystając z linku rezygnacji w każdej wiadomości lub kontaktując się z Administratorem.

§18. Zautomatyzowane przetwarzanie i profilowanie

1. Dane osobowe mogą być przetwarzane w sposób zautomatyzowany (np. w systemie, który automatycznie:
   • generuje harmonogramy jazd,
   • wysyła powiadomienia e-mail / SMS,
   • przypomina o płatnościach lub rezerwacjach).
2. Administrator nie podejmuje wobec użytkowników zautomatyzowanych decyzji wywołujących skutki prawne w rozumieniu art. 22 RODO ani w podobny sposób istotnie wpływających na sytuację użytkownika. System pełni funkcję narzędzia wspierającego pracę OSK.
3. Ewentualne decyzje dotyczące kursantów (np. dopuszczenie do egzaminu, decyzje organizacyjne) podejmują OSK - jako administratorzy danych tych osób.

§19. Zmiany Polityki Prywatności

1. Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności, w szczególności w przypadku:
   • zmiany przepisów prawa,
   • rozwoju funkcjonalności Serwisu,
   • zmian w zakresie wykorzystywanych technologii lub podmiotów przetwarzających.
2. O istotnych zmianach dotyczących danych użytkowników posiadających konto w aplikacji lub zapisanych na newsletter, Administrator może poinformować drogą e-mailową w rozsądnym terminie przed wejściem zmian w życie, jeśli będzie to wymagane przepisami prawa.
3. Aktualna wersja Polityki Prywatności jest zawsze dostępna na stronie https://jazdeo.com/polityka-prywatnosci (lub innym aktualnym adresie wskazanym przez Administratora).