Strona główna Funkcje Blog
Zaloguj się Rozpocznij za darmo
Polityka prywatności Regulamin

Polityka Prywatności

Ostatnia aktualizacja: 11 maja 2026

1. Wprowadzenie

Niniejsza Polityka Prywatności określa zasady przetwarzania i ochrony danych osobowych użytkowników serwisu OcenaPracyNauczyciela.pl (zwanego dalej "Serwisem"). Ochrona Twoich danych osobowych jest dla nas priorytetem. Przetwarzamy dane zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) oraz ustawą o ochronie danych osobowych.

2. Administrator danych osobowych

Administratorem danych osobowych przetwarzanych w ramach serwisu OcenaPracyNauczyciela.pl jest:

Assistron sp. z o.o.
ul. Pszowska 26
44-300 Wodzisław Śląski
NIP: 647 26 10 571

Kontakt w sprawach ochrony danych:
Email: biuro@educhat.pl
Telefon: 603 544 154, 732 834 702

Inspektor Ochrony Danych: Administrator nie powołał Inspektora Ochrony Danych, gdyż na podstawie art. 37 RODO nie jest do tego zobowiązany (działalność nie polega na regularnym i systematycznym monitorowaniu osób na dużą skalę). We wszelkich sprawach związanych z ochroną danych osobowych prosimy o kontakt bezpośrednio z Administratorem pod adresem biuro@educhat.pl.

3. Zakres zbieranych danych

W Serwisie przetwarzamy następujące kategorie danych osobowych:

3.1. Dane dyrektorów szkół (użytkownicy Serwisu)

  • Imię i nazwisko
  • Adres e-mail
  • Hasło (przechowywane w formie zaszyfrowanej)
  • Nazwa szkoły
  • Typ szkoły
  • Data utworzenia konta
  • Data ostatniego logowania

3.2. Dane nauczycieli - specjalna ochrona RODO

✓ WAŻNE: Ochrona danych nauczycieli

Imiona i nazwiska nauczycieli NIE SĄ przechowywane na serwerze. Dane te są zapisywane wyłącznie w pamięci przeglądarki użytkownika (localStorage) i nigdy nie opuszczają urządzenia dyrektora szkoły. W bazie danych przechowujemy jedynie anonimowe identyfikatory UUID, które nie pozwalają na identyfikację nauczyciela bez dostępu do przeglądarki dyrektora.

3.3. Dane ocen

  • Wyniki punktowe oceny (bez powiązania z nazwiskiem nauczyciela na serwerze)
  • Dokumentacja oceny
  • Historia konwersacji z asystentem AI
  • Notatki dyrektora

3.4. Dane techniczne i statystyki

  • Adres IP urządzenia (logi serwera, przechowywane przez czas wymagany do zapewnienia bezpieczeństwa)
  • Informacje o przeglądarce i systemie operacyjnym (User-Agent)
  • Dane dotyczące korzystania z Serwisu (statystyki użytkowania, np. liczba utworzonych ocen)
  • Pliki cookies niezbędne do działania sesji oraz ochrony przed atakami CSRF

3.5. Dane dotyczące płatności (Plan Premium)

Przy zakupie Planu Premium przetwarzane są następujące dane (zarówno przez Administratora, jak i przez procesora płatności Stripe):

  • Imię i nazwisko Nabywcy
  • Adres zamieszkania (ulica, kod pocztowy, miasto) — niezbędny do wystawienia faktury
  • NIP oraz nazwa firmy / placówki — wyłącznie w przypadku wyboru opcji „Faktura VAT na firmę"
  • Kwota i data transakcji, status płatności
  • Identyfikator klienta Stripe (przechowywany przez Administratora w celu ponownej obsługi zakupów i wystawiania faktur)

Dane karty płatniczej (numer, CVC, data ważności) NIE są przechowywane przez Administratora — są obsługiwane bezpośrednio przez Stripe Payments Europe Ltd. zgodnie ze standardem PCI DSS Level 1.

3.6. Nagrania audio (funkcja dyktowania)

W przypadku korzystania z funkcji dyktowania głosem nagranie audio jest przekazywane do API transkrypcji (OpenAI Ireland Limited) wyłącznie w celu zamiany mowy na tekst. Nagranie nie jest zachowywane na naszym serwerze ani w bazie danych — jest przetwarzane wyłącznie w pamięci podczas pojedynczego żądania, a po uzyskaniu transkrypcji jest natychmiast usuwane.

3.7. Zgody Użytkownika

Przy rejestracji oraz zakupie Planu Premium odnotowujemy fakt udzielenia zgód (akceptacja Regulaminu, Polityki Prywatności oraz — w przypadku zakupu — zgoda na rozpoczęcie świadczenia usługi przed upływem terminu odstąpienia) wraz z datą i godziną. Stanowi to dowód spełnienia obowiązków wynikających z RODO oraz ustawy o prawach konsumenta.

4. Cel i podstawa prawna przetwarzania danych

Twoje dane osobowe przetwarzamy w następujących celach:

  • Świadczenie usług Serwisu - podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy)
  • Ocena pracy nauczycieli zgodnie z przepisami oświatowymi - podstawa prawna: art. 6 ust. 1 lit. c RODO (obowiązek prawny) oraz art. 6 ust. 1 lit. e RODO (zadanie realizowane w interesie publicznym)
  • Komunikacja z użytkownikami - podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy)
  • Analiza statystyk użytkowania - podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes)
  • Ochrona przed nadużyciami - podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes)

5. Udostępnianie danych — odbiorcy i procesorzy

Twoje dane osobowe mogą być udostępniane następującym podmiotom (procesorom danych) na podstawie zawartych umów powierzenia przetwarzania:

OpenAI — model AI i transkrypcja

  • Podmiot: OpenAI Ireland Limited, 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, D01 YC43, Irlandia — to ten podmiot świadczy usługi OpenAI dla użytkowników z Europejskiego Obszaru Gospodarczego.
  • Cel: generowanie odpowiedzi Asystenta AI oraz transkrypcja audio (funkcja dyktowania)
  • Zakres: treść konwersacji (po sanityzacji — bez nazwisk, PESEL, NIP, telefonów, adresów), nagrania audio (przetwarzane jednorazowo, niezachowywane)
  • Umowa powierzenia (DPA): Administrator zawarł z OpenAI Ireland Limited umowę powierzenia przetwarzania danych osobowych (Data Processing Addendum) w rozumieniu art. 28 RODO. Po stronie OpenAI dane są przetwarzane zgodnie z aktualnie obowiązującymi politykami tego dostawcy — w szczególności Privacy Policy, Business Terms oraz API Data Usage Policies. Zgodnie z politykami OpenAI dane przekazywane przez API nie są wykorzystywane do trenowania modeli, a logi żądań są domyślnie usuwane po 30 dniach.
  • Transfer poza EOG: OpenAI Ireland Limited może przekazywać dane do swojego podmiotu macierzystego OpenAI, Inc. (USA) — odbywa się to w oparciu o standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską oraz uczestnictwo OpenAI w EU-US Data Privacy Framework.

Stripe — procesor płatności

  • Podmiot: Stripe Payments Europe, Ltd. (siedziba: Dublin, Irlandia) oraz Stripe, Inc. (USA, dla niektórych operacji)
  • Cel: realizacja płatności za Plan Premium, automatyczne wystawianie faktur, obsługa zwrotów
  • Zakres: imię i nazwisko, adres rozliczeniowy, NIP (przy fakturze VAT), e-mail, dane karty płatniczej (przekazywane bezpośrednio do Stripe — Administrator nie ma do nich dostępu)
  • Transfer poza EOG: Stripe Inc. (USA) — w oparciu o SCC; Stripe jest certyfikowany w PCI DSS Level 1

OVH sp. z o.o. — hosting (VPS)

  • Podmiot: OVH sp. z o.o. z siedzibą w Warszawie (polski oddział grupy OVHcloud)
  • Cel: hosting Serwisu (serwer VPS) oraz kopie zapasowe
  • Lokalizacja danych: Centrum Danych OVH w Warszawie — dane pozostają w Polsce / na terenie EOG
  • Brak transferu poza EOG. OVH posiada certyfikaty ISO 27001, ISO 27017, ISO 27018 oraz standardową umowę powierzenia przetwarzania danych (DPA) z Administratorem.

Cloudflare — CDN, ochrona przed atakami

  • Podmiot: Cloudflare, Inc. (USA) — dla użytkowników z UE umowa zawierana jest z Cloudflare Ireland Ltd.
  • Cel: dystrybucja treści (CDN), ochrona przed atakami DDoS, zarządzanie ruchem sieciowym i certyfikatami SSL/TLS
  • Zakres: adres IP użytkownika, nagłówki HTTP, informacje o przeglądarce — dane techniczne niezbędne do filtrowania ruchu
  • Cloudflare nie ma dostępu do treści konwersacji w sposób umożliwiający jej odczyt (ruch HTTPS jest dla Cloudflare niezbędnym pośrednikiem terminującym TLS)
  • Transfer poza EOG: w oparciu o standardowe klauzule umowne (SCC) Komisji Europejskiej oraz uczestnictwo Cloudflare w EU-US Data Privacy Framework. Z Cloudflare Administrator ma zawartą umowę powierzenia przetwarzania danych (DPA).

Organy publiczne

  • Sądy, organy ścigania, organy administracji — wyłącznie w przypadku otrzymania prawnie wiążącego żądania na podstawie obowiązujących przepisów prawa.

Wszystkie podmioty przetwarzające dane w naszym imieniu działają na podstawie umów powierzenia przetwarzania danych (art. 28 RODO) i stosują odpowiednie środki techniczne oraz organizacyjne. Nie sprzedajemy danych osobowych żadnym osobom trzecim ani nie udostępniamy ich w celach marketingowych.

6. Okres przechowywania danych

  • Dane konta użytkownika — do momentu usunięcia konta lub żądania usunięcia danych
  • Dane ocen nauczycieli — przez okres wynikający z przepisów prawa oświatowego (min. 5 lat zgodnie z rozporządzeniem MEN)
  • Faktury i dokumenty rozliczeniowe — 5 lat licząc od końca roku kalendarzowego, w którym wystawiono fakturę (art. 86 § 1 Ordynacji podatkowej)
  • Logi serwera (adresy IP) — do 12 miesięcy w celu zapewnienia bezpieczeństwa i wykrywania nadużyć
  • Zgody Użytkownika — przez okres istnienia konta + okres przedawnienia roszczeń
  • Statystyki użytkowania — maksymalnie 2 lata
  • Cookies sesji — do zakończenia sesji przeglądarki
  • Nagrania audio (dyktowanie) — niezachowywane; przetwarzane jednorazowo i usuwane po transkrypcji

7. Twoje prawa

Zgodnie z RODO przysługują Ci następujące prawa:

  • Prawo dostępu - możesz uzyskać informację o przetwarzanych danych
  • Prawo do sprostowania - możesz poprawić nieprawidłowe dane
  • Prawo do usunięcia ("prawo do bycia zapomnianym") - z zastrzeżeniem obowiązków prawnych
  • Prawo do ograniczenia przetwarzania - w określonych sytuacjach
  • Prawo do przenoszenia danych - możesz otrzymać dane w formacie umożliwiającym ich przeniesienie
  • Prawo sprzeciwu - wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu
  • Prawo do cofnięcia zgody - jeśli przetwarzanie odbywa się na podstawie zgody
  • Prawo do wniesienia skargi — do Prezesa Urzędu Ochrony Danych Osobowych

Aby skorzystać z powyższych praw, skontaktuj się z nami:
Email: biuro@educhat.pl

Organ nadzorczy — adres do wniesienia skargi:
Prezes Urzędu Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
tel. 22 531 03 00 · uodo.gov.pl

8. Zautomatyzowane podejmowanie decyzji i sztuczna inteligencja

Serwis korzysta z systemu sztucznej inteligencji (modele językowe OpenAI) do sugerowania punktacji oceny pracy nauczyciela oraz generowania propozycji uzasadnień. Nie jest to jednak zautomatyzowane podejmowanie decyzji w rozumieniu art. 22 RODO, ponieważ:

  • AI nie wywołuje wobec żadnej osoby skutków prawnych ani podobnie istotnych skutków — sugestie są jedynie propozycją.
  • Ostateczna decyzja w sprawie oceny pracy nauczyciela zawsze należy do dyrektora szkoły (osoby uprawnionej w rozumieniu Karty Nauczyciela), który dokonuje przeglądu, korekty i akceptacji sugerowanej punktacji oraz dokumentacji.
  • Użytkownik ma pełną kontrolę nad treścią oceny — może zmienić, odrzucić lub poprawić każdą sugestię AI przed zatwierdzeniem.

System ten zaliczany jest do systemów AI wysokiego ryzyka w rozumieniu Rozporządzenia (UE) 2024/1689 (AI Act), ale dzięki obowiązkowemu nadzorowi człowieka spełnia wymogi art. 14 tego rozporządzenia (human oversight). Szczegóły w § 12 Regulaminu.

9. Pliki cookies, pamięć lokalna i Google Consent Mode v2

Serwis wykorzystuje pliki cookies należące do czterech kategorii: niezbędne (sesja, CSRF), reklamowe (Google Ads — pomiar konwersji z naszych kampanii), analityczne oraz funkcjonalne. Zgodnie z art. 5 ust. 3 dyrektywy ePrivacy (2002/58/WE) oraz art. 173 ust. 1 Prawa telekomunikacyjnego, cookies inne niż technicznie niezbędne ładujemy wyłącznie po Twojej wyraźnej zgodzie wyrażonej w bannerze przy pierwszej wizycie.

Stosujemy Google Consent Mode v2 — Twoja decyzja jest sygnalizowana Google w czasie rzeczywistym. Dopóki nie wyrazisz zgody na daną kategorię, odpowiednie cookies nie są ustawiane, a dane nie są wysyłane do Google. Decyzję możesz w każdej chwili zmienić klikając „Zarządzaj cookies" w stopce serwisu (art. 7 ust. 3 RODO — wycofanie zgody jest tak proste jak jej udzielenie).

9.1. Tabela używanych cookies

Nazwa Dostawca Cel Czas życia Kategoria
session OcenaPracyNauczyciela.pl (1st party — Assistron sp. z o.o.) Utrzymanie zalogowanego Użytkownika pomiędzy żądaniami HTTP. Cookie zawiera kryptograficznie podpisany identyfikator sesji oraz token CSRF chroniący formularze przed atakami cross-site request forgery. Podpisane HMAC-SHA256. 24 godziny lub do wylogowania Niezbędne
_gcl_au Google Ireland Limited (3rd party — Google Ads) Google Conversion Linker — przekazuje informację o kliknięciu reklamy w domenę reklamodawcy, umożliwiając poprawne przypisanie konwersji do kampanii Google Ads. 90 dni Reklamowe
_gcl_aw Google Ireland Limited (3rd party — Google Ads) Identyfikator kliknięcia reklamy Google Ads — używany do pomiaru skuteczności konkretnej kampanii i słowa kluczowego. 90 dni Reklamowe
_ga, _ga_* Google Ireland Limited (slot na Google Analytics 4 — obecnie nie używane) Anonimowe statystyki ruchu w serwisie (źródła, ścieżki, czas spędzony). Slot zarezerwowany — w razie wdrożenia GA4 zgoda będzie pytana w bannerze. 2 lata Analityczne

Cookie sesyjne ustawiane jest z flagami bezpieczeństwa: HttpOnly, Secure, SameSite=Lax.

9.2. Pamięć lokalna (localStorage)

Oprócz cookies Serwis wykorzystuje przeglądarkową pamięć lokalną (localStorage). Wpisy w localStorage nigdy nie są wysyłane na serwer — pozostają wyłącznie na urządzeniu Użytkownika:

  • teachers — lista nauczycieli (imiona, nazwiska, przedmioty) zarządzana przez Użytkownika. Architektura privacy-by-design opisana w §3.2.
  • cookieConsent_v2 — Twoja granularna decyzja co do kategorii cookies (analityczne / reklamowe / funkcjonalne) wraz ze znacznikiem czasowym. Ważna 12 miesięcy — po tym okresie banner pojawi się ponownie zgodnie z wytycznymi UODO.

9.3. Partnerzy reklamowi i analityczni

Jeśli wyrazisz zgodę na kategorię „Reklamowe", korzystamy z usług:

  • Google Ireland Limited — Gordon House, Barrow Street, Dublin 4, Irlandia (Google Ads, ID konta AW-18155739190). Transfer danych odbywa się w ramach EOG; gdy dane są przekazywane poza EOG, Google opiera się na standardowych klauzulach umownych (SCC) zatwierdzonych przez Komisję Europejską.

9.4. Jak zmienić zgodę

W każdej chwili możesz zmienić swoje preferencje klikając „Zarządzaj cookies" w stopce serwisu. Zmiana wchodzi w życie natychmiast — odpowiednie cookies są usuwane (jeśli wycofujesz zgodę) lub aktywowane (jeśli rozszerzasz zakres). Możesz również zarządzać cookies w ustawieniach przeglądarki, jednak wyłączenie cookies niezbędnych uniemożliwi działanie Serwisu (logowanie, sesja).

10. Bezpieczeństwo danych

Stosujemy odpowiednie środki techniczne i organizacyjne zapewniające ochronę danych:

  • Szyfrowanie połączenia HTTPS/TLS
  • Hashowanie haseł przy użyciu nowoczesnego algorytmu kryptograficznego
  • Regularne kopie zapasowe
  • Kontrola dostępu do danych (zasada najmniejszych uprawnień)
  • Minimalizacja danych — przechowujemy tylko niezbędne informacje
  • Automatyczne filtrowanie (sanityzacja) danych wrażliwych przed przekazaniem do zewnętrznych usług AI
  • Architektura „privacy by design" — imiona i nazwiska nauczycieli nie opuszczają przeglądarki Użytkownika

11. Zmiany Polityki Prywatności

Zastrzegamy sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności. O wszelkich zmianach poinformujemy użytkowników za pośrednictwem Serwisu lub e-mail. Aktualna wersja Polityki Prywatności jest zawsze dostępna pod adresem ocenapracynauczyciela.pl/polityka-prywatnosci.

12. Kontakt

W razie pytań dotyczących ochrony danych osobowych, prosimy o kontakt:

Operator: Assistron sp. z o.o.
Adres: ul. Pszowska 26, 44-300 Wodzisław Śląski
NIP: 647 26 10 571
Email: biuro@educhat.pl
Telefon: 603 544 154, 732 834 702
Nazwa serwisu: OcenaPracyNauczyciela.pl