Polityka Prywatności

Niniejsza Polityka Prywatności wyjaśnia, w jaki sposób Tomasz Żyłka, prowadzący jednoosobową działalność gospodarczą pod firmą Tomasz Zylka Veinito.com ("my", "nas", "nasz"), operator ClassKasa, zbiera, wykorzystuje i chroni Twoje dane osobowe podczas korzystania z naszej usługi. Zobowiązujemy się do ochrony Twojej prywatności zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych (RODO) oraz obowiązującymi przepisami o ochronie danych.

Administratorem danych odpowiedzialnym za Twoje dane osobowe jest: Tomasz Żyłka, prowadzący jednoosobową działalność gospodarczą pod firmą Tomasz Zylka Veinito.com, Bierzycka 8, 51-179 Wrocław, Polska. NIP: PL6452337008, REGON: 521704806. W sprawach związanych z prywatnością prosimy o kontakt pod adresem tomek@classkasa.com.

Nie wyznaczyliśmy Inspektora Ochrony Danych (IOD), ponieważ nie jesteśmy do tego zobowiązani na mocy art. 37 RODO. We wszystkich sprawach dotyczących ochrony danych prosimy o kontakt: tomek@classkasa.com.

Zbieramy następujące dane osobowe w celu świadczenia i ulepszania naszej usługi:

• Adres e-mail (do uwierzytelniania za pomocą linków magicznych)
• Twoje imię (wyświetlane członkom klasy)
• Nazwa rodziny (używana w grupach klasowych)
• Adresy e-mail rodziców (dodawane przez skarbników do zarządzania klasą)
• Dane konta bankowego (IBAN, wprowadzane przez skarbników do zbierania wpłat)
• Status płatności (czy rodzina opłaciła zbiórkę)
• Wiadomości czatu (jeśli korzystasz z chatbota AI — Twoje wiadomości i odpowiedzi chatbota — przechowywane przez 2 dni, następnie trwale usuwane)
• Pliki cookie (niezbędne i funkcjonalne, patrz sekcja Pliki cookie poniżej)

Jeśli korzystasz z funkcji Uzgadniania Wyciągow Bankowych (dostępnej dla subskrybentow Treasurer Premium), możesz przesyłac pliki wyciągow bankowych (PDF lub obrazy) w celu automatycznej ekstrakcji transakcji. Poniżej opisujemy, jak przetwarzamy te dane:

• Przesłane dokumenty: pliki wyciągów bankowych (w formacie PDF lub graficznym) zawierające szczegóły transakcji, imiona i nazwiska posiadaczy rachunków, numery IBAN, numery kont, opisy transakcji i kwoty.
• Wyodrębnione dane transakcji: opisy transakcji, kwoty, daty oraz imiona nadawców/odbiorców odczytane z przesłanego dokumentu przez analizę AI.
• Wyciągi bankowe mogą zawierać dane osobowe (PII), w tym imiona nadawców, numery IBAN, numery kont oraz opisy transakcji odnoszące się do konkretnych osób.

Podstawa prawna: Art. 6 ust. 1 lit. b) RODO — przetwarzanie jest niezbędne do wykonania umowy (Twojej subskrypcji Treasurer Premium). Każde skanowanie rozpoczynasz samodzielnie, przesyłając dokument i wyraźnie zatwierdzając wyodrębnione wyniki, zanim jakiekolwiek zapisy płatności zostaną zaktualizowane.

Podprocesor AI: Przesłane dokumenty są wysyłane do Anthropic, PBC (San Francisco, USA) za pośrednictwem API w celu wyodrębnienia transakcji przy użyciu modelu językowego Claude. Anthropic przetwarza dane wyłącznie w celu zwrócenia wyników do ClassKasa i nie wykorzystuje danych z API do trenowania swoich modeli. Podstawa przekazania: Standardowe Klauzule Umowne (SCC). Szczegóły w sekcji Podprzetwarzający.

Tymczasowe przechowywanie plików: Przesłane pliki są tymczasowo przechowywane w Netlify Blobs (region UE) podczas przetwarzania. Oryginalne pliki są usuwane natychmiast po zakończeniu analizy AI. ClassKasa nie przechowuje kopii Twoich wyciągów bankowych.

Okres przechowywania danych: Oryginalne przesłane pliki są usuwane natychmiast po przetworzeniu. Wyodrębnione metadane transakcji (opisy, kwoty, daty, dopasowane zapisy płatności) są przechowywane jako część ścieżki audytu Twojej klasy przez cały okres zbiórki. Możesz zażądać usunięcia wyodrębnionych danych, pisząc na tomek@classkasa.com.

Twoje prawa: Przysługuje Ci prawo dostępu, sprostowania oraz żądania usunięcia danych transakcji wyodrębnionych przez AI na podstawie art. 15–17 RODO. Możesz również wnieść sprzeciw wobec przetwarzania przez AI na podstawie art. 21 RODO. Ponieważ skarbnik musi wyraźnie zatwierdzić wszystkie dopasowania sugerowane przez AI przed zaktualizowaniem zapisów, nie zachodzi zautomatyzowane podejmowanie decyzji w rozumieniu art. 22 RODO.

Przetwarzamy Twoje dane w następujących celach: (a) świadczenie usługi ClassKasa, w tym zarządzanie kontem, członkostwo w klasie i śledzenie zbiórek — podstawa prawna: art. 6 ust. 1 lit. b) RODO (wykonanie umowy); (b) wysyłanie wiadomości transakcyjnych (linki magiczne, powiadomienia, przypomnienia) — podstawa prawna: art. 6 ust. 1 lit. b) RODO; (c) przetwarzanie zapytań chatbota AI — podstawa prawna: art. 6 ust. 1 lit. b) RODO (część usługi Premium); (d) ulepszanie usługi, bezpieczeństwo i zapobieganie oszustwom — podstawa prawna: art. 6 ust. 1 lit. f) RODO (uzasadniony interes); (e) wypełnianie obowiązków prawnych (dokumentacja podatkowa, faktury) — podstawa prawna: art. 6 ust. 1 lit. c) RODO.

Jeśli skarbnik klasy dodał Twój adres e-mail do klasy w ClassKasa, Twoje dane (e-mail, imię, status płatności) są przetwarzane wspólnie przez skarbnika i ClassKasa. Nie byłeś pytany bezpośrednio — to skarbnik przekazał Twoje dane. Przysługują Ci te same prawa co każdemu użytkownikowi (dostęp, sprostowanie, usunięcie itp.). Aby z nich skorzystać, skontaktuj się ze skarbnikiem lub z ClassKasa pod adresem tomek@classkasa.com. Twoje dane są wykorzystywane wyłącznie do zarządzania funduszem klasowym i zostaną usunięte w ciągu 30 dni od usunięcia konta lub klasy.

Gdy skarbnik tworzy klasę i wprowadza dane rodziców, ClassKasa i skarbnik działają jako współadministratorzy. Skarbnik decyduje, których rodziców dodać i w jakim celu. ClassKasa zapewnia infrastrukturę techniczną i przetwarza dane odpowiednio. Rodzice mogą realizować swoje prawa wynikające z RODO, kontaktując się z którąkolwiek ze stron. Punktem kontaktowym dla osób, których dane dotyczą, jest ClassKasa: tomek@classkasa.com.

Przechowujemy Twoje dane osobowe przez okres istnienia Twojego konta. Po usunięciu konta usuniemy Twoje dane osobowe w ciągu 30 dni, chyba że prawo wymaga od nas przechowywania określonych zapisów.

• Faktury i dokumentacja podatkowa są przechowywane przez 5 lat po zakończeniu roku podatkowego, w którym miała miejsce transakcja, zgodnie z polskim prawem podatkowym i Ustawą o rachunkowości.
• Logi bezpieczeństwa (zanonimizowane adresy IP, znaczniki czasu logowania) są przechowywane przez okres do 90 dni w celach zapobiegania oszustwom i bezpieczeństwa.
• Wiadomości chatbota AI są automatycznie usuwane po 2 dniach.

Korzystamy z następujących usług zewnętrznych do obsługi ClassKasa:

• Neon (hosting bazy danych, Frankfurt, Niemcy) — przechowuje dane Twojego konta i klasy w UE.
• Netlify (hosting aplikacji, UE) — udostępnia aplikację ClassKasa z centrów danych w UE.
• Resend (dostarczanie e-maili, USA z przetwarzaniem w UE) — wysyła e-maile z linkami magicznymi i powiadomienia w naszym imieniu. Podstawa przekazywania: EU-US Data Privacy Framework (DPF) lub Standardowe Klauzule Umowne (SKU).
• Stripe, Inc. (przetwarzanie płatności, USA/UE) — przetwarza płatności za subskrypcje ClassKasa Premium. Stripe posiada certyfikat EU-US Data Privacy Framework. ClassKasa udostępnia Stripe Twój adres e-mail i identyfikator klasy w celu utworzenia sesji checkout. Polityka prywatności Stripe: https://stripe.com/privacy.
• Anthropic, PBC (chatbot AI, San Francisco, USA) — przetwarza wiadomości chatbota AI za pomocą modelu językowego Claude. Gdy korzystasz z chatbota, Twoje wiadomości i odpowiedni kontekst klasy są przesyłane do API Anthropic. Anthropic nie wykorzystuje Twoich danych do trenowania swoich modeli. Podstawa przekazywania: Standardowe Klauzule Umowne (SKU).

Na mocy RODO przysługują Ci następujące prawa dotyczące Twoich danych osobowych:

• Prawo dostępu — żądanie kopii swoich danych osobowych.
• Prawo do sprostowania — poprawienie niedokładnych lub niekompletnych danych.
• Prawo do usunięcia — żądanie usunięcia swoich danych osobowych.
• Prawo do przenoszenia danych — otrzymanie danych w formacie nadającym się do odczytu maszynowego.
• Prawo do ograniczenia przetwarzania — żądanie ograniczenia przetwarzania danych.
• Prawo do sprzeciwu — sprzeciw wobec przetwarzania opartego na uzasadnionym interesie.
• Prawo do wycofania zgody — wycofanie zgody w dowolnym momencie, gdy przetwarzanie opiera się na zgodzie.
• Prawo do złożenia skargi — złożenie skargi do właściwego organu ochrony danych osobowych (patrz sekcja Organ nadzorczy).

Aby skorzystać z któregokolwiek ze swoich praw, wyślij e-mail na adres tomek@classkasa.com z tematem „Wniosek RODO”. Prosimy o podanie adresu e-mail, pod którym się zarejestrowałeś, abyśmy mogli zweryfikować Twoją tożsamość. Odpowiemy w ciągu jednego miesiąca od otrzymania wniosku, zgodnie z art. 12 ust. 3 RODO. W przypadku złożonych wniosków możemy przedłużyć ten termin o dwa dodatkowe miesiące, o czym poinformujemy.

Wiodącym organem nadzorczym ClassKasa jest Prezes Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, Polska (https://uodo.gov.pl). Niezależnie od miejsca zamieszkania masz prawo złożyć skargę do organu nadzorczego w państwie członkowskim UE/EOG, w którym zwykle przebywasz, pracujesz lub w którym doszło do domniemanego naruszenia (art. 77 RODO).

W przypadku naruszenia ochrony danych osobowych stwarzającego ryzyko dla Twoich praw powiadomimy właściwy organ nadzorczy w ciągu 72 godzin (art. 33 RODO). Jeśli naruszenie może spowodować wysokie ryzyko dla Ciebie, powiadomimy Cię bezpośrednio bez zbędnej zwłoki (art. 34 RODO).

ClassKasa jest przeznaczona dla dorosłych użytkowników (18+). Jeśli skarbnik wprowadza imię dziecka jako element listy klasy (np. „Klasa 3B — Leoś K.”), takie dane są przetwarzane w ramach współadministrowania opisanego powyżej. ClassKasa nie zbiera świadomie danych osobowych od dzieci poniżej 16 roku życia. Jeśli uważasz, że dane osobowe małoletniego zostały przetworzone bez odpowiedniej zgody, skontaktuj się z nami pod adresem tomek@classkasa.com.

ClassKasa używa minimalnego zestawu plików cookie, wszystkie niezbędne do działania usługi:

• ck_token — Ściśle niezbędny. Zawiera zaszyfrowaną sesję uwierzytelniania. Wygasa po wylogowaniu.
• ck_logged_in — Funkcjonalny. Niewrażliwa flaga wskazująca, czy jesteś zalogowany, używana do wyświetlania interfejsu.
• ck_locale — Funkcjonalny. Przechowuje preferowany język w celu zapewnienia spójnego doświadczenia między wizytami.

Twoje dane są głównie przechowywane i przetwarzane w Unii Europejskiej (baza danych Neon we Frankfurcie, hosting Netlify w UE). Niektóre podmioty przetwarzające (Resend, Stripe, Anthropic) mogą przetwarzać dane w Stanach Zjednoczonych. Transfery te są zabezpieczone na podstawie EU-US Data Privacy Framework (DPF), jeśli dostawca posiada certyfikat, lub na podstawie Standardowych Klauzul Umownych (SKU) zatwierdzonych przez Komisję Europejską. Szczegóły w sekcji Podmioty przetwarzające powyżej.

W sprawach dotyczących prywatności lub w celu skorzystania z przysługujących Ci praw skontaktuj się z nami pod adresem tomek@classkasa.com.

Jeśli klikniesz „Akceptuj wszystkie" na bannerze ciasteczek, ClassKasa dzieli się drobnymi sygnałami z Meta (Facebook + Instagram), żeby przestali pokazywać ci reklamy rzeczy, których nigdy nie chcesz, a zaczęli pokazywać naszą aplikację rodzicom takim jak ty.

Czym się dzielimy

Hashowany mail i IP, typ przeglądarki, strona na którą trafiłeś, oraz nazwy zdarzeń w aplikacji (rejestracja, utworzenie klasy, płatność). Surowy mail nigdy nie opuszcza przeglądarki — najpierw hashujemy go SHA-256.

Możesz zmienić zdanie w każdej chwili na naszej .