Polityka Prywatności

Wersja 1.0 · Obowiązuje od: 1 lipca 2026 r.

Administrator danych osobowych (dla danych klientów Serwisu):
Centrum Siedlisko Spółka z ograniczoną odpowiedzialnością
ul. Staromiejska 42, 64-510 Nowa Wieś
KRS: 0001074516 · NIP: 7872145026 · REGON: 527159103
E-mail: kontakt@gradivo.pl

Spis treści

Definicje i role w przetwarzaniu danych
Dane klientów (Szkół) - przetwarzanie przez Administratora
Dane uczniów i rodziców - przetwarzanie na zlecenie Szkół
Dane dzieci - szczególne środki ostrożności
Odbiorcy danych i podpowierzenie
Przekazywanie danych poza EOG
Prawa osób, których dane dotyczą
Naruszenia ochrony danych
Zautomatyzowane podejmowanie decyzji i profilowanie
Bezpieczeństwo danych
Pliki cookie
Zmiany Polityki Prywatności
Kontakt i prawo do skargi

1. Definicje i role w przetwarzaniu danych

Niniejsza Polityka Prywatności opisuje zasady przetwarzania danych osobowych przez Centrum Siedlisko Sp. z o.o. jako operatora serwisu Gradivo (gradivo.pl) zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych.

Kluczowe rozróżnienie - dwie role: Gradivo pełni dwie różne role prawne w zależności od kategorii przetwarzanych danych. Ma to istotne znaczenie dla praw przysługujących osobom, których dane dotyczą.

Kategoria danych	Rola Gradivo	Administrator danych
Dane klientów (administratorów szkół, danych rozliczeniowych)	Administrator danych (art. 4 pkt 7 RODO)	Centrum Siedlisko Sp. z o.o.
Dane uczniów, rodziców/opiekunów, lektorów wprowadzane przez szkoły	Podmiot przetwarzający (art. 4 pkt 8 RODO)	Szkoła (Klient Serwisu)

2. Dane klientów (Szkół) - przetwarzanie przez Administratora

W zakresie, w którym Centrum Siedlisko Sp. z o.o. jest Administratorem danych, przetwarzamy następujące dane osobowe:

Kategoria danych	Cel przetwarzania	Podstawa prawna (RODO)	Okres przechowywania
Dane identyfikacyjne i kontaktowe Administratora szkoły (imię, nazwisko, e-mail, login, hasło w formie skrótu kryptograficznego)	Zawarcie i wykonanie umowy o świadczenie usług, obsługa konta	Art. 6 ust. 1 lit. b - niezbędność do wykonania umowy	Przez czas trwania umowy + 3 lata od jej rozwiązania (przedawnienie roszczeń)
Nazwa szkoły, dane adresowe, NIP (jeśli podano)	Wystawienie faktury VAT, dokumentacja podatkowa	Art. 6 ust. 1 lit. c - obowiązek prawny (ustawa o VAT, Ordynacja podatkowa)	5 lat od końca roku kalendarzowego, w którym wystawiono fakturę
Logi dostępu, adresy IP	Bezpieczeństwo systemu, diagnoza błędów, ochrona przed nadużyciami	Art. 6 ust. 1 lit. f - uzasadniony interes Administratora (bezpieczeństwo)	90 dni
Korespondencja e-mail (treść wiadomości)	Obsługa zapytań klientów, reklamacje, wsparcie techniczne	Art. 6 ust. 1 lit. f - uzasadniony interes Administratora (obsługa klientów)	3 lata od zakończenia korespondencji
Dane o korzystaniu z Serwisu (plany, daty logowania)	Zarządzanie subskrypcją, rozliczenia, doskonalenie usług	Art. 6 ust. 1 lit. b - wykonanie umowy; lit. f - uzasadniony interes	Przez czas trwania umowy + 3 lata

Dobrowolność podania danych

Podanie danych oznaczonych jako wymagane przy rejestracji jest dobrowolne, lecz niezbędne do zawarcia umowy i korzystania z Serwisu. Brak podania tych danych uniemożliwia rejestrację konta.

3. Dane uczniów i rodziców - przetwarzanie na zlecenie Szkół

Szkoły korzystające z Serwisu wprowadzają do systemu dane osobowe uczniów, ich rodziców/opiekunów oraz lektorów. W tej roli Centrum Siedlisko Sp. z o.o. działa jako Podmiot przetwarzający (Procesor) na podstawie Umowy powierzenia przetwarzania danych osobowych zawieranej z każdą Szkołą przy rejestracji (zob. Umowa Powierzenia).

Zakres przetwarzanych danych uczniów i rodziców obejmuje co do zasady:

imię i nazwisko ucznia,
przynależność do grupy i rok szkolny,
wyniki ewaluacji, oceny, komentarze lektora,
adres e-mail rodzica lub opiekuna (jeżeli Szkoła go poda - opcjonalne).

W przypadku pytań dotyczących przetwarzania tych danych - w tym prawa do dostępu, sprostowania lub usunięcia - należy kontaktować się bezpośrednio ze Szkołą, która jest Administratorem tych danych. Centrum Siedlisko Sp. z o.o. przetwarza te dane wyłącznie na polecenie i w imieniu Szkoły.

4. Dane dzieci - szczególne środki ostrożności

Dane osób niepełnoletnich: Serwis Gradivo jest przeznaczony dla szkół językowych, które mogą przetwarzać dane osobowe dzieci poniżej 16. roku życia. Przetwarzanie takich danych podlega szczególnej ochronie na mocy art. 8 RODO oraz krajowych przepisów o ochronie dzieci.

W związku z powyższym:

Szkoła (Administrator) jest wyłącznie odpowiedzialna za posiadanie odpowiedniej podstawy prawnej do przetwarzania danych uczniów - w tym w szczególności za uzyskanie zgody rodzica lub opiekuna prawnego w przypadku uczniów poniżej 16. roku życia (art. 8 RODO).
Gradivo jako Podmiot przetwarzający nie weryfikuje podstawy prawnej wskazanej przez Szkołę, lecz przetwarza dane wyłącznie na jej polecenie i zgodnie z zawartą Umową Powierzenia.
Gradivo stosuje techniczne środki minimalizacji danych - do ewaluacji wymagane jest wyłącznie imię ucznia i przynależność do grupy. Podanie adresu e-mail rodzica jest opcjonalne.
Dane uczniów nie są wykorzystywane przez Gradivo do żadnych własnych celów marketingowych, analitycznych ani profilowania.

5. Odbiorcy danych i podpowierzenie

Dane osobowe (zarówno klientów, jak i dane powierzone przez Szkoły) mogą być przekazywane następującym kategoriom odbiorców:

Odbiorca / kategoria	Cel	Podstawa
Dostawca hostingu i infrastruktury serwerowej	Przechowywanie danych na serwerach, utrzymanie techniczne	Umowa powierzenia z dostawcą; art. 28 RODO
Dostawca usług SMTP (poczta wychodząca)	Wysyłka raportów ewaluacyjnych, powiadomień e-mail	Umowa powierzenia z dostawcą; art. 28 RODO
Operator płatności (Stripe lub inny)	Obsługa płatności za subskrypcję	Umowa powierzenia / umowa administratora z administratorem; art. 28 RODO
Organy publiczne (Urząd Skarbowy, sądy, organy nadzoru)	Spełnienie obowiązków prawnych, postępowania urzędowe	Art. 6 ust. 1 lit. c RODO - obowiązek prawny

Nie sprzedajemy danych osobowych podmiotom trzecim. Nie udostępniamy ich w celach marketingowych podmiotom zewnętrznym.

Aktualna lista podprocesorów (podmiotów, którym Gradivo powierza przetwarzanie w ramach Umowy Powierzenia z Klientem) jest dostępna w Umowie Powierzenia. O planowanych zmianach podprocesorów informujemy Klientów z 14-dniowym wyprzedzeniem.

6. Przekazywanie danych poza EOG

Co do zasady dane osobowe są przetwarzane na serwerach zlokalizowanych na terenie Europejskiego Obszaru Gospodarczego (EOG).

W przypadku korzystania z usług zewnętrznych dostawców (np. operator SMTP, operator płatności), których serwery mogą być zlokalizowane poza EOG, przekazanie danych odbywa się wyłącznie z zastosowaniem odpowiednich zabezpieczeń wymaganych przez RODO, w szczególności:

standardowych klauzul umownych (SCC) przyjętych przez Komisję Europejską (decyzja 2021/914),
lub na podstawie decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (np. Data Privacy Framework dla USA).

7. Prawa osób, których dane dotyczą

7.1 W zakresie danych klientów (gdzie Gradivo jest Administratorem)

Przysługują Ci następujące prawa:

Prawo dostępu (art. 15 RODO) - prawo do uzyskania potwierdzenia, czy przetwarzamy Twoje dane, a jeśli tak - do uzyskania kopii tych danych,
Prawo do sprostowania (art. 16 RODO) - prawo do żądania niezwłocznego sprostowania nieprawidłowych danych lub uzupełnienia danych niekompletnych,
Prawo do usunięcia (art. 17 RODO) - prawo do żądania usunięcia danych ("prawo do bycia zapomnianym") w przypadkach przewidzianych w RODO,
Prawo do ograniczenia przetwarzania (art. 18 RODO) - prawo do żądania ograniczenia przetwarzania danych w określonych sytuacjach,
Prawo do przenoszenia danych (art. 20 RODO) - prawo do otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (dotyczy danych przetwarzanych na podstawie zgody lub umowy),
Prawo sprzeciwu (art. 21 RODO) - prawo do wniesienia sprzeciwu wobec przetwarzania danych opartego na prawnie uzasadnionym interesie Administratora (art. 6 ust. 1 lit. f),
Prawo do wycofania zgody - jeżeli przetwarzanie opiera się na zgodzie, prawo do jej wycofania w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania przed wycofaniem.

Wnioski prosimy kierować na adres e-mail: kontakt@gradivo.pl. Odpowiedzi udzielamy w terminie do 1 miesiąca od otrzymania wniosku (z możliwością przedłużenia o kolejne 2 miesiące w uzasadnionych przypadkach).

7.2 W zakresie danych uczniów i rodziców (gdzie Administratorem jest Szkoła)

W sprawach dotyczących danych uczniów i rodziców prosimy kontaktować się bezpośrednio ze Szkołą, która jest Administratorem tych danych. Na żądanie Szkoły pomożemy w realizacji praw.

8. Naruszenia ochrony danych

W przypadku stwierdzenia naruszenia ochrony danych osobowych:

Centrum Siedlisko Sp. z o.o. jako Administrator danych własnych zobowiązuje się do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych (PUODO) w terminie 72 godzin od stwierdzenia naruszenia, jeżeli naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych (art. 33 RODO).
Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, powiadomimy bez zbędnej zwłoki osoby, których dotyczy naruszenie (art. 34 RODO).
Centrum Siedlisko Sp. z o.o. jako Podmiot przetwarzający zobowiązuje się do powiadomienia każdej Szkoły (Administratora) o naruszeniu bez zbędnej zwłoki po jego stwierdzeniu, zgodnie z art. 33 ust. 2 RODO, nie później niż w ciągu 24 godzin.

9. Zautomatyzowane podejmowanie decyzji i profilowanie

Centrum Siedlisko Sp. z o.o. nie stosuje zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO, w tym profilowania, które wywoływałoby wobec osób fizycznych skutki prawne lub w podobny sposób istotnie na nie wpływało.

Dane wprowadzone przez szkoły nie są wykorzystywane przez Gradivo do tworzenia profili użytkowników ani uczniów na potrzeby własne Serwisu.

10. Bezpieczeństwo danych

Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed nieuprawnionym dostępem, utratą, ujawnieniem lub zniszczeniem, w szczególności:

szyfrowanie połączeń protokołem TLS (HTTPS),
przechowywanie haseł wyłącznie w postaci skrótów kryptograficznych (bcrypt),
przechowywanie bazy danych poza katalogiem dostępnym publicznie przez serwer HTTP,
izolację danych między poszczególnymi Szkołami (multi-tenancy z separacją na poziomie bazy danych),
ochronę formularzy przed atakami CSRF (Cross-Site Request Forgery),
ochronę przed SQL Injection (parametryzowane zapytania PDO),
blokowanie wykonywania plików PHP w katalogu przesyłanych plików,
automatyczne wygasanie sesji po 8 godzinach nieaktywności,
regularne kopie zapasowe danych.

11. Pliki cookie

Szczegółowe informacje o plikach cookie stosowanych w Serwisie, w tym ich rodzajach, celach i czasie przechowywania, znajdują się w Polityce Cookies.

Gradivo używa wyłącznie technicznie niezbędnych plików cookie (sesja logowania, token CSRF). Nie stosujemy plików cookie śledzących, analitycznych ani reklamowych. Nie wymagamy bannera zgody na cookies.

12. Zmiany Polityki Prywatności

Zastrzegamy sobie prawo do zmian niniejszej Polityki Prywatności z ważnych przyczyn (zmiany przepisów prawa, zmiany w zakresie usług, decyzje organów nadzorczych). O istotnych zmianach poinformujemy z co najmniej 14-dniowym wyprzedzeniem drogą e-mail lub poprzez komunikat w Serwisie. Aktualna wersja jest zawsze dostępna pod adresem gradivo.pl/prywatnosc.

13. Kontakt i prawo do skargi

W sprawach dotyczących ochrony danych osobowych prosimy kontaktować się:

E-mail: kontakt@gradivo.pl
Adres pocztowy: Centrum Siedlisko Sp. z o.o., ul. Staromiejska 42, 64-510 Nowa Wieś

Centrum Siedlisko Sp. z o.o. nie jest zobowiązana do powołania Inspektora Ochrony Danych (IOD) na podstawie art. 37 RODO. W sprawach ochrony danych możesz kontaktować się bezpośrednio z Zarządem Spółki.

Prawo do skargi do organu nadzorczego:
Masz prawo do wniesienia skargi do organu nadzorczego - w Polsce jest nim:

Prezes Urzędu Ochrony Danych Osobowych (PUODO)
ul. Stawki 2, 00-193 Warszawa
Telefon: 606-950-000 · E-mail: kancelaria@uodo.gov.pl
www.uodo.gov.pl