Wróć
Ximly logo

Polityka Prywatności Platformy Ximly

Polska wersja niniejszego regulaminu jest wersją oryginalną i prawnie wiążącą.

§1. Postanowienia ogólne

  1. 1. Administratorem danych osobowych zbieranych za pośrednictwem Platformy Ximly (zwany dalej jako: Platforma) jest Ximly Spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie (30-554) przy ulicy Zamkniętej 10 lok. 1.5. zarejestrowaną w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Krakowa Śródmieścia w Krakowie, XI Wydział Gospodarczy KRS pod numerem KRS: 0001152079, NIP: 6793320888, REGON: 54074383 reprezentowana przez Prezesa Zarządu Krzysztofa Czaickiego, adres poczty elektronicznej: support@ximly.app, tel. 794 774 178 (zwany dalej jako: Administrator).
  2. 2. Dane osobowe zbierane przez Administratora za pośrednictwem Platformy są przetwarzane zgodnie z przepisami wynikającymi z Rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE Ogólne rozporządzenie o ochronie danych osobowych, zwane dalej RODO.
  3. 3. Wszelkie informacje przekazane przez Administratora w niniejszym dokumencie należy rozumieć zgodnie z ich definicją zawartą w Regulaminie Platformy.

§2. Rodzaje przetwarzanych danych oraz zakres i cel ich zbierania

  1. 1. Administrator przetwarza dane osobowe Użytkowników Platformy w przypadku:
    • a) rejestracji Konta Użytkownika (korepetytora, ucznia, rodzica/opiekuna prawnego ucznia) w celu uzyskania dostępu do Platformy i zarządzania swym kontem na podstawie art. 6 ust. 1 lit. b RODO,
    • b) otrzymywania od Administratora wiadomości e-mail, w tym wiadomości push (w przypadku konta rodzica/opiekuna prawnego ucznia) i wiadomości typu newsletter – Dane osobowe przetwarzane są po wyrażeniu odrębnej zgody, na podstawie art. 6 ust. 1 lit. a RODO,
    • c) dokonania płatności za kredyty lekcyjne przez korepetytora w celu przeprowadzenia lekcji z uczniami – Dane osobowe są przetwarzane na podstawie art. 6 ust. 1 lit. b RODO (wykonanie umowy) oraz art. 6 ust. 1 lit. c RODO (obowiązki prawne w zakresie rachunkowości i podatków)
    • d) zapewnienia bezpieczeństwa korzystania z Platformy, przeciwdziałania nadużyciom, prowadzenia analiz statystycznych i rozwoju funkcjonalności Platformy – Dane osobowe są przetwarzane na podstawie art. 6 ust. 1 lit. f RODO.
  2. 2. Administrator przetwarza następujące rodzaje danych osobowych:
    • a) w przypadku założenia konta – imię; nazwisko; adres e-mail; data urodzenia; adres IP; numer telefonu, w przypadku integracji z usługami Google: imię, nazwisko oraz adres e-mail pobrane z profilu Google,
    • b) w przypadku konta rodzica/opiekuna prawnego – oprócz danych wskazanych w ust. 2 pkt a powyżej, informacje związane z pokrewieństwem z uwagi na powiązanie konta z kontem ucznia, który w chwili założenia konta na Platformie nie ukończył 16-stego roku życia, mając na celu zadbać o bezpieczeństwo małoletnich (art. 6 ust. 1 lit. f RODO),
    • c) w przypadku udzielenia zgody na newsletter – adres e-mail,
    • d) w przypadku wiadomości push do rodzica/opiekuna prawnego – adres e-mail,
    • e) w przypadku konta korepetytora – oprócz danych wskazanych w ust. 2 pkt a powyżej, dane do fakturowania (NIP, adres prowadzenia działalności gospodarczej), ograniczone dane karty płatniczej, dane dotyczące wykształcenia i kwalifikacji (w przypadku weryfikacji konta Korepetytora).
  3. 3. Dane osobowe przechowywane są przez okres:
    • a) w przypadku przetwarzania w celu wykonania umowy – przez czas trwania umowy, a następnie przez okres przedawnienia roszczeń wynikających z umowy (co do zasady 6 lat, a dla roszczeń związanych z prowadzeniem działalności gospodarczej – 3 lata),
    • b) w przypadku przetwarzania na podstawie zgody – do czasu jej wycofania, a po jej wycofaniu przez okres przedawnienia roszczeń związanych z przetwarzaniem (co do zasady 6 lat, a dla roszczeń związanych z działalnością gospodarczą – 3 lata),
    • c) w przypadku przetwarzania w celu realizacji obowiązków prawnych (rachunkowość, podatki) – przez okres wymagany przepisami prawa (obecnie 5 lat od zakończenia roku podatkowego),
    • d) w przypadku przetwarzania w oparciu o uzasadniony interes Administratora – przez czas niezbędny do realizacji tego interesu lub do momentu skutecznego wniesienia sprzeciwu przez Użytkownika.
  4. 4. Podczas korzystania z Platformy gromadzone mogą być również dane techniczne, w szczególności: adres IP Użytkownika, adres IP dostawcy Internetu, rodzaj przeglądarki, rodzaj systemu operacyjnego, czas dostępu do Platformy oraz aktywność w ramach Platformy. Dane te przetwarzane są w celu zapewnienia bezpieczeństwa systemu informatycznego, dostosowywania funkcjonalności do urządzenia Użytkownika oraz prowadzenia analiz statystycznych – na podstawie art. 6 ust. 1 lit. f RODO.
  5. 5. Dane osobowe będą przetwarzane także w sposób zautomatyzowany w formie tzw. profilowania, o ile Użytkownik wyrazi na to zgodę – art. 6 ust. 1 lit. a RODO. Poprzez profilowanie Administrator uzyska informacje umożliwiające mu przypisanie danemu Użytkownikowi profilu w celu podejmowania wobec Użytkownika decyzji w zakresie przewidywania jego preferencji i funkcjonalności tych usług.
  6. 6. Administrator dokłada najwyższej staranności, aby chronić prawa i interesy osób, których dane są przetwarzane. W szczególności dba o to, aby dane były:
    • a) wykorzystywane w sposób zgodny z prawem,
    • b) gromadzone wyłącznie w jasno określonych i legalnych celach, a następnie nieprzetwarzane w sposób sprzeczny z tymi celami,
    • c) rzetelne, aktualne oraz adekwatne do potrzeb wynikających z celu ich przetwarzania,
    • d) przechowywane w formie pozwalającej na identyfikację osób tylko przez okres niezbędny do realizacji tego celu.
  7. 7. Administrator informuje, iż w związku z rozwojem Platformy mogą zostać wprowadzone dodatkowe funkcjonalności wymagające przetwarzania danych osobowych, w szczególności:
    • a) nagrywanie i przechowywanie lekcji online – w celach edukacyjnych, bezpieczeństwa i rozwoju usług (art. 6 ust. 1 lit. a RODO; art. 6 ust. 1 lit. f RODO)
    • b) integracja systemów płatności online – w celu umożliwienia rozliczeń pomiędzy Użytkownikami za pośrednictwem Platformy (art. 6 ust. 1 lit. b RODO; art. 6 ust. 1 lit. c RODO; art. 6 ust. 1 lit. f RODO)
    • c) rozwój narzędzi opartych na sztucznej inteligencji, wspierających Korepetytorów i Uczniów w procesie edukacyjnym (art. 6 ust. 1 lit. a RODO; art. 6 ust. 1 lit. f RODO).
  8. 8. Wdrożenie nowych funkcjonalności, o których mowa w ust. 7, każdorazowo będzie poprzedzone aktualizacją niniejszej Polityki Prywatności oraz poinformowaniem Użytkowników o zakresie nowych celów i podstaw prawnych przetwarzania danych z co najmniej 7-dniowym wyprzedzeniem poprzez przesłanie informacji o planowanym wprowadzeniu zmian na adres e-mail Użytkowników.

§3. Przetwarzanie konwersacji pomiędzy Użytkownikami

  1. 1. Administrator informuje, iż treści konwersacji prowadzonych pomiędzy Użytkownikami za pośrednictwem Platformy mogą być przetwarzane przez Administratora.
  2. 2. Przetwarzanie, o którym mowa w ust. 1, obejmuje w szczególności: treści wiadomości tekstowych, pliki przesyłane w ramach konwersacji, metadane (data, godzina, uczestnicy) oraz inne dane powiązane z komunikacją realizowaną w ramach Platformy.
  3. 3. Celem przetwarzania treści konwersacji jest:
    • a) zapewnienie bezpieczeństwa komunikacji oraz przeciwdziałanie nadużyciom i treściom bezprawnym,
    • b) umożliwienie rozpatrywania reklamacji i sporów pomiędzy Użytkownikami,
    • c) rozwój i dostosowywanie funkcjonalności Platformy do potrzeb Użytkowników, w tym tworzenie i doskonalenie narzędzi wspierających Korepetytorów w procesie nauczania,
    • d) prowadzenie analiz statystycznych i jakościowych w celu poprawy jakości świadczonych usług,
    • e) rozwój systemów opartych o sztuczną inteligencję wykorzystywanych w Platformie.
  4. 4. Podstawą prawną przetwarzania danych, o których mowa w ust. 1, jest:
    • a) niezbędność przetwarzania dla realizacji umowy o świadczenie usług drogą elektroniczną (art. 6 ust. 1 lit. b RODO),
    • b) prawnie uzasadniony interes Administratora polegający na zapewnieniu bezpieczeństwa i rozwoju usług (art. 6 ust. 1 lit. f RODO),
    • c) w zakresie rozwoju i wykorzystania narzędzi opartych o sztuczną inteligencję – zgoda Użytkownika (art. 6 ust. 1 lit. a RODO).
  5. 5. Dane, o których mowa w ust. 1, przechowywane są przez okres niezbędny do realizacji celów wskazanych w ust. 3, nie dłużej jednak niż przez 12 miesięcy od zakończenia danej konwersacji, chyba że dłuższy okres wynika z obowiązujących przepisów prawa lub z potrzeb rozstrzygania reklamacji bądź sporów.

§4. Udostępnianie danych osobowych

  1. 1. Dane osobowe Użytkowników mogą być udostępniane podmiotom współpracującym z Administratorem przy prowadzeniu Platformy. Dotyczy to w szczególności:
    • a) operatorów systemów płatniczych,
    • b) biura rachunkowego,
    • c) firm hostingowych,
    • d) dostawców oprogramowania wspierającego działalność (np. programów księgowych),
    • e) podmiotów obsługujących systemy mailingowe,
    • f) dostawców narzędzi i oprogramowania niezbędnego do funkcjonowania Serwisu,
    • g) podmioty oferujące usługi edukacyjne w ramach Platformy Ximly.
  2. 2. Podmioty wskazane w ust. 1 pkt a-f, w zależności od zawartych umów i charakteru współpracy, mogą działać na zlecenie Administratora (jako podmioty przetwarzające) lub samodzielnie decydować o celach i sposobach przetwarzania danych (jako administratorzy).
  3. 3. Wszystkie dane osobowe Użytkowników są przechowywane wyłącznie na obszarze Europejskiego Obszaru Gospodarczego (EOG).

§5. Prawo dostępu do danych oraz osób, których dane dotyczą

  1. 1. Osobie, której dane dotyczą, przysługują uprawnienia wynikające z przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO), w tym w szczególności:
    • a) prawo dostępu do danych osobowych (art. 15 RODO),
    • b) prawo do sprostowania danych (art. 16 RODO),
    • c) prawo do usunięcia danych – tzw. „prawo do bycia zapomnianym” (art. 17 RODO),
    • d) prawo do ograniczenia przetwarzania (art. 18 RODO),
    • e) prawo do przenoszenia danych (art. 20 RODO),
    • f) prawo do wniesienia sprzeciwu wobec przetwarzania danych (art. 21 RODO),
    • g) prawo do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem (art. 7 ust. 3 RODO).
  2. 2. W celu realizacji praw, o których mowa w ust. 1 pkt a-g powyżej, Użytkownik może skierować stosowne żądanie za pośrednictwem poczty elektronicznej na adres Administratora: support@ximly.app.
  3. 3. Administrator jest zobowiązany do realizacji żądania osoby, której dane dotyczą niezwłocznie, jednak nie później niż w terminie miesiąca od dnia jego otrzymania. W przypadkach uzasadnionych, w szczególności z uwagi na złożoność sprawy lub liczbę żądań, termin ten może ulec przedłużeniu o kolejne dwa miesiące. Administrator poinformuje osobę, której dane dotyczą, o przedłużeniu terminu oraz jego przyczynach w terminie miesiąca od dnia otrzymania żądania.
  4. 4. Dodatkowo, Użytkownik może w każdej chwili samodzielnie usunąć swoje konto (wraz z danymi osobowymi) korzystając z odpowiedniej funkcji dostępnej w ustawieniach profilu w Aplikacji ("Usuń konto") lub poprzez wysłanie wyraźnego żądania usunięcia danych na podany wyżej adres e-mail. Administrator realizuje takie żądanie niezwłocznie, zapewniając trwałe usunięcie danych.
  5. 5. Osoba, której dane dotyczą, ma prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stanisława Moniuszki 1A, 00-014 Warszawa, tel. 22 531-03-00, kancelaria@uodo.gov.pl) jeżeli uzna, że przetwarzanie danych narusza przepisy RODO.
  6. 6. Administrator powołał Inspektora Ochrony Danych, którego zadaniem jest w szczególności monitorowanie zgodności przetwarzania danych osobowych z przepisami prawa, udzielanie informacji Użytkownikom w zakresie przysługujących im praw oraz współpraca z organem nadzorczym.
  7. 7. Kontakt z Inspektorem Ochrony Danych jest możliwy w formie pisemnej na adres siedziby Administratora lub w formie elektronicznej na adres e-mail: support@ximly.app. Użytkownik ma prawo zwrócić się do Inspektora Ochrony Danych we wszystkich sprawach dotyczących przetwarzania jego danych osobowych oraz korzystania z praw przysługujących mu na mocy RODO.

§6. Podmiotowe wykorzystywanie plików Cookies

  1. 1. Administrator stosuje mechanizm plików Cookies w ramach Platformy. Instalacja plików Cookies jest niezbędna do prawidłowego świadczenia usług drogą elektroniczną oraz zapewnienia pełnej funkcjonalności Platformy w zakresie plików Cookies niezbędnych.
  2. 2. Pliki Cookies mogą być wykorzystywane w następujących celach:
    • a) zapewnienia prawidłowego działania i bezpieczeństwa Platformy (cookies niezbędne),
    • b) prowadzenia analiz statystycznych dotyczących aktywności Użytkowników (cookies analityczne),
    • c) usprawnienia funkcjonowania i dostosowania Platformy do indywidualnych potrzeb Użytkowników (cookies funkcjonalne),
    • d) realizacji działań marketingowych, w tym dostarczania spersonalizowanych treści (cookies marketingowe – stosowane wyłącznie za zgodą Użytkownika).
  3. 3. W ramach Platformy mogą być stosowane pliki Cookies własne Administratora oraz pliki Cookies podmiotów trzecich, w szczególności dostawców usług analitycznych, reklamowych lub płatniczych.
  4. 4. W zależności od czasu przechowywania, w ramach Platformy stosowane są następujące rodzaje plików Cookies:
    • a) sesyjne – przechowywane w urządzeniu końcowym Użytkownika do czasu opuszczenia Platformy lub wylogowania,
    • b) stałe – przechowywane w urządzeniu końcowym Użytkownika przez okres określony w parametrach plików Cookies lub do momentu ich usunięcia przez Użytkownika.
  5. 5. Pliki Cookies co do zasady nie zawierają danych osobowych umożliwiających bezpośrednią identyfikację Użytkownika. W zakresie, w jakim dane z plików Cookies mogą być powiązane z osobą fizyczną, ich przetwarzanie odbywa się zgodnie z Polityką Prywatności oraz na podstawie art. 6 ust. 1 lit. a, b lub f RODO.
  6. 6. Użytkownik ma możliwość samodzielnego określenia warunków przechowywania lub uzyskiwania dostępu do plików Cookies poprzez ustawienia przeglądarki internetowej, a także w każdej chwili wycofać zgodę na stosowanie plików Cookies innych niż niezbędne. Szczegółowe informacje znajdują się w Polityce Cookies dostępnej na Platformie.

§7. Dane Użytkownika Google (Google User Data) – Integracja z Kalendarzem

  1. 1. Platforma Ximly umożliwia Użytkownikom (Korepetytorom) integrację konta z usługami Google.
  2. 2. W ramach tej integracji, Platforma uzyskuje dostęp do następujących danych z konta Google Użytkownika:
    • Dane profilowe: Imię, nazwisko oraz adres e-mail – wykorzystywane wyłącznie w celu potwierdzenia tożsamości Użytkownika oraz powiązania konta Google z kontem na Platformie.
    • Dane Kalendarza: Informacje o wydarzeniach i dostępności – wykorzystywane wyłącznie do automatycznej synchronizacji harmonogramu lekcji.
  3. 3. Wykorzystanie i przekazywanie do jakiejkolwiek innej aplikacji informacji otrzymanych z interfejsów API Google będzie odbywać się zgodnie z Zasadami dotyczącymi danych użytkownika w usługach interfejsu API Google (Google API Services User Data Policy), w tym z wymaganiami ograniczonego użytkowania (Limited Use requirements).
  4. 4. Administrator oświadcza, że dane pozyskane za pośrednictwem Google API:
    • a) Nie są udostępniane podmiotom trzecim w celach reklamowych,
    • b) Nie są wykorzystywane do wyświetlania reklam,
    • c) Nie są sprzedawane.
  5. 5. W przypadku danych z Kalendarza – nie są wykorzystywane przez ludzi do odczytywania treści prywatnych wydarzeń (chyba że jest to niezbędne do celów bezpieczeństwa lub za zgodą Użytkownika w celach technicznych).
  6. 6. Użytkownik może w każdej chwili cofnąć integrację i dostęp do danych Google poprzez ustawienia na Platformie lub w ustawieniach bezpieczeństwa konta Google (https://myaccount.google.com/permissions).

§8. Postanowienia końcowe

  1. 1. Podanie danych osobowych przez Użytkownika jest dobrowolne.
  2. 2. Administrator oświadcza, iż w ramach Platformy korzysta z podmiotów świadczących usługi na rzecz Administratora (art. 28 RODO):
    • a) Pliki i kopie zapasowe: Cloudflare R2 – przechowywanie plików oraz backupów. Kopie zapasowe przechowywane są wyłącznie w regionie UE/EOG, w ramach infrastruktury Laravel Cloud oraz Cloudflare R2.
    • b) Usługi WebRTC, relay/CDN i zabezpieczenia: Cloudflare Realtime / Cloudflare – obsługa komunikacji w czasie rzeczywistym, transmisji danych oraz ochrony Serwisu.
    • c) Obsługa płatności: Stripe Payments Europe, Limited – przetwarzanie płatności w ramach UE/EOG. W określonych przypadkach możliwe jest wsparcie ze strony podmiotów grupy Stripe zlokalizowanych poza EOG (szczegóły w §11).
    • d) Wysyłka e-maili transakcyjnych i kodów: Resend – przetwarzanie danych zgodnie z lokalizacją określoną przez Resend. W niektórych przypadkach możliwy transfer danych poza EOG (szczegóły w §11).
    • e) Analityka produktu i UX: PostHog – prowadzenie analityki użytkowania i doświadczenia produktowego, uruchamiana wyłącznie zgodnie z ustawieniami zgód Użytkownika (§12).
    • f) Helpdesk i czat wsparcia: Featurebase – obsługa komunikacji z Użytkownikami w zakresie wsparcia i pomocy technicznej.
    • g) Monitorowanie błędów i wydajności: Laravel Nightwatch – narzędzie służące do monitorowania błędów oraz wydajności Serwisu.
    • h) Uwierzytelnianie i logowanie: WorkOS, Inc. (USA) – dostawca infrastruktury uwierzytelniania i zarządzania tożsamością użytkowników (Single Sign-On, obsługa haseł, logowanie za pośrednictwem konta Google). Dane (adres e-mail, imię, nazwisko, identyfikatory użytkownika) mogą być przekazywane do USA na podstawie Standardowych Klauzul Umownych (SCC) lub uczestnictwa dostawcy w programie EU-U.S. Data Privacy Framework.
  3. 3. Administrator stosuje odpowiednie środki techniczne i organizacyjne, zapewniające ochronę danych osobowych przed dostępem osób nieuprawnionych, ich utratą, zniszczeniem, nieuprawnioną modyfikacją, a także przetwarzaniem niezgodnym z obowiązującymi przepisami prawa.
  4. 4. Administrator wdraża rozwiązania techniczne zapobiegające przechwyceniu i modyfikacji danych osobowych przesyłanych drogą elektroniczną przez osoby nieuprawnione.
  5. 5. W sprawach nieuregulowanych niniejszą Polityką Prywatności zastosowanie znajdują przepisy RODO oraz przepisy prawa powszechnie obowiązującego na terytorium Rzeczypospolitej Polskiej.