Polityka poufności danych osobowych

Dokument przedstawiający sposób zarządzania informacjami identyfikującymi uczestników portalu btpimostek.org

Przedsiębiorstwo btpimostek, prowadzące działalność edukacyjną pod adresem Generała Józefa Hallera 10/23, 15-814 Białystok, przyjmuje odpowiedzialność za sposób przechowywania i wykorzystywania szczegółów identyfikacyjnych osób korzystających z serwisu btpimostek.org.

Zamiast typowego opisu procedur przetwarzania, niniejszy dokument został zbudowany wokół konkretnych momentów interakcji – od pierwszego kontaktu po zakończenie relacji edukacyjnej.

Powstawanie i rejestrowanie danych identyfikacyjnych

Informacje docierają do nas w czterech zasadniczych momentach. Pierwszy pojawia się podczas wypełniania formularza kontaktowego – użytkownik decyduje się ujawnić imię, adres elektroniczny oraz numer telefonu. To świadome działanie stanowi początek relacji między stronami.

Drugi moment powstaje podczas rejestracji na szkolenie z inżynierii złóż gazowych. Oprócz wcześniej wspomnianych elementów, zbieramy wówczas szczegóły dotyczące wykształcenia technicznego oraz doświadczenia zawodowego – dane te pozwalają dopasować program do możliwości uczestnika.

Dane techniczne powstają automatycznie – serwer rejestruje adres IP, typ przeglądarki, czas wizyty oraz sposób poruszania się po witrynie. Te elementy mają charakter techniczny i służą utrzymaniu bezpieczeństwa oraz ciągłości działania platformy.

Trzeci moment ma miejsce podczas korespondencji mailowej. Treść wiadomości, załączniki oraz metadane stają się częścią dokumentacji kontaktu biznesowego. Ostatni kontekst pojawia się podczas płatności – wtedy operator zewnętrzny przekazuje nam potwierdzenie transakcji bez ujawniania danych karty płatniczej.

Kategorie gromadzonych elementów

  • Identyfikatory osobiste: imię, nazwisko, data urodzenia w przypadku wydawania certyfikatów
  • Kanały komunikacyjne: adres e-mail, numer telefonu komórkowego, ewentualnie adres korespondencyjny
  • Informacje zawodowe: profil wykształcenia, dotychczasowe stanowiska w branży energetycznej lub pokrewnej
  • Ślady cyfrowe: logi serwera, adresy IP, identyfikatory sesji, znaczniki czasu aktywności

Cel i sposób wykorzystania

Każda kategoria informacji ma precyzyjnie określone zastosowanie. Dane kontaktowe służą wyłącznie komunikacji związanej z procesem edukacyjnym – potwierdzenia zapisów, przypomnienia o terminach sesji szkoleniowych, przekazywanie materiałów dydaktycznych oraz certyfikatów.

Szczegóły zawodowe wykorzystujemy do oceny poziomu zaawansowania kandydata. Dzięki nim możemy zaproponować odpowiednią ścieżkę rozwoju albo skierować do programu wymagającego mniejszego przygotowania technicznego. Nie stosujemy tych informacji do innych celów.

Dane techniczne pełnią funkcję ochronną – wykrywamy dzięki nim nietypowe wzorce aktywności mogące wskazywać na próby włamania. Analizujemy również, które sekcje serwisu wymagają poprawy użyteczności, ale ta analiza odbywa się bez identyfikowania konkretnych osób.

W przypadku transakcji finansowych – zapisujemy potwierdzenie płatności oraz fakturę. Operator płatności przekazuje nam jedynie informację o pomyślnym zakończeniu transakcji wraz z unikalnym identyfikatorem. Nigdy nie mamy dostępu do numerów kart ani kodów bezpieczeństwa.

Podstawy prawne wykorzystania

  • Realizacja umowy szkoleniowej – gdy użytkownik zapisuje się na kurs, powstaje zobowiązanie kontraktowe wymagające przetwarzania danych
  • Zgoda wyrażona dobrowolnie – w przypadku otrzymywania materiałów informacyjnych niezwiązanych bezpośrednio ze szkoleniem
  • Prawnie uzasadniony interes administratora – zabezpieczenie systemu przed atakami, archiwizacja dokumentacji księgowej
  • Obowiązki wynikające z przepisów – przechowywanie faktur zgodnie z wymogami ustawy o rachunkowości

Przekazywanie informacji podmiotom zewnętrznym

Określone sytuacje wymagają udostępnienia fragmentów danych wybranym podmiotom. Operator płatności elektronicznych otrzymuje niezbędne minimum do przeprowadzenia transakcji – imię, nazwisko, kwotę oraz adres e-mail do przesłania potwierdzenia. Wszystko odbywa się w ramach szyfrowanego kanału komunikacyjnego.

Firma hostingowa, u której przechowujemy infrastrukturę techniczną serwisu, ma teoretyczny dostęp do bazy danych. Umowa zawarta z tym podmiotem zabrania jednak przeglądania, kopiowania czy wykorzystywania jakichkolwiek informacji poza czynnościami serwisowymi. Regularne audyty potwierdzają przestrzeganie tego zobowiązania.

Biuro rachunkowe otrzymuje faktury wraz z danymi klientów wyłącznie w zakresie wymaganym przepisami podatkowymi. Zewnętrzny księgowy pracuje na podstawie umowy powierzenia przetwarzania danych zawierającej klauzule ochronne oraz procedury postępowania w przypadku incydentów.

W wyjątkowych okolicznościach – na żądanie organów państwowych działających w granicach prawa – możemy być zobowiązani do udostępnienia konkretnych informacji. Takie sytuacje dotyczą wyłącznie postępowań karnych lub kontroli skarbowych prowadzonych przez uprawnione instytucje.

Podmioty przetwarzające

  • Dostawca infrastruktury serwerowej – przechowywanie fizycznych kopii danych na zabezpieczonych dyskach
  • System płatności online – przeprowadzanie transakcji finansowych z zastosowaniem protokołów bezpieczeństwa
  • Usługa poczty elektronicznej – dostarczanie wiadomości związanych ze szkoleniami i certyfikatami
  • Biuro księgowe – prowadzenie dokumentacji fiskalnej zgodnie z wymogami ustawowymi

Okres przechowywania oraz zasady usuwania

Długość przechowywania zależy od charakteru informacji oraz podstawy prawnej jej przetwarzania. Dane związane z realizacją umowy szkoleniowej pozostają aktywne przez czas trwania kursu oraz sześć miesięcy po jego zakończeniu – ten zapas czasowy pozwala obsłużyć ewentualne reklamacje lub uzupełnić certyfikaty.

Dokumenty księgowe, w tym faktury, podlegają obowiązkowi archiwizacyjnemu przez pięć lat od zakończenia roku podatkowego, w którym powstały. Po upływie tego terminu następuje bezpieczne i nieodwracalne zniszczenie zarówno wersji papierowych, jak i elektronicznych.

Jeśli użytkownik wyraził zgodę na otrzymywanie informacji o nowych programach edukacyjnych, dane kontaktowe pozostają w systemie do momentu wycofania zgody. Cofnięcie może nastąpić w dowolnym momencie przez kliknięcie odnośnika w stopce wiadomości lub przesłanie żądania na adres contact@btpimostek.org.

Logi techniczne serwera przechowujemy przez 90 dni – ten okres wystarcza do wykrycia i zbadania potencjalnych incydentów bezpieczeństwa. Po tym czasie następuje automatyczne nadpisanie starszych wpisów nowymi danymi.

Uprawnienia osób, których dane dotyczą

  • Dostęp do informacji – możliwość uzyskania kopii wszystkich przechowywanych danych w czytelnym formacie elektronicznym
  • Korekta błędów – prawo do poprawienia nieaktualnych lub nieprawidłowych szczegółów w dowolnym momencie
  • Żądanie usunięcia – możliwość trwałego wymazania danych po zakończeniu obowiązków prawnych lub umownych
  • Ograniczenie przetwarzania – czasowe zablokowanie wykorzystania danych w przypadku trwającego sporu lub weryfikacji
  • Sprzeciw wobec przetwarzania – złożenie formalnego zastrzeżenia w sytuacjach opartych na prawnie uzasadnionym interesie
  • Przenoszenie danych – otrzymanie informacji w formacie umożliwiającym przekazanie ich innemu administratorowi

Zabezpieczenia techniczne i organizacyjne

Cały ruch między przeglądarką użytkownika a serwerem odbywa się przez szyfrowany kanał TLS w wersji 1.3. Próby przechwycenia danych w trakcie transmisji nie przyniosą rezultatu ze względu na zastosowanie kryptografii klucza publicznego z certyfikatem wydanym przez zaufany urząd.

Baza danych zawierająca informacje osobowe znajduje się na wydzielonym serwerze niedostępnym bezpośrednio z internetu. Dostęp wymaga przejścia przez bramkę zabezpieczoną uwierzytelnianiem dwuskładnikowym oraz listą dozwolonych adresów IP.

Hasła nigdy nie są przechowywane w postaci jawnej. System generuje nieodwracalny skrót kryptograficzny z użyciem algorytmu bcrypt oraz unikalnej soli dla każdego konta. Nawet administrator nie ma możliwości odczytania oryginalnego hasła.

Kopie zapasowe tworzymy codziennie o godzinie trzeciej nad ranem. Archiwum trafia na odseparowany serwer w innej lokalizacji geograficznej, również zaszyfrowane kluczem AES-256. Przechowujemy siedem ostatnich kopii dziennych oraz cztery miesięczne.

Pracownicy mający dostęp do danych osobowych przeszli przeszkolenie z zakresu ochrony prywatności i podpisali umowy o zachowaniu poufności. Logi dostępu są regularnie przeglądane w celu wykrycia nieautoryzowanych prób przeglądania informacji.

Pozostające ryzyka

Pomimo zastosowanych środków ochronnych, żaden system nie jest całkowicie odporny na zagrożenia. Zaawansowane ataki wykorzystujące nieznane wcześniej luki bezpieczeństwa mogą potencjalnie naruszyć integralność danych. W przypadku wykrycia incydentu bezpieczeństwa zobowiązujemy się do powiadomienia dotkniętych osób w ciągu 72 godzin oraz wdrożenia działań naprawczych.

Sposób zgłaszania pytań oraz żądań związanych z prywatnością

Wszelkie kwestie dotyczące przetwarzania danych osobowych można kierować bezpośrednio do administratora serwisu btpimostek.org. Odpowiedzi udzielamy w formie pisemnej lub elektronicznej w terminie do 30 dni od otrzymania zapytania.

W sytuacji gdy odpowiedź administratora nie rozwiązuje problemu, przysługuje prawo złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych z siedzibą w Warszawie przy ul. Stawki 2.

Generała Józefa Hallera 10/23, 15-814 Białystok
+48 794 136 133
contact@btpimostek.org

Dokument zaktualizowany: styczeń 2025