Polityka prywatności

Ostatnia aktualizacja: grudzień 2025

Niniejsza Polityka prywatności wyjaśnia, w jaki sposób Ampliro AB („Ampliro”, „my”, „nasz” lub „nas”) gromadzi, wykorzystuje, ujawnia i chroni dane osobowe w związku z platformą Diplino oraz usługami dostępnymi pod adresem diplino.com („Usługa”).

Ampliro AB jest spółką zarejestrowaną w Szwecji (reg. no. 559488-1517), której zarejestrowany adres to Warfvinges väg 31, 112 51 Stockholm, Sweden.

Niniejsza Polityka prywatności ma zastosowanie do:

  • Osób, które tworzą i korzystają z kont Diplino (np. administratorów, instruktorów, wystawców),
  • Osób, których dane widnieją na certyfikatach lub poświadczeniach wydanych za pośrednictwem Diplino (np. uczestników kursów, pracowników),
  • Odwiedzających naszą stronę internetową oraz powiązane aplikacje internetowe.

W przypadku mieszkańców Kalifornii prosimy również o zapoznanie się z naszym odrębnym Kalifornijskim zawiadomieniem o ochronie prywatności.


1. Kto odpowiada za dane Użytkownika?

Rola Ampliro oraz organizacji Użytkownika może różnić się w zależności od sposobu, w jaki Użytkownik korzysta z Diplino:

  • Klienci organizacyjni (np. spółki, dostawcy szkoleń)
    Gdy organizacja Użytkownika korzysta z Diplino w celu wydawania certyfikatów, organizacja Użytkownika jest zazwyczaj administratorem danych osobowych związanych z certyfikatami. Ampliro działa jako podmiot przetwarzający w imieniu organizacji Użytkownika, zgodnie z naszą Umową powierzenia przetwarzania danych (DPA).

  • Użytkownicy platformy i odwiedzający stronę internetową
    W odniesieniu do określonych rodzajów danych (np. rozliczenia, zarządzanie kontem, dzienniki bezpieczeństwa, nasze własne analizy Usługi i komunikacja) Ampliro działa jako niezależny administrator.

Jeżeli certyfikat został wydany Użytkownikowi przez organizację korzystającą z Diplino (na przykład pracodawcę Użytkownika lub dostawcę szkoleń), organizacja ta jest zwykle głównym punktem kontaktu Użytkownika w przypadku pytań dotyczących sposobu wykorzystywania danych Użytkownika w związku z tym certyfikatem.


2. Informacje, które gromadzimy

Dokładne dane osobowe, które gromadzimy, zależą od sposobu korzystania przez Użytkownika z Usługi, ale mogą obejmować następujące kategorie:

2.1 Informacje o koncie (administratorzy, instruktorzy, wystawcy)

Gdy Użytkownik lub jego organizacja tworzą konto w celu korzystania z Diplino, możemy gromadzić:

  • Imię i nazwisko
  • Adres e-mail
  • Hasło (przechowywane wyłącznie w postaci haszowanej)
  • Nazwa organizacji i rola (np. admin, instruktor)
  • Preferowany język i ustawienia
  • Aktywność na koncie i znaczniki czasu logowania

2.2 Dane dotyczące certyfikatów i poświadczeń

Gdy certyfikaty lub poświadczenia są wydawane za pośrednictwem Diplino, możemy przetwarzać:

  • Imię i nazwisko odbiorcy certyfikatu
  • Adres e-mail odbiorcy (jeżeli został podany)
  • Nazwa spółki/organizacji
  • Stanowisko lub rola (jeżeli uwzględniono na certyfikacie)
  • Informacje o kursie, szkoleniu lub programie
  • Daty wydania i wygaśnięcia
  • Unikalne identyfikatory certyfikatów i dane weryfikacyjne
  • Podpisy kryptograficzne i hasze wykorzystywane do weryfikacji autentyczności certyfikatów

Zakres i rodzaj danych zawartych w certyfikacie określa organizacja wystawiająca (Administrator).

2.3 Dane dotyczące użytkowania i dane techniczne

Gdy Użytkownik odwiedza diplino.com lub korzysta z Usługi, automatycznie gromadzimy określone informacje, takie jak:

  • Adres IP i przybliżona lokalizacja (na podstawie IP)
  • Typ i wersja przeglądarki, typ urządzenia, system operacyjny
  • Adresy URL stron odsyłających i wyświetlone strony
  • Data i godzina dostępu
  • Pliki dziennika i dane zdarzeń (np. próby logowania, zmiany konfiguracji)
  • Informacje o sposobie interakcji Użytkownika z Usługą (np. użyte funkcje, kliknięcia, wzorce nawigacji)

Informacje te pomagają nam obsługiwać, zabezpieczać i ulepszać Usługę.

Korzystamy z Plausible Analytics, aby zrozumieć, w jaki sposób odwiedzający korzystają z naszej strony internetowej, oraz aby ulepszać nasze treści, strukturę, wydajność i doświadczenie użytkownika. Plausible Analytics zapewnia przyjazne prywatności, zagregowane statystyki strony internetowej, takie jak odsłony stron, źródła ruchu, popularne strony, typ urządzenia, przeglądarka, kraj i ogólne wzorce użytkowania.

Plausible Analytics nie wykorzystuje plików cookie i nie śledzi odwiedzających pomiędzy różnymi stronami internetowymi. Wykorzystujemy te informacje do oceny i ulepszania naszej strony internetowej oraz usług na podstawie naszego prawnie uzasadnionego interesu polegającego na utrzymywaniu i ulepszaniu naszej obecności cyfrowej.

2.4 Dane dotyczące komunikacji i wsparcia

Jeżeli Użytkownik kontaktuje się z nami (na przykład za pośrednictwem e-maila lub kanałów wsparcia), możemy przetwarzać:

  • Imię i nazwisko oraz dane kontaktowe
  • Organizacja i rola
  • Treść wiadomości Użytkownika i wszelka dalsza korespondencja
  • Metadane dotyczące spraw wsparcia (np. znaczniki czasu, status)

2.5 Informacje dotyczące płatności i rozliczeń

Jeżeli Użytkownik wykupuje płatną subskrypcję:

  • Możemy gromadzić dane kontaktowe do rozliczeń (imię i nazwisko, e-mail, organizacja, adres).
  • Płatności są przetwarzane przez zewnętrznych dostawców płatności (np. podmioty przetwarzające karty). Nie przechowujemy pełnych numerów kart płatniczych w Diplino. Ograniczone identyfikatory transakcji i informacje o statusie mogą być zachowywane na potrzeby fakturowania i księgowości.

Nie gromadzimy celowo wrażliwych danych osobowych (np. informacji o zdrowiu, szczególnych kategorii danych) za pośrednictwem Diplino i prosimy klientów, aby nie przesyłali takich danych do Usługi.


3. Jak wykorzystujemy informacje Użytkownika

Wykorzystujemy dane osobowe w następujących celach i na podstawach prawnych określonych w GDPR:

3.1 W celu świadczenia i obsługi Usługi

(Podstawa prawna: wykonanie umowy, art. 6 ust. 1 lit. b; prawnie uzasadnione interesy, art. 6 ust. 1 lit. f).)

  • Tworzenie i zarządzanie kontami użytkowników oraz organizacjami.
  • Wydawanie, przechowywanie i zarządzanie certyfikatami oraz poświadczeniami.
  • Zapewnianie funkcjonalności weryfikacji certyfikatów.
  • Umożliwianie dostępu opartego na rolach i administracji na poziomie organizacji.

3.2 W celu komunikacji z Użytkownikiem

(Podstawa prawna: wykonanie umowy; prawnie uzasadnione interesy.)

  • Wysyłanie ważnych wiadomości związanych z Usługą (np. powiadomień dotyczących konta, alertów bezpieczeństwa, aktualizacji operacyjnych).
  • Odpowiadanie na wnioski o wsparcie, zapytania i opinie.
  • Zapewnianie wdrożenia i informacji istotnych dla korzystania przez Użytkownika z Diplino.

Możemy również wysyłać opcjonalne aktualizacje produktu lub informacyjne wiadomości e-mail. Jeżeli wymaga tego prawo, poprosimy o zgodę Użytkownika, a Użytkownik może w każdej chwili zrezygnować z subskrypcji.

3.3 W celu utrzymania bezpieczeństwa i zapobiegania nadużyciom

(Podstawa prawna: prawnie uzasadnione interesy; obowiązki prawne.)

  • Ochrona kont przed nieuprawnionym dostępem i nadużyciami.
  • Wdrażanie ograniczania częstotliwości żądań i ochrony przed atakami brute-force.
  • Monitorowanie i rejestrowanie dostępu w celu wykrywania podejrzanej aktywności.
  • Reagowanie na incydenty bezpieczeństwa i prowadzenie dochodzeń w ich sprawie.

3.4 W celu ulepszania i rozwijania Usługi

(Podstawa prawna: prawnie uzasadnione interesy.)

  • Analizowanie wzorców użytkowania i wydajności w celu zwiększenia stabilności i użyteczności.
  • Opracowywanie nowych funkcji i ulepszanie istniejącej funkcjonalności.
  • Agregowanie i anonimizowanie danych na potrzeby statystyk wewnętrznych i rozwoju produktu.

3.5 W celu przestrzegania obowiązków prawnych i regulacyjnych

(Podstawa prawna: obowiązki prawne, art. 6 ust. 1 lit. c).)

  • Księgowość, podatki i prowadzenie dokumentacji korporacyjnej.
  • Odpowiadanie na zgodne z prawem żądania organów publicznych.
  • Egzekwowanie naszych Warunków świadczenia usług i innych praw.

Gdy opieramy się na zgodzie (np. w odniesieniu do określonych plików cookie lub komunikacji marketingowej, gdy jest to wymagane), Użytkownik może w każdej chwili wycofać zgodę za pomocą mechanizmów opisanych w niniejszej polityce lub w odpowiednim interfejsie.


4. Pliki cookie i podobne technologie

Korzystamy z plików cookie i podobnych technologii w celu obsługi i zabezpieczania Usługi, zapamiętywania preferencji Użytkownika oraz zrozumienia, w jaki sposób używana jest nasza strona. Szczegółowe informacje na temat rodzajów plików cookie, których używamy, oraz wyborów Użytkownika znajdują się w naszej odrębnej Polityce plików cookie.


5. Jak udostępniamy informacje Użytkownika

Nie sprzedajemy danych osobowych Użytkownika.

Możemy udostępniać dane osobowe w następujących ograniczonych okolicznościach:

5.1 Dostawcy usług (dalsze podmioty przetwarzające)

Angażujemy starannie wybranych zewnętrznych dostawców usług, którzy pomagają nam obsługiwać Diplino, takich jak:

  • Dostawcy hostingu i infrastruktury chmurowej
  • Dostawcy uwierzytelniania i baz danych (np. Supabase)
  • Dostawcy usług bezpieczeństwa i CAPTCHA/przeciwdziałania nadużyciom (np. Cloudflare Turnstile)
  • Podmioty przetwarzające płatności i platformy rozliczeniowe
  • Narzędzia do rejestrowania, monitorowania i wsparcia

Dostawcy ci działają jako podmioty przetwarzające lub dalsze podmioty przetwarzające i mogą przetwarzać dane osobowe wyłącznie na podstawie naszych udokumentowanych poleceń, w celach przez nas określonych oraz na podstawie zobowiązań umownych zapewniających odpowiednią ochronę danych i bezpieczeństwo.

Aktualna lista kluczowych dalszych podmiotów przetwarzających jest utrzymywana w naszej Liście dalszych podmiotów przetwarzających.

5.2 Organizacja Użytkownika i inni użytkownicy

Jeżeli Użytkownik korzysta z Diplino jako część organizacji:

  • Inni upoważnieni użytkownicy w tej organizacji (np. administratorzy, instruktorzy) mogą widzieć imię i nazwisko Użytkownika, adres e-mail oraz rolę w środowisku Diplino tej organizacji.
  • Gdy certyfikat zostaje wydany, określone informacje (np. imię i nazwisko Użytkownika, szczegóły certyfikatu) mogą być widoczne dla:
    • Organizacji wystawiającej,
    • Użytkownika jako odbiorcy, oraz
    • Osób trzecich, które weryfikują certyfikat, w zależności od konfiguracji organizacji.

5.3 Doradcy profesjonalni i organy

Możemy ujawniać dane osobowe:

  • Doradcom profesjonalnym (np. prawnikom, księgowym), gdy jest to konieczne do uzasadnionych celów biznesowych.
  • Organom ścigania, organom regulacyjnym lub sądom, gdy jesteśmy do tego prawnie zobowiązani lub gdy ujawnienie jest konieczne w celu ochrony naszych praw, mienia lub bezpieczeństwa, albo praw, mienia lub bezpieczeństwa naszych użytkowników bądź osób trzecich.

5.4 Przeniesienia przedsiębiorstwa

W przypadku połączenia, przejęcia, restrukturyzacji lub sprzedaży całości lub części naszej działalności dane osobowe mogą zostać przeniesione w ramach takiej transakcji. Zapewnimy, aby każdy taki odbiorca był związany odpowiednimi obowiązkami w zakresie poufności i ochrony danych.


6. Przekazywanie danych za granicę

Mamy siedzibę w Szwecji, a wiele naszych systemów jest hostowanych w UE/EOG. Niektórzy z naszych dostawców usług mogą przetwarzać dane osobowe w państwach poza UE/EOG lub UK.

Gdy dane osobowe są przekazywane do państwa, które nie zapewnia odpowiedniego poziomu ochrony danych, wdrażamy odpowiednie zabezpieczenia, takie jak:

  • standardowe klauzule umowne Komisji Europejskiej (SCCs), i/lub
  • Równoważne mechanizmy przekazywania uznane na mocy obowiązujących przepisów o ochronie danych.

Użytkownik może skontaktować się z nami w celu uzyskania dalszych informacji na temat konkretnych mechanizmów przekazywania, na których się opieramy.


7. Bezpieczeństwo danych

Bardzo poważnie traktujemy bezpieczeństwo i wdrażamy odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed nieuprawnionym dostępem, utratą, niewłaściwym wykorzystaniem lub zmianą. Środki te obejmują między innymi:

  • Szyfrowanie

    • Szyfrowanie danych podczas przesyłania (np. TLS 1.3 lub równoważne).
    • Szyfrowanie danych w spoczynku w bazach danych i systemach przechowywania.
    • Wykorzystanie podpisów kryptograficznych Ed25519 do integralności i weryfikacji certyfikatów.
  • Kontrola dostępu

    • Kontrola dostępu oparta na rolach (RBAC) i zasady najmniejszych uprawnień.
    • Silne uwierzytelnianie dostępu administracyjnego.
    • Separacja środowisk (np. rozwój, staging, produkcja).
  • Monitorowanie i rejestrowanie

    • Rejestrowanie audytowe odpowiednich działań związanych z kontem i certyfikatami.
    • Mechanizmy ograniczania częstotliwości żądań i ochrony przed atakami brute-force.
    • Systemy monitorowania nietypowej lub podejrzanej aktywności.
  • Środki organizacyjne

    • Obowiązki poufności dla personelu i wykonawców.
    • Szkolenia w zakresie bezpieczeństwa i prywatności dla odpowiedniego personelu.
    • Wewnętrzne polityki dotyczące reagowania na incydenty, postępowania z danymi i retencji.

Chociaż dokładamy starań, aby chronić dane osobowe Użytkownika przy użyciu praktyk zgodnych ze standardami branżowymi, żaden system nie może być gwarantowany jako 100% bezpieczny. Nieustannie ulepszamy nasze kontrole bezpieczeństwa zgodnie z najlepszymi praktykami i zmieniającymi się zagrożeniami.


8. Retencja danych

Przechowujemy dane osobowe wyłącznie tak długo, jak jest to konieczne do celów opisanych w niniejszej Polityce lub wymagane przez prawo. Ogólnie:

  • Dane konta i organizacji
    Przechowywane przez okres istnienia konta oraz przez rozsądny okres później (np. na potrzeby kopii zapasowych, rozstrzygania sporów i zgodności).

  • Dane dotyczące certyfikatów i poświadczeń
    Zazwyczaj przechowywane przez okres, w którym certyfikaty mogą wymagać weryfikacji, co jest powiązane z czasem korzystania przez organizację Użytkownika z Diplino oraz wszelkimi obowiązującymi wymogami prawnymi lub umownymi. Dokładne okresy retencji określa organizacja wystawiająca oraz nasze umowy z nią.

  • Dzienniki audytu
    Przechowywane przez około 90 dni, chyba że dłuższy okres jest wymagany ze względów bezpieczeństwa, dochodzenia w sprawie incydentu, prawnych lub zgodności.

  • Dane dotyczące ograniczania częstotliwości żądań i zdarzeń bezpieczeństwa
    Przechowywane przez około 7 dni, chyba że są potrzebne dłużej do zbadania lub ograniczenia podejrzanej aktywności.

Możemy przechowywać dane zanonimizowane lub zagregowane (których nie można wykorzystać do identyfikacji osoby) przez dłuższe okresy do celów statystycznych i analitycznych.


9. Prawa Użytkownika na mocy GDPR i innych przepisów

Jeżeli Użytkownik znajduje się w UE/EOG, UK lub podobnej jurysdykcji, przysługują mu określone prawa w odniesieniu do jego danych osobowych na mocy obowiązujących przepisów o ochronie danych, w tym:

  • Prawo dostępu
    Do uzyskania potwierdzenia, czy przetwarzamy dane osobowe Użytkownika, a jeżeli tak, dostępu do tych danych oraz określonych informacji.

  • Prawo do sprostowania
    Do sprostowania lub uzupełnienia nieprawidłowych lub niekompletnych danych osobowych.

  • Prawo do usunięcia danych („prawo do bycia zapomnianym”)
    Do żądania usunięcia danych osobowych Użytkownika w określonych okolicznościach, na przykład gdy nie są już niezbędne do celów, dla których zostały zgromadzone.

  • Prawo do ograniczenia przetwarzania
    Do żądania ograniczenia przetwarzania danych osobowych Użytkownika w określonych sytuacjach.

  • Prawo do przenoszenia danych
    Do otrzymania danych osobowych, które Użytkownik nam dostarczył, w ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie oraz do przesłania tych danych innemu administratorowi, gdy jest to technicznie wykonalne.

  • Prawo do sprzeciwu
    Do sprzeciwu, z przyczyn związanych ze szczególną sytuacją Użytkownika, wobec przetwarzania opartego na naszych prawnie uzasadnionych interesach (w tym profilowania). Użytkownik ma również prawo w dowolnym momencie sprzeciwić się przetwarzaniu jego danych osobowych do celów marketingu bezpośredniego.

  • Prawo do wycofania zgody
    Gdy opieramy się na zgodzie, Użytkownik może w każdej chwili wycofać tę zgodę. Nie wpłynie to na zgodność z prawem przetwarzania dokonanego na podstawie zgody przed jej wycofaniem.

Wykonywanie praw Użytkownika

Jeżeli Użytkownik jest administratorem lub użytkownikiem Diplino, może mieć możliwość dostępu do niektórych swoich danych osobowych i ich aktualizacji bezpośrednio w ustawieniach konta.

W przeciwnym razie, lub jeżeli Użytkownik jest odbiorcą certyfikatu, może wykonywać swoje prawa, kontaktując się z:

  • Organizacją Użytkownika (wystawcą certyfikatu), gdy działa ona jako administrator; i/lub
  • Ampliro, korzystając z danych kontaktowych podanych w Sekcji 11.

Odpowiemy na wniosek Użytkownika zgodnie z obowiązującymi przepisami oraz, gdy będzie to konieczne, we współpracy z organizacją Użytkownika.

Skargi

Użytkownik ma również prawo wnieść skargę do organu ochrony danych. W Szwecji jest to:

Integritetsskyddsmyndigheten (IMY)
www.imy.se

Użytkownik może również skontaktować się z organem nadzorczym w swoim państwie zamieszkania lub miejscu pracy.


10. Usługi osób trzecich

W celu obsługi Diplino opieramy się na usługach osób trzecich, takich jak:

  • Supabase – uwierzytelnianie, baza danych i infrastruktura backendowa.
  • Cloudflare Turnstile – funkcjonalność bezpieczeństwa i przeciwdziałania nadużyciom (podobna do CAPTCHA).
  • Podmioty przetwarzające płatności – do obsługi płatności subskrypcyjnych i rozliczeń.
  • Inni dostawcy hostingu, rejestrowania i monitorowania wskazani w naszej Liście dalszych podmiotów przetwarzających.

Dostawcy ci przetwarzają dane osobowe wyłącznie w celach określonych przez Ampliro i na podstawie umowy. Ich własne polityki prywatności mogą mieć również zastosowanie, gdy działają jako niezależni administratorzy w odniesieniu do określonych działań (na przykład przetwarzania płatności).

Zachęcamy Użytkownika do zapoznania się z politykami prywatności tych osób trzecich w celu uzyskania bardziej szczegółowych informacji o ich praktykach przetwarzania danych.


11. Prywatność dzieci

Usługa nie jest skierowana do dzieci poniżej 16 roku życia i nie gromadzimy świadomie danych osobowych bezpośrednio od dzieci poniżej 16 roku życia bez odpowiedniej zgody rodzica, opiekuna lub odpowiedzialnej organizacji (takiej jak szkoła lub dostawca szkoleń).

Jeżeli Użytkownik uważa, że zgromadziliśmy dane osobowe dziecka w sposób niezgodny z obowiązującymi przepisami, prosimy o kontakt z nami, a podejmiemy odpowiednie kroki w celu zbadania sprawy i, w razie potrzeby, usunięcia danych.


12. Zmiany niniejszej Polityki prywatności

Możemy od czasu do czasu aktualizować niniejszą Politykę prywatności, aby odzwierciedlić zmiany dotyczące:

  • Naszej Usługi lub praktyk biznesowych,
  • Usług osób trzecich, z których korzystamy, lub
  • Obowiązujących wymogów prawnych lub regulacyjnych.

Gdy wprowadzimy istotne zmiany, zaktualizujemy datę „Ostatnia aktualizacja” u góry tej strony i możemy przekazać dodatkowe powiadomienie (na przykład za pośrednictwem Usługi lub e-mailem, gdy będzie to właściwe).

Zachęcamy Użytkownika do okresowego przeglądania niniejszej Polityki prywatności, aby pozostawać poinformowanym o tym, jak przetwarzamy dane osobowe.


13. Kontakt z nami

W razie pytań dotyczących niniejszej Polityki prywatności, naszych praktyk w zakresie danych lub praw Użytkownika można skontaktować się z nami pod adresem:

  • E-mail: privacy@diplino.com
  • Adres pocztowy:
    Ampliro AB
    Attn: Privacy / Diplino
    Warfvinges väg 31
    112 51 Stockholm
    Sweden