Polityka prywatności serwisu kidsy.pl

Obowiązuje od 30 maja 2026 r.

Polityka opisuje, jakie dane gromadzimy w serwisie kidsy.pl, w jakich celach je przetwarzamy oraz jakie masz prawa. Serwis łączy katalog zajęć, rezerwacje online, Panel Rodzica i panel dla organizatorów — w zależności od sytuacji administratorem danych jest Kidsy lub organizator (patrz sekcja 2).

1. Podsumowanie

Kidsy Sp. z o.o. przetwarza dane osobowe użytkowników Serwisu — rodziców, opiekunów oraz organizatorów zajęć. Gromadzimy m.in. dane podawane w formularzach (rezerwacja, sklep, alerty, kontakt, rejestracja organizatora), dane logowania do Panelu Rodzica (kod OTP), dane dzieci podawane przez opiekuna oraz dane techniczne (cookies, adres IP, logi).

Po rezerwacji lub zakupie u organizatora dane opiekuna i dziecka trafiają do tego organizatora — w zakresie realizacji zajęć to on jest administratorem danych uczestnika. Kidsy działa wtedy jako podmiot przetwarzający (procesor) formularzy i powiadomień technicznych.

Szczegóły znajdziesz w sekcjach poniżej. W sprawach dotyczących konkretnej rezerwacji możesz też kontaktować się bezpośrednio z organizatorem.

2. Administrator danych i role (ADO / procesor)

Administratorem danych w rozumieniu RODO — w zakresie opisanym w tej Polityce — jest:

Kidsy Sp. z o.o.

ul. Jana Heweliusza 11/811, 80-890 Gdańsk

E-mail: [email protected]

W Serwisie występują trzy główne role przetwarzania:

  • Kidsy jako administrator (ADO) — m.in.: katalog i wyszukiwarka kidsy.pl, alerty o zajęciach, newsletter Kidsy, analityka Serwisu (po zgodzie), Panel Rodzica (mechanizm OTP i agregacja rezerwacji), rejestracja i konta organizatorów, subskrypcje Kidsy, formularz kontaktowy, obsługa reklamacji wobec platformy, moderacja treści (DSA).
  • Kidsy jako procesor (podmiot przetwarzający) — dane z formularzy rezerwacji, zakupu karnetu, zapisu semestralnego, sklepu organizatora, listy rezerwowej oraz powiadomień transakcyjnych (e-mail/SMS) wysyłanych w imieniu organizatora. Organizator jest ADO w celu realizacji zajęć; Kidsy przetwarza dane na podstawie Załącznika A (DPA) do Regulaminu dla organizatorów.
  • Organizator jako administrator (ADO) — dane rodziców i dzieci w CRM, frekwencja, wiadomości do klientów, umowy semestralne, własne zgody zdefiniowane w panelu, wiadomości wysyłane przez organizatora z panelu CRM — w zakresie własnej działalności. Kontakt w sprawach danych uczestnika: dane organizatora w profilu lub potwierdzeniu rezerwacji.

Stripe — przy płatnościach online Stripe działa jako niezależny administrator w zakresie danych płatniczych (karta, BLIK itd.) — zgodnie z polityką prywatności Stripe.

3. Rodzaje zbieranych danych

W zależności od sposobu korzystania z Serwisu przetwarzamy m.in.:

  • Opiekun / klient: imię i nazwisko, adres e-mail, numer telefonu, adres IP, identyfikator przeglądarki (User-Agent) — w tym przy składaniu zgód i rezerwacji.
  • Dziecko / uczestnik: imię, wiek; opcjonalnie uwagi podane przez opiekuna (mogą obejmować informacje o stanie zdrowia — tylko jeśli dobrowolnie je wpiszesz).
  • Rezerwacje i transakcje: wybrane zajęcia, terminy, status rezerwacji, liczba uczestników, metoda płatności, kwoty, kody rabatowe, powiązanie z listą rezerwową — bez pełnych danych karty (przetwarza Stripe).
  • Karnety i semestr: historia wejść, raty, status umowy, przesłany skan podpisanej umowy semestralnej (upload w Panelu Rodzica).
  • Sklep organizatora: dane zakupu, kody voucherów; przy kartach podarunkowych — dane obdarowanego (imię, e-mail, wiadomość), jeśli podasz.
  • Alerty o zajęciach: e-mail, wybrane filtry (kategoria, miasto, przedział wiekowy).
  • Newsletter Kidsy: e-mail, data i sposób zgody (double opt-in).
  • Organizator (konto B2B): nazwa firmy, e-mail, telefon, strona WWW / profil social media, dane logowania, dane rozliczeniowe subskrypcji (przetwarzane także przez Stripe), dane Stripe Connect, ustawienia konta.
  • Zgody (audyt): treść zaakceptowanej zgody, typ (regulamin Kidsy, warunki organizatora, zgoda niestandardowa), data, IP, User-Agent.
  • Ankieta NPS (Panel Rodzica): ocena 0–10, opcjonalny komentarz.
  • Formularz kontaktowy: imię, e-mail, treść wiadomości.
  • Dane techniczne: cookies, sessionStorage, localStorage, logi serwera, identyfikator sesji analityki — patrz sekcje 12–14.

4. Sposób i miejsce przetwarzania

Dane przetwarzamy z zachowaniem środków organizacyjnych i technicznych wymaganych RODO, w tym szyfrowania transmisji (SSL/TLS), kontroli dostępu do systemów oraz logowania operacji krytycznych (np. zgody, płatności).

Infrastruktura:

  • backend API i baza danych — Laravel Cloud (Unia Europejska),
  • frontend Serwisu — Vercel Inc.,
  • CDN i ochrona ruchu — Cloudflare, Inc.

Okres przechowywania danych zależy od celu przetwarzania — szczegóły w sekcji 9. Po upływie okresu dane są usuwane lub anonimizowane, o ile przepisy prawa nie wymagają dalszego przechowywania (np. księgowość, dochodzenie roszczeń).

5. Cele i podstawy prawne (RODO)

Poniżej zestawienie głównych celów przetwarzania. W nawiasach podajemy podstawę prawną z art. 6 RODO:

  • Rezerwacja, zakup karnetu, semestr, produkt u organizatora — realizacja umowy między klientem a organizatorem oraz działania przed zawarciem umowy (lit. b). Kidsy przetwarza dane jako procesor organizatora.
  • Panel Rodzica (OTP, sesja, zarządzanie rezerwacjami) — świadczenie usługi platformy (lit. b) oraz zapewnienie bezpieczeństwa logowania (lit. f — uzasadniony interes).
  • Powiadomienia transakcyjne (e-mail/SMS: potwierdzenia, OTP, lista rezerwowa, anulowania, przypomnienia o zajęciach) — realizacja umowy (lit. b).
  • Alerty o zajęciach — zgoda (lit. a); możesz wypisać się w każdej chwili.
  • Newsletter Kidsy — zgoda (lit. a, double opt-in).
  • Konto i subskrypcja organizatora — umowa B2B z organizatorem (lit. b).
  • Płatności Stripe — realizacja płatności (lit. b); szczegółowe cele Stripe — w jego polityce prywatności.
  • Audyt zgód (IP, User-Agent, treść zgody) — obowiązek prawny / rozliczalność (lit. c) oraz uzasadniony interes dowodzenia zgody (lit. f).
  • Powiadomienia systemowe w imieniu organizatora (powiadomienia po zajęciach, przypomnienie o wygasającym karnecie) — realizacja umowy i obsługa relacji z klientem po rezerwacji (lit. b); to wiadomości informacyjne wymagane do prawidłowej obsługi usługi, a nie marketing.
  • Analityka Serwisu, cookies marketingowe — zgoda z bannera cookies (lit. a).
  • Ankieta NPS (Panel Rodzica) — uzasadniony interes oceny satysfakcji i poprawy jakości Serwisu (lit. f); udział jest dobrowolny, możesz ją pominąć lub odłożyć.
  • Formularz kontaktowy, reklamacje — uzasadniony interes obsługi korespondencji (lit. f) lub umowa (lit. b).
  • Moderacja treści, bezpieczeństwo, zapobieganie nadużyciom — uzasadniony interes (lit. f) oraz obowiązki prawne (lit. c — m.in. DSA).
  • Archiwizacja i roszczenia — uzasadniony interes (lit. f) lub obowiązek prawny (lit. c).

6. Przekazywanie danych organizatorom

Po złożeniu rezerwacji, zapisu na listę rezerwową lub zakupie u wybranego organizatora dane opiekuna i dziecka (oraz szczegóły transakcji) są udostępniane temu organizatorowi w Panelu Organizatora (CRM). Organizator przetwarza je jako odrębny administrator danych — według własnej polityki prywatności i obowiązków RODO.

Wnioski dotyczące danych w związku z realizacją zajęć (sprostowanie, usunięcie, dostęp) kieruj przede wszystkim do organizatora. Jeśli nie wiesz, do kogo — napisz na [email protected] — pomożemy zidentyfikować właściwy kontakt.

Kidsy i organizator zawierają umowę powierzenia przetwarzania danych (DPA) w formie Załącznika A do Regulaminu dla organizatorów.

Korzystając z widżetu rezerwacji osadzonego na stronie organizatora, przekazujesz dane temu samemu organizatorowi — na tych samych zasadach co rezerwacja na kidsy.pl.

7. Odbiorcy i podprocesorzy

Dane mogą być przekazywane zaufanym podmiotom przetwarzającym dane w naszym imieniu (podprocesorzy) lub w imieniu organizatora — wyłącznie w zakresie niezbędnym do świadczenia usługi:

  • Stripe, Inc. — płatności online (Stripe Connect na rzecz organizatorów) oraz subskrypcje planów Start/Pro dla organizatorów.
  • SMSAPI (Vercom S.A.) — wysyłka SMS: kody OTP, powiadomienia o liście rezerwowej, przypomnienia o zajęciach (gdy włączone).
  • Postmark (ActiveCampaign LLC) — wysyłka e-maili transakcyjnych i systemowych.
  • Cloudflare, Inc. — CDN, ochrona przed atakami, cache.
  • Vercel Inc. — hosting frontendu Serwisu.
  • Laravel Cloud — hosting backendu i bazy danych.
  • Google LLC — Google Analytics, Google Tag Manager, Google Ads (po zgodzie z bannera cookies).
  • Meta Platforms Ireland Ltd. — Meta Pixel (po zgodzie).
  • Hotjar Ltd. — analityka zachowania, mapy kliknięć (po zgodzie).
  • Geoapify GmbH — autouzupełnianie i weryfikacja adresów lokalizacji organizatorów.
  • OpenStreetMap — wyświetlanie map (embed; bez przekazywania danych osobowych użytkownika do OSM poza standardowym żądaniem kafelków mapy).

Lista może ulec zmianie wraz z rozwojem produktu — aktualizujemy Politykę przy istotnych zmianach podprocesorów.

8. Przekazywanie danych poza Europejski Obszar Gospodarczy

Niektórzy dostawcy (m.in. Stripe, Google, Meta, Hotjar, Postmark, Vercel) mogą przetwarzać dane w Stanach Zjednoczonych lub innych państwach trzecich. Przekazywanie odbywa się na podstawie:

  • standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską,
  • decyzji Komisji Europejskiej o adekwatności — o ile ma zastosowanie,
  • innych mechanizmów przewidzianych RODO — zgodnie z polityką danego dostawcy.

Szczegóły transferu danych opisują polityki prywatności poszczególnych dostawców (linki w sekcji 13).

9. Okres przechowywania danych

Przechowujemy dane przez okres nie dłuższy, niż wymaga tego cel przetwarzania:

  • Kod OTP (logowanie Panel Rodzica) — ważny do 15 minut; po weryfikacji unieważniany.
  • Sesja Panelu Rodzica (localStorage + identyfikator urządzenia kidsy_parent_device_id) — do 30 dni od ostatniej aktywności; usuwana po wylogowaniu lub wygaśnięciu.
  • Rezerwacje, karnety, zakupy — przez czas realizacji usługi u organizatora oraz okres przedawnienia roszczeń i obowiązków księgowych organizatora (organizator jako ADO określa szczegóły); w systemie Kidsy — co najmniej czas potrzebny organizatorowi do obsługi klienta.
  • Audyt zgód — przez 5 lat od złożenia zgody (IP, User-Agent, treść zgody) — obowiązek prawny / rozliczalność (lit. c) oraz uzasadniony interes dowodzenia zgody (lit. f).
  • Alerty o zajęciach / newsletter — do momentu wypisania lub cofnięcia zgody.
  • Konto organizatora — przez czas trwania współpracy; po rozwiązaniu — zgodnie z Regulaminem organizatorów (m.in. możliwość eksportu w 30 dni, dostęp tylko do odczytu do 90 dni), następnie usunięcie lub anonimizacja — o ile prawo nie wymaga dłuższego przechowywania.
  • Logi serwera i bezpieczeństwo — zwykle do 12 miesięcy, chyba że incydent wymaga dłuższej retencji.
  • Analityka (cookies) — zgodnie z okresem w sekcji 13 (do 24 miesięcy dla Google Analytics).

10. Zgody i rejestr zgód

Przy rezerwacji, zakupie lub zapisie na listę rezerwową rejestrujemy m.in.:

  • akceptację Regulaminu i niniejszej Polityki prywatności Kidsy,
  • ewentualną akceptację dodatkowych warunków organizatora lub produktu,
  • zgody niestandardowe (custom consents) zdefiniowane przez organizatora w panelu — np. zgoda na wizerunek, regulamin szkoły,
  • dla każdej zgody: treść wyświetlona użytkownikowi, datę i godzinę, wynik (tak/nie), adres IP oraz User-Agent przeglądarki.

Zgody marketingowe (marketing) są obsługiwane w systemie, lecz obecnie nie wymagamy osobnego checkboxa marketingowego Kidsy przy rezerwacji — nie wysyłamy masowego marketingu SMS/e-mail od Kidsy bez wyraźnej zgody (newsletter i alerty mają własne mechanizmy zapisu).

Zgody zdefiniowane przez organizatora — za treść, podstawę prawną i okres przechowywania odpowiada organizator jako ADO. Kidsy przechowuje je technicznie jako dowód złożenia.

11. Dane dzieci

Serwis dotyczy zajęć dla dzieci i młodzieży, jednak nie zbieramy świadomie danych bezpośrednio od dzieci poniżej 16 lat. Dane dziecka (np. imię, wiek) podaje wyłącznie rodzic, opiekun prawny lub inna osoba upoważniona przez opiekuna.

Jeśli uważasz, że dziecko przekazało nam dane bez zgody opiekuna — skontaktuj się z nami na [email protected]. Usuniemy dane, o ile nie mamy innej podstawy prawnej do ich przechowywania.

W zakresie realizacji zajęć administratorem danych uczestnika jest organizator. Opiekun powinien zapoznać się z polityką organizatora przed zapisem.

12. Polityka cookies

Serwis korzysta z plików cookies oraz podobnych technologii (localStorage, sessionStorage) w celach niezbędnych, analitycznych, funkcjonalnych i marketingowych.

Przy pierwszej wizycie wyświetlamy banner zgody (Silktide Cookie Banner). Możesz:

  • zaakceptować wszystkie kategorie,
  • odrzucić opcjonalne cookies (analityczne, reklamowe, funkcjonalne),
  • zarządzać preferencjami w ustawieniach bannera (ikona cookies w rogu strony).

Cookies niezbędne działają bez zgody — są konieczne do działania Serwisu (sesja, bezpieczeństwo, formularz płatności Stripe, e-maile transakcyjne). Pozostałe kategorie wymagają zgody.

Możesz też usunąć lub zablokować cookies w ustawieniach przeglądarki — może to ograniczyć funkcje Serwisu (np. logowanie, rezerwacja i płatność).

13. Szczegółowa tabela cookies i narzędzi

Poniżej zestawienie głównych technologii. Aktualna lista może się nieznacznie różnić — szczegóły w bannerze cookies.

KategoriaDostawcaCel przetwarzaniaOkresPolityka prywatności
NiezbędneCloudflare, Inc.Bezpieczeństwo, filtrowanie ruchu, CDN (np. __cf_bm, cf_clearance).Sesyjny lub do 30 dnicloudflare.com
NiezbędneLaravel Cloud / Vercel Inc.Hosting backendu i frontendu, routing, cache.Sesyjnyvercel.com
NiezbędnePostmark (ActiveCampaign LLC)E-maile transakcyjne (rezerwacje, OTP, alerty, powiadomienia).Do czasu wysyłki + logi dostawcypostmarkapp.com
NiezbędneStripe, Inc.Płatności online (formularz rezerwacji i płatności, Stripe Connect) — cookies sesji płatniczej.Sesyjnystripe.com
NiezbędneSilktide (banner cookies)Zapamiętanie preferencji zgody na cookies (localStorage).Do 12 miesięcysilktide.com
AnalityczneGoogle Analytics (Google LLC)Analiza ruchu, optymalizacja UX (po zgodzie).Do 24 miesięcygoogle.com
AnalityczneGoogle Tag Manager (Google LLC)Zarządzanie tagami analitycznymi i marketingowymi (po zgodzie).Sesyjny / do 24 miesięcygoogle.com
AnalityczneHotjar Ltd.Mapy kliknięć, nagrania sesji (po zgodzie).Do 12 miesięcyhotjar.com
MarketingoweMeta Platforms Ireland Ltd.Remarketing, pomiar konwersji (po zgodzie).Do 90 dnifacebook.com
MarketingoweGoogle Ads (Google LLC)Kampanie reklamowe, pomiar skuteczności (po zgodzie).Do 24 miesięcygoogle.com

SMS (OTP, lista rezerwowa, przypomnienia) wysyłane są przez SMSAPI (Vercom S.A.) — nie używa cookies; dane przetwarzane po stronie serwera. Polityka: smsapi.pl.

14. localStorage i sessionStorage

Oprócz cookies Serwis zapisuje dane lokalnie w przeglądarce:

  • parentSessionToken, parentEmail, parentDisplayName, kidsy_parent_device_id (localStorage) — sesja Panelu Rodzica po weryfikacji OTP (ok. 30 dni od ostatniej aktywności); usuwane po wylogowaniu.
  • kidsy_alert_signup (localStorage) — informacja, że zapisałeś się na alerty (ukrycie formularza); do ręcznego usunięcia w przeglądarce.
  • nps_snoozed_until (localStorage) — odłożenie ankiety NPS w Panelu Rodzica.
  • kidsy_session_id (sessionStorage) — anonimowy identyfikator sesji do analityki zdarzeń w Serwisie.
  • kidsy_activity_seed (localStorage) — techniczny seed do spójnego sortowania wyników w wyszukiwarce (TTL ok. 24 h).
  • Preferencje bannera cookies (Silktide) — localStorage — zapis twoich wyborów dotyczących cookies.

Te dane nie trafiają na serwer Kidsy (poza standardowym ruchem HTTP), chyba że dany klucz jest odczytywany przez skrypt wysyłający zdarzenie analityczne (np. kidsy_session_id).

15. Komunikacja e-mail i SMS

Wiadomości transakcyjne (nie wymagają osobnej zgody marketingowej — są niezbędne do realizacji usługi):

  • potwierdzenia rezerwacji, zakupu karnetu, semestru lub produktu,
  • kody OTP do logowania w Panelu Rodzica,
  • powiadomienia o liście rezerwowej — e-mail i SMS do wszystkich zapisanych na dany termin,
  • informacje o anulowaniu lub zmianie terminu zajęć,
  • przypomnienia o nadchodzących zajęciach (np. SMS 24 h przed — jeśli organizator ma włączone przypomnienia w CRM),
  • powiadomienia systemowe po zajęciach oraz o zbliżającym się wygaśnięciu karnetu — wiadomości informacyjne niezbędne do obsługi usługi,
  • linki do płatności Stripe wysłane przez organizatora.

Powyższe wiadomości wysyłane w imieniu organizatora traktujemy jako informacje systemowe związane z realizacją umowy (art. 6 ust. 1 lit. b RODO) — nie wymagają odrębnej zgody marketingowej.

Wiadomości od organizatora — treści wysyłane ręcznie przez panel CRM organizatora (widoczne w Panelu Rodzica, czasem duplikowane e-mailem). Za treść wiadomości spoza powiadomień systemowych odpowiada organizator.

Wiadomości marketingowe Kidsy — wyłącznie w ramach newslettera lub alertów, na podstawie zgody (sekcja 5).

16. Twoje prawa (RODO)

Wobec administratora twoich danych (Kidsy lub organizator) przysługuje ci:

  • Prawo dostępu — informacja, jakie dane przetwarzamy i w jakim celu.
  • Prawo do sprostowania — poprawienie nieprawidłowych danych.
  • Prawo do usunięcia („prawo do bycia zapomnianym”) — w przypadkach przewidzianych RODO.
  • Prawo do ograniczenia przetwarzania.
  • Prawo do przenoszenia danych — w zakresie przetwarzania na podstawie umowy lub zgody, w formacie ustrukturyzowanym.
  • Prawo sprzeciwu — wobec przetwarzania na podstawie uzasadnionego interesu.
  • Prawo cofnięcia zgody — w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania przed cofnięciem (dotyczy alertów, newslettera, cookies opcjonalnych).
  • Prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

Wnioski dotyczące danych przetwarzanych przez Kidsy: [email protected]. Odpowiadamy bez zbędnej zwłoki, nie później niż w ciągu 30 dni — o ile wniosek nie wymaga przedłużenia (o czym poinformujemy).

Wnioski dotyczące realizacji zajęć kieruj do organizatora (sekcja 6).

17. Bezpieczeństwo danych

Stosujemy m.in. następujące środki:

  • szyfrowanie transmisji (HTTPS/TLS),
  • logowanie jednorazowym kodem OTP zamiast stałego hasła w Panelu Rodzica,
  • ograniczenie liczby prób wysłania OTP (rate limiting),
  • rejestracja IP i User-Agent przy składaniu zgód,
  • kontrola dostępu do Panelu Organizatora (konta użytkowników, role instruktorów),
  • monitorowanie i logi bezpieczeństwa infrastruktury,
  • procedury reagowania na incydenty bezpieczeństwa.

Żaden system nie gwarantuje 100% bezpieczeństwa. Jeśli podejrzewasz naruszenie konta — skontaktuj się z nami natychmiast na [email protected].

18. Zmiany polityki

Polityka może ulec zmianie — np. w związku ze zmianą prawa, nowymi funkcjami Serwisu lub nowymi podprocesorami. Nowa wersja z datą publikacji pojawi się na tej stronie.

O istotnych zmianach wpływających na twoje prawa możemy dodatkowo poinformować e-mailem (jeśli mamy twój adres) lub komunikatem w Serwisie.

Zalecamy okresowe sprawdzanie tej strony. Data ostatniej publikacji widoczna jest na górze dokumentu.

19. Definicje

Administrator danych (ADO)
Podmiot decydujący o celach i sposobach przetwarzania danych osobowych — w Serwisie Kidsy lub organizator zajęć, w zależności od kontekstu.
Procesor / podmiot przetwarzający
Podmiot przetwarzający dane w imieniu administratora (np. Kidsy w zakresie formularzy rezerwacji dla organizatora).
Dane osobowe
Informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (RODO art. 4 pkt 1).
RODO
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
Serwis
Platforma internetowa kidsy.pl oraz powiązane usługi (Panel Rodzica, widżet rezerwacji).

20. Kontakt

W sprawach dotyczących ochrony danych osobowych przetwarzanych przez Kidsy:

Kidsy Sp. z o.o.

ul. Jana Heweliusza 11/811, 80-890 Gdańsk

E-mail: [email protected]

E-mail: [email protected]

Powiązane dokumenty: Regulamin dla rodziców, Regulamin dla organizatorów.

Pytania dotyczące danych osobowych?

Napisz do nas: [email protected]

🔔 Bądź na bieżąco z nowymi zajęciami

Zapisz się, a powiadomimy Cię gdy pojawią się nowe zajęcia w wybranej kategorii

Ładuję kategorie…