PIKPPlatforma egzaminacyjna ZSK

Polityka prywatności i ochrony danych osobowych

Klauzula informacyjna RODO (art. 13 rozporządzenia UE 2016/679). Stan na 2026 r.

1. Administrator danych

Polski Instytut Kompetencji Przyszłości (PIKP)
ul. Ligocka 103, budynek 8, 40-568 Katowice
NIP: 6343037402 · KRS: 0001097397 · ZRK: 32206
Kontakt: egzamin@pikp.pl

Inspektor Ochrony Danych: iod@pikp.pl

2. Cele i podstawy prawne przetwarzania

CelPodstawa prawnaOkres przechowywania
Rejestracja konta i obsługa walidacjiart. 6 ust. 1 lit. b RODO (umowa)do usunięcia konta + 30 dni
Ewidencja wydanych certyfikatówart. 6 ust. 1 lit. c RODO (obowiązek prawny — art. 49a ust. 3 ustawy o ZSK)5 lat od wystawienia
Nadzór i integralność egzaminu (kamera, screenshoty incydentów)art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — wiarygodność walidacji)5 lat (jak certyfikat)
Rozliczenia i fakturowanieart. 6 ust. 1 lit. c (obowiązek podatkowy)5 lat od końca roku podatkowego
Marketing własny (newsletter)art. 6 ust. 1 lit. a (zgoda)do odwołania zgody

3. Kategorie danych

  • Identyfikacyjne: imię, nazwisko, data urodzenia (wymóg ustawowy dla certyfikatu).
  • Kontaktowe: e-mail, numer telefonu.
  • Płatnicze: NIE przechowujemy danych karty/konta — obsługa przez Przelewy24.
  • Wynikowe: odpowiedzi w teście wiedzy, treść interakcji z modelem AI w egzaminie praktycznym, oceny komisji.
  • Wizerunek z kamery: obraz wideo podczas walidacji NIE jest zapisywany w całości. Zapisywane są tylko screenshoty incydentów (np. wykrycie drugiej osoby w kadrze) jako dowód dla komisji.

4. Wykrywanie obecności (face detection)

Platforma używa biblioteki MediaPipe do wykrywania obecności twarzy w kadrze (czy kandydat jest na miejscu, czy nie ma drugiej osoby). Algorytm działa wyłącznie lokalnie w przeglądarce — nie przesyła obrazu twarzy ani jej cech biometrycznych na serwer.

Nie zapisujemy szablonów biometrycznych (face embeddings). Przetwarzanie nie stanowi przetwarzania danych biometrycznych w rozumieniu art. 9 RODO.

5. Odbiorcy danych

  • Przelewy24 (PayPro S.A., Poznań) — operator płatności, w zakresie potwierdzenia transakcji.
  • OpenAI lub Anthropic — wyłącznie jeśli kandydat wybrał model komercyjny w egzaminie praktycznym. Patrz sekcja 7.
  • Komisja walidacyjna PIKP — członkowie zespołu oceniającego (rola pracownicza/zleceniobiorca).
  • Organy nadzoru ZSK — Minister Cyfryzacji, IBE PIB, Polska Komisja Akredytacyjna, na podstawie obowiązków sprawozdawczych (art. 49a ustawy o ZSK).

6. Transfer danych poza EOG

Dla kandydatów, którzy wybierają model komercyjny w egzaminie praktycznym, treść promptów i odpowiedzi jest przesyłana do serwerów OpenAI/Anthropic w USA, na podstawie EU-US Data Privacy Framework (DPF) — oba podmioty są certyfikowane.

Aby uniknąć transferu poza EOG, kandydat może wybrać model open-source (lokalny) — wybór odbywa się w pierwszym kroku egzaminu.

Dane w zadaniach egzaminacyjnych pochodzą ze scenariuszy fikcyjnych — celowo NIE dotyczą rzeczywistych osób. Część egzaminu sprawdza umiejętności anonimizacji.

Planowana migracja do EU data residency (Q3 2026): OpenAI → Microsoft Azure OpenAI Service (Sweden Central / France Central), Anthropic → AWS Bedrock (eu-central-1 Frankfurt). Po migracji: brak transferów do państw trzecich.

7. Twoje prawa

  • Dostęp do swoich danych (art. 15 RODO).
  • Sprostowanie nieprawidłowych danych (art. 16).
  • Usunięcie — z wyjątkiem danych przechowywanych z obowiązku prawnego (certyfikat 5 lat, faktury 5 lat).
  • Ograniczenie przetwarzania (art. 18).
  • Przenośność danych (art. 20) — eksport w formacie JSON dostępny w panelu kandydata.
  • Sprzeciw wobec przetwarzania na podstawie prawnie uzasadnionego interesu (art. 21).
  • Cofnięcie zgody (gdy podstawą była zgoda) — w każdej chwili.
  • Skarga do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

8. Cookies i podobne technologie

Platforma używa wyłącznie ciasteczek niezbędnych do funkcjonowania (sesja zalogowania, CSRF token). Nie używamy ciasteczek marketingowych ani trackingowych zewnętrznych firm.

9. Bezpieczeństwo

Dane są szyfrowane w transmisji (HTTPS/TLS 1.3) i w spoczynku (AES-256 dla wrażliwych pól w bazie). Dostęp do systemów produkcyjnych mają wyłącznie uprawnione osoby PIKP — z logowaniem każdej operacji w audit trail.

10. Zmiany Polityki

PIKP może aktualizować niniejszą Politykę. O istotnych zmianach poinformujemy zarejestrowanych użytkowników e-mailem. Bieżąca wersja zawsze dostępna pod tym adresem.

Ostatnia aktualizacja: 29.05.2026