§1 Administrator danych osobowych
Administratorem danych osobowych jest Maciej Maliński prowadzący jednoosobową działalność gospodarczą pod nazwą [NAZWA PEŁNA]:
- NIP: [NIP]
- REGON: [REGON]
- Adres siedziby: [ADRES SIEDZIBY]
- E-mail kontaktowy: maciek@vteam.pl
Z uwagi na skalę przetwarzania (mała działalność, mniej niż 250 osób) Administrator nie powołał Inspektora Ochrony Danych (DPO) — kontakt w sprawach RODO bezpośrednio na adres e-mail wskazany powyżej.
§2 Jakie dane zbieramy
Dane podawane dobrowolnie przez Użytkownika:
- Adres e-mail — w celu założenia Konta i wysyłki magic-link.
- Dane firmy (nazwa, NIP, adres) — opcjonalne, podawane wyłącznie do wystawienia faktury VAT.
- Treść Raportów — parametry generowania (np. TERYT obrębu, adres, promień) podane w formularzu zamówienia.
Dane zbierane automatycznie:
- Adres IP, User-Agent przeglądarki, timestamp logowań i działań w Serwisie — wyłącznie do celów bezpieczeństwa (wykrywanie nadużyć, rate limiting, audyt).
- Identyfikator sesji (HTTP-only cookie) — niezbędny do utrzymania stanu zalogowania.
- Identyfikator Raportu, identyfikator Użytkownika, timestamp generowania — zapisywane w metadanych PDF jako znak wodny w celu egzekwowania praw autorskich.
Dane techniczne związane z płatnościami:
Płatności są obsługiwane przez podmiot zewnętrzny eService sp. z o.o. (grupa Bank Millennium S.A.). Serwis nie przechowuje danych kart płatniczych ani danych logowania do bankowości — otrzymuje wyłącznie potwierdzenie statusu płatności (identyfikator transakcji, kwotę, status: ok/błąd).
§3 Cel przetwarzania
- Świadczenie Usługi — generowanie i udostępnianie Raportów, zarządzanie Kontem, obsługa Kredytów.
- Realizacja płatności — przekazywanie niezbędnych danych do operatora płatności (eService) i wystawienie faktury (ifirma).
- Komunikacja transakcyjna — wysyłka linków logowania, potwierdzeń zakupu, informacji o statusie Raportów, odpowiedzi na reklamacje.
- Bezpieczeństwo — wykrywanie nadużyć (rate limiting, audyt prób logowania, blokowanie kont naruszających Regulamin).
- Obowiązki podatkowe i księgowe — przechowywanie faktur i danych transakcyjnych przez okres wymagany przepisami.
- Doskonalenie Usługi — anonimowa analiza pokrycia funkcjonalności (które części Serwisu są używane), wyłącznie na podstawie zagregowanych statystyk bez identyfikacji pojedynczych Użytkowników.
Nie wykorzystujemy danych osobowych do profilowania marketingowego, retargetingu reklam ani sprzedaży podmiotom trzecim.
§4 Podstawy prawne przetwarzania
| Kategoria danych | Podstawa prawna RODO |
|---|---|
| Adres e-mail, dane Konta | art. 6 ust. 1 lit. b — wykonanie umowy (Regulamin) |
| Dane firmy do faktury | art. 6 ust. 1 lit. c — obowiązek prawny (przepisy podatkowe) |
| Faktury przechowywane 5 lat | art. 6 ust. 1 lit. c — Ordynacja podatkowa, art. 86 § 1 i art. 112 |
| Adres IP, logi bezpieczeństwa | art. 6 ust. 1 lit. f — prawnie uzasadniony interes (bezpieczeństwo) |
| Treść Raportów (parametry) | art. 6 ust. 1 lit. b — wykonanie umowy |
| Newsletter (jeśli włączony) | art. 6 ust. 1 lit. a — zgoda (opt-in, odwoływalna) |
§5 Odbiorcy danych — procesory
Dane osobowe są przekazywane następującym podmiotom przetwarzającym (procesorom) na podstawie umów powierzenia (DPA) lub równoważnych instrumentów prawnych:
| Procesor | Zakres przetwarzania | Lokalizacja |
|---|---|---|
| Hetzner Online GmbH | Hosting serwera aplikacji, bazy danych PostgreSQL, plików PDF/CSV | Niemcy (EOG) |
| Anthropic PBC | Generowanie komentarza w sekcji „Wnioski (AI)" — tylko gdy Użytkownik włączy tę opcję; przekazywane są wyłącznie anonimowe statystyki Raportu (mediany, kwartyle, liczby transakcji), nigdy dane Użytkownika. | USA (Standard Contractual Clauses + DPA) |
| OpenStreetMap Foundation (Nominatim) | Geokodowanie adresów — przekazywany jest wyłącznie wpisany przez Użytkownika adres nieruchomości (nie dane Użytkownika). | Wielka Brytania / UE |
| vTeam Maciej Maliński (SMTP mail.vteam.pl) | Wysyłka e-maili transakcyjnych (linki logowania, potwierdzenia zakupu) — własna infrastruktura Administratora. | Polska |
| eService sp. z o.o. (grupa Bank Millennium S.A.) | Realizacja płatności kartą, BLIK, przelewem natychmiastowym. | Polska |
| ifirma S.A. | Wystawianie faktur VAT i obsługa księgowości. | Polska |
Dodatkowo, w celu generowania Raportów Serwis korzysta z publicznych danych udostępnianych przez:
- Główny Urząd Geodezji i Kartografii (GUGiK) — Rejestr Cen Nieruchomości (transakcje notarialne), ULDK (geometria działek);
- Ministerstwo Cyfryzacji — portal dane.gov.pl (cenniki ofertowe deweloperów).
Powyższe instytucje nie są procesorami w rozumieniu RODO — to publiczne rejestry, do których Serwis wysyła wyłącznie zapytania o obszary geograficzne, bez danych osobowych Użytkowników.
§6 Transfer danych poza EOG
Jedynym procesorem działającym poza Europejskim Obszarem Gospodarczym jest Anthropic PBC (USA). Transfer odbywa się na podstawie:
- Standardowych Klauzul Umownych Komisji Europejskiej (Standard Contractual Clauses, SCC) — decyzja KE 2021/914;
- Umowy o przetwarzanie danych (DPA) z Anthropic dostępnej w konsoli API Anthropic;
- Decyzji wykonawczej Komisji UE z 10 lipca 2023 r. w sprawie odpowiedniego stopnia ochrony danych w ramach EU-US Data Privacy Framework (DPF).
Anthropic nie wykorzystuje danych przekazywanych przez API do trenowania modeli — gwarancja umowna w DPA. Przekazywane są wyłącznie zagregowane statystyki Raportu (liczby), nigdy adres e-mail, dane Konta ani treść korespondencji.
§7 Okres przechowywania
| Rodzaj danych | Okres przechowywania |
|---|---|
| Konto aktywne (e-mail, ustawienia, kredyty) | Do usunięcia przez Użytkownika |
| Historia Raportów wygenerowanych przez Użytkownika | Do usunięcia przez Użytkownika |
| Faktury VAT i dane transakcyjne | 5 lat od końca roku kalendarzowego, w którym powstał obowiązek podatkowy (art. 86 § 1 Ordynacji podatkowej) |
| Logi techniczne (IP, User-Agent, timestamp logowania) | 90 dni |
| Logi audytu działań admina | 2 lata |
| Logi reklamacji i korespondencji | 3 lata (okres przedawnienia roszczeń konsumenckich) |
§8 Prawa osoby, której dane dotyczą
Zgodnie z RODO Użytkownikowi przysługują następujące prawa:
- Dostępu do danych (art. 15 RODO) — uzyskanie kopii przetwarzanych danych.
- Sprostowania (art. 16 RODO) — żądanie poprawienia nieprawidłowych danych.
- Usunięcia (art. 17 RODO, „prawo do bycia zapomnianym") — z zastrzeżeniem obowiązków przechowywania faktur.
- Ograniczenia przetwarzania (art. 18 RODO).
- Przenoszenia danych (art. 20 RODO) — otrzymanie danych w formacie maszynowo czytelnym (JSON / CSV).
- Sprzeciwu wobec przetwarzania na podstawie prawnie uzasadnionego interesu (art. 21 RODO).
- Cofnięcia zgody (jeśli przetwarzanie odbywa się na podstawie zgody, np. newsletter) — w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
Żądania należy kierować na adres maciek@vteam.pl. Termin realizacji: do 30 dni od otrzymania żądania.
Użytkownikowi przysługuje również prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).
§9 Cookies i analityka
Serwis używa wyłącznie technicznych ciasteczek niezbędnych do funkcjonowania:
- Session cookie (HTTP-only, Secure, SameSite=Lax) — przechowuje identyfikator sesji zalogowanego Użytkownika. Czas życia: do wylogowania lub 30 dni (auto-refresh przy aktywności).
- CSRF token cookie — zabezpieczenie przed atakami Cross-Site Request Forgery. Czas życia: sesja przeglądarki.
Te ciasteczka są niezbędne do działania Serwisu (świadczenia Usługi wybranej przez Użytkownika) i zgodnie z art. 173 ust. 3 ustawy Prawo telekomunikacyjne nie wymagają osobnej zgody. Z tego powodu Serwis nie wyświetla banera cookies.
Serwis nie używa:
- Cookies analitycznych (np. Google Analytics, Hotjar);
- Cookies marketingowych / reklamowych;
- Cookies osób trzecich (third-party);
- Pixel-tagów Facebook / Meta, Google Ads, LinkedIn Insight Tag itp.
Anonimowe statystyki wykorzystania Serwisu (np. liczba wygenerowanych Raportów na miesiąc) są agregowane bezpośrednio w bazie danych Administratora, bez identyfikacji pojedynczych Użytkowników i bez wysyłania danych do podmiotów trzecich.
§10 Bezpieczeństwo
- Szyfrowanie w transporcie — całość komunikacji odbywa się przez HTTPS (TLS 1.3, certyfikat Let's Encrypt). HSTS włączone (Strict-Transport-Security).
- Szyfrowanie w spoczynku — baza danych PostgreSQL hostowana na szyfrowanym dysku serwera (Hetzner LUKS / AES-256).
- Logowanie bez hasła — Serwis nie przechowuje haseł użytkowników. Autoryzacja odbywa się przez jednorazowy magic-link wysyłany e-mailem, ważny 15 minut.
- Backupy — codzienne automatyczne kopie bazy danych z retencją 7 dni (daily) + 4 tygodnie (weekly). Backupy szyfrowane.
- Pliki Raportów — PDF i CSV udostępniane przez podpisane URL (HMAC SHA-256) ważne 24 godziny. Bezpośredni dostęp do storage zablokowany.
- Rate limiting — automatyczne blokowanie podejrzanej aktywności (więcej niż 5 prób logowania w 5 minut, więcej niż 100 raportów dziennie).
- Audyt — wszystkie działania administracyjne (przyznanie kredytów, zmiana statusu Raportu) są logowane w niezmiennej historii.
W przypadku naruszenia ochrony danych mogącego skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, Administrator powiadomi Prezesa UODO w terminie 72 godzin oraz osoby, których dane dotyczą, bez zbędnej zwłoki.
§11 Zmiany polityki
Aktualna wersja polityki jest publikowana pod adresem quadraprice.pl/polityka-prywatnosci. O istotnych zmianach Administrator informuje Użytkowników z aktywnymi Kontami drogą e-mailową co najmniej 14 dni przed wejściem zmian w życie. Wcześniejsze wersje są archiwizowane na żądanie pod adresem maciek@vteam.pl.
§12 Kontakt
We wszystkich sprawach związanych z przetwarzaniem danych osobowych (w tym dla wykonania praw, o których mowa w §8) prosimy o kontakt:
- E-mail: maciek@vteam.pl
- Korespondencja: [NAZWA PEŁNA], [ADRES SIEDZIBY]
Termin udzielenia odpowiedzi: do 30 dni od otrzymania żądania, zgodnie z art. 12 ust. 3 RODO. W szczególnie skomplikowanych przypadkach termin może zostać przedłużony o kolejne 60 dni — Użytkownik zostanie poinformowany o przedłużeniu wraz z uzasadnieniem.