Polityka prywatności

Ostatnia aktualizacja: 2026-05-01 · Wersja: 1.0

Uwaga: Niniejsza polityka jest projektem (draft) i wymaga weryfikacji prawnej przed publikacją produkcyjną. Lista subprocesorów oraz okresy przechowywania powinny być aktualizowane wraz ze zmianą stosu technologicznego.

Niniejsza polityka opisuje zasady przetwarzania danych osobowych w związku z korzystaniem ze strony czystepro.pl oraz platformy CzystePRO.

1. Administrator danych

Administratorem Twoich danych osobowych jest CzystePRO sp. z o.o., ul. Przykładowa 1, 00-000 Warszawa, NIP 0000000000, KRS 0000000000, REGON 000000000.

Kontakt w sprawach ochrony danych: rodo@czystepro.pl.

2. Role: administrator vs podmiot przetwarzający

W zależności od kontekstu, w stosunku do różnych kategorii danych występujemy w różnych rolach:

Administrator — w stosunku do danych Użytkowników Platformy (dane konta, dane do faktury, ruch na stronach publicznych) oraz osób kontaktujących się z nami przez formularze i e-mail.
Podmiot przetwarzający — w stosunku do danych klientów końcowych Użytkownika, wprowadzanych do Platformy w toku audytów, ofert i obsługi pipeline'u CRM. Zasady tego przetwarzania reguluje umowa powierzenia (DPA).

3. Jakie dane przetwarzamy

3.1 Dane konta i rozliczeń

imię, nazwisko, adres e-mail, hasło (przechowywane jako hash);
nazwa firmy, NIP, adres siedziby — zbierane w procesie płatności na potrzeby wystawienia faktury;
identyfikator klienta i identyfikator subskrypcji w systemie Stripe.

3.2 Dane techniczne i logi

adres IP, identyfikator urządzenia, informacje o przeglądarce i systemie operacyjnym;
logi dostępowe, działania w aplikacji (dla celów bezpieczeństwa i audytu);
identyfikatory plików cookies i lokalnych magazynów (zgodnie z sekcją 9).

3.3 Dane wprowadzane do Platformy przez Użytkownika

W tym zakresie występujemy jako podmiot przetwarzający — zob. sekcja 2 oraz DPA.

3.4 Dane z formularzy kontaktowych

imię, e-mail, telefon, treść wiadomości — w zakresie podanym dobrowolnie.

4. Cele i podstawy prawne

Cel	Podstawa prawna
Świadczenie usługi (rejestracja, logowanie, korzystanie z Platformy)	art. 6 ust. 1 lit. b RODO — wykonanie umowy
Rozliczenia, fakturowanie, księgowość	art. 6 ust. 1 lit. c RODO — obowiązek prawny (m.in. ustawa o VAT, ustawa o rachunkowości)
Obsługa zapytań kierowanych przez formularz / e-mail	art. 6 ust. 1 lit. f RODO — uzasadniony interes (kontakt z osobą zainteresowaną usługą)
Bezpieczeństwo Platformy, wykrywanie nadużyć, logi dostępowe	art. 6 ust. 1 lit. f RODO — uzasadniony interes (bezpieczeństwo systemu)
Analityka ruchu (Google Analytics 4)	art. 6 ust. 1 lit. a RODO — zgoda (wyrażana w bannerze cookies)
Marketing własnych usług, newsletter	art. 6 ust. 1 lit. a RODO — zgoda (możliwa do cofnięcia w każdej chwili)
Dochodzenie i obrona roszczeń	art. 6 ust. 1 lit. f RODO — uzasadniony interes

5. Odbiorcy danych — podmioty przetwarzające

Korzystamy z usług sprawdzonych dostawców. Każdy z nich przetwarza dane wyłącznie w zakresie niezbędnym do świadczenia swojej usługi i na podstawie zawartej z nami umowy powierzenia.

Dostawca	Cel	Lokalizacja
Supabase Inc.	Baza danych, autentykacja użytkowników, przechowywanie plików	EU (Frankfurt)
Vercel Inc.	Hosting aplikacji, dostarczanie treści (CDN)	USA (transfery na podstawie Standard Contractual Clauses + DPF)
Stripe Payments Europe Ltd.	Realizacja płatności, fakturowanie, zarządzanie subskrypcjami	Irlandia (EU) + USA (DPF)
Google LLC (Gemini API)	Asystent AI — generowanie odpowiedzi na zapytania użytkownika	USA (DPF)
Google LLC (Google Analytics 4)	Analityka ruchu na stronach publicznych (po wyrażeniu zgody)	USA (DPF, IP anonimizowane)

Dane mogą być również udostępniane: kancelariom prawnym, biurom rachunkowym, organom państwowym (w zakresie wynikającym z przepisów prawa).

6. Transfery poza Europejski Obszar Gospodarczy

Część dostawców (Vercel, Stripe, Google) ma siedziby w USA. Transfer danych do tych podmiotów odbywa się na podstawie:

EU–U.S. Data Privacy Framework (DPF) — dla dostawców certyfikowanych w ramach DPF;
standardowych klauzul umownych (SCC) przyjętych przez Komisję Europejską;
dodatkowych zabezpieczeń technicznych (szyfrowanie w tranzycie i spoczynku).

7. Okres przechowywania

Dane konta i Platformy — przez okres trwania umowy oraz do 36 miesięcy po jej zakończeniu (na potrzeby ewentualnych roszczeń); użytkownik może wystąpić o wcześniejsze usunięcie zgodnie z sekcją 8.
Dane rozliczeniowe i faktury — przez okres wymagany przepisami podatkowymi (5 lat licząc od końca roku, w którym powstał obowiązek podatkowy).
Logi techniczne i bezpieczeństwa — do 12 miesięcy.
Dane z formularzy kontaktowych — do 12 miesięcy od ostatniego kontaktu, chyba że nawiązaliśmy współpracę.
Newsletter — do czasu cofnięcia zgody.
Cookies analityczne — zgodnie z konfiguracją narzędzia (GA4 — domyślnie 14 miesięcy).

8. Prawa osoby, której dane dotyczą

Przysługuje Ci prawo do:

dostępu do swoich danych i otrzymania ich kopii;
sprostowania nieprawidłowych lub niekompletnych danych;
usunięcia danych („prawo do bycia zapomnianym") — w zakresie, w jakim nie kolidują z obowiązkiem prawnym po naszej stronie;
ograniczenia przetwarzania;
przenoszenia danych w ustrukturyzowanym formacie;
wniesienia sprzeciwu wobec przetwarzania opartego o uzasadniony interes;
cofnięcia zgody w dowolnym momencie (cofnięcie nie wpływa na zgodność przetwarzania przed cofnięciem);
wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).

W celu realizacji praw skontaktuj się z nami: rodo@czystepro.pl. Odpowiadamy do 30 dni od otrzymania żądania.

9. Cookies i analityka

Używamy plików cookies oraz lokalnych magazynów (localStorage) w trzech kategoriach:

Niezbędne — działanie strony i Platformy (sesja, autentykacja, preferencje, zabezpieczenia). Nie wymagają zgody.
Analityczne — Google Analytics 4 (z anonimizacją IP) — zbiera anonimowe dane o ruchu, źródłach wejść i ścieżkach. Używane wyłącznie po wyrażeniu zgody.
Marketingowe — pomiar skuteczności kampanii, retargeting (jeśli uruchomione). Używane wyłącznie po wyrażeniu zgody.

Zgodę możesz wyrazić, odmówić lub zmienić w dowolnym momencie przez baner cookies oraz link „Ustawienia cookies" w stopce. Stosujemy Google Consent Mode v2 — domyślnie zgody są ustawione na denied, dopóki ich aktywnie nie udzielisz.

10. Asystent AI

Platforma zawiera asystenta AI, którego obsługuje model językowy Google Gemini. Zapytania są wysyłane do dostawcy modelu wyłącznie w celu wygenerowania odpowiedzi.

Nie wykorzystujemy zapytań Użytkowników do trenowania modeli AI — ani naszych własnych, ani modeli dostawcy. Dostawca zobowiązany jest umownie do nie używania danych klienckich do trenowania ogólnych modeli.

Mimo to nie zalecamy wprowadzania do asystenta szczególnie wrażliwych danych osobowych (np. danych zdrowotnych, dokumentów tożsamości). Treść odpowiedzi AI może zawierać błędy i wymaga samodzielnej weryfikacji.

11. Bezpieczeństwo

Stosujemy techniczne i organizacyjne środki bezpieczeństwa adekwatne do ryzyka, w tym:

szyfrowanie ruchu (TLS 1.2+) i danych w spoczynku (AES);
izolację organizacji na poziomie bazy danych (Row Level Security);
kontrolę dostępu opartą o role i zasadę najmniejszych uprawnień;
regularne kopie zapasowe i procedury odtworzenia;
logowanie zdarzeń istotnych z perspektywy bezpieczeństwa.

W przypadku naruszenia ochrony danych mogącego skutkować ryzykiem dla praw i wolności osób, zawiadomimy Prezesa UODO w ciągu 72 godzin oraz osoby, których dane dotyczą — gdy ryzyko jest wysokie.

12. Kontakt

We wszystkich sprawach związanych z przetwarzaniem Twoich danych osobowych: rodo@czystepro.pl.