Polityka prywatności

1. Administrator danych

Administratorem danych osobowych jest Łukasz Niezgoda, osoba fizyczna nieprowadząca działalności gospodarczej, adres korespondencyjny: ul. Mariana Hemara 5/94, 03-289 Warszawa, właściciel Serwisu FiskalRadar.

Kontakt: l.niezgoda97@gmail.com.

Administrator nie wyznaczył Inspektora Ochrony Danych. We wszelkich sprawach dotyczących ochrony danych osobowych prosimy o kontakt pod adresem e-mail wskazanym powyżej.

W przypadku zmiany formy prawnej działalności (np. założenia spółki), administratorem danych stanie się nowy podmiot, który przejmie dotychczasowe obowiązki w zakresie ochrony danych osobowych na tych samych zasadach. O takiej zmianie Użytkownicy zostaną poinformowani e-mailem z co najmniej 14-dniowym wyprzedzeniem.

2. Zakres przetwarzanych danych

Przetwarzamy następujące kategorie danych:

Dane konta (podawane przy rejestracji)

• adres e-mail
• hasło (przechowywane wyłącznie jako hash bcrypt — nigdy w postaci jawnej)
• plan subskrypcji i data rejestracji
• identyfikator klienta Stripe (wyłącznie w przypadku płatności)

Profil firmowy (podawany dobrowolnie podczas onboardingu)

• rodzaje obsługiwanych klientów i branże
• preferowane kategorie podatkowe i źródła wiedzy
• przybliżona liczba obsługiwanych klientów

Anonimowe dane statystyczne (zbierane automatycznie, bez powiązania z kontem)

• odwiedzane sekcje archiwum, kliknięcia w treści, stosowane filtry

Dane powiązane z kontem Użytkownika

• zapytania wyszukiwania semantycznego — rejestrowane w celu ochrony przed nadużyciami i kontroli kosztów
• zdarzenia dostarczania e-mail (dostarczenie, otwarcie, kliknięcie, odrzucenie) — rejestrowane w celu zapewnienia niezawodności wysyłki
• reakcje na akty prawne (oznaczenia „przydatne” / „nieistotne”)
• odpowiedzi na ankiety satysfakcji (NPS: ocena 0–10 i opcjonalny komentarz)
• oceny tygodniowych zestawień (1–5)
• głosy na propozycje nowych funkcji
• zgłoszenia błędów i propozycje ulepszeń (formularz kontaktowy)

Dane techniczne

• data ostatniego logowania (w celu zapewnienia bezpieczeństwa konta i wykrywania kont nieaktywnych)
• adres IP i nagłówki HTTP (logi serwera dostawcy hostingu — Vercel)
• plik cookie sesji (token JWT — szczegóły w sekcji 9)

3. Źródła danych

Dane osobowe pozyskujemy bezpośrednio od Użytkownika (rejestracja, onboarding, formularze) oraz zbieramy automatycznie podczas korzystania z Serwisu (dane o aktywności opisane w sekcji 2).

4. Cele i podstawy przetwarzania

Dane przetwarzane są w celu:

• świadczenia usługi — prowadzenie konta, wysyłka tygodniowych zestawień, dostęp do archiwum — art. 6 ust. 1 lit. b RODO (wykonanie umowy)
• obsługi płatności i wystawiania dokumentów księgowych — art. 6 ust. 1 lit. b i c RODO (wykonanie umowy i obowiązek prawny)
• zapewnienia bezpieczeństwa konta i prawidłowego działania Serwisu — art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora)
• doskonalenia jakości zestawień, analizy statystycznej korzystania z usługi (w formie zagregowanej i zanonimizowanej) oraz badania satysfakcji użytkowników — art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora)
• monitorowania zapytań wyszukiwania semantycznego w celu wykrywania nadużyć, kontroli kosztów usługi oraz egzekwowania warunków Regulaminu (zakaz automatycznego pobierania treści i nadmiernego obciążania systemu) — art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora) oraz art. 6 ust. 1 lit. b RODO (wykonanie umowy)
• monitorowania zdarzeń dostarczania wiadomości e-mail (dostarczenie, otwarcie, kliknięcie, odrzucenie) w celu zapewnienia niezawodności wysyłki i ochrony reputacji domeny — art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora)
• rozpatrywania reklamacji i dochodzenia roszczeń — art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora)

5. Profilowanie i zautomatyzowane decyzje

Serwis nie stosuje zautomatyzowanego podejmowania decyzji ani profilowania w rozumieniu art. 22 RODO. Zebrane dane o korzystaniu z usługi służą wyłącznie do zagregowanej analizy statystycznej i doskonalenia jakości treści — nie są wykorzystywane do podejmowania decyzji wywołujących skutki prawne lub istotnie wpływających na Użytkownika.

6. Prawa użytkownika

Użytkownik ma prawo do:

• dostępu do danych (art. 15 RODO)
• sprostowania danych (art. 16 RODO) — zmiana e-maila i hasła w ustawieniach konta
• usunięcia danych (art. 17 RODO) — usunięcie konta w ustawieniach konta
• ograniczenia przetwarzania (art. 18 RODO)
• przenoszenia danych (art. 20 RODO) — eksport danych w formacie JSON dostępny w ustawieniach konta
• wniesienia sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie (art. 21 RODO) — w szczególności wobec przetwarzania danych o korzystaniu z usługi w celach analitycznych

Żądania dotyczące praw można kierować na adres: l.niezgoda97@gmail.com. Odpowiedź nastąpi bez zbędnej zwłoki, nie później niż w ciągu 30 dni.

Użytkownik ma również prawo złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).

7. Odbiorcy danych

Dane mogą być przekazywane następującym podmiotom (podprocesorom):

Anthropic przetwarza wyłącznie treści aktów prawnych ze źródeł publicznych w celu ich klasyfikacji i streszczania. Żadne dane osobowe Użytkowników (adresy e-mail, hasła, dane kont) nie są przekazywane do systemów AI.

Wyszukiwarka semantyczna korzysta z zewnętrznego modelu embeddingowego (Voyage AI, Inc., San Francisco, USA), któremu przekazywana jest wyłącznie treść zapytania (opis zagadnienia prawnego) — bez adresu e-mail, identyfikatora konta ani innych danych osobowych. Serwis nie jest przeznaczony do przetwarzania danych osobowych osób trzecich — zgodnie z Regulaminem (§8 pkt 4) zalecamy, aby Użytkownik nie wprowadzał danych osobowych w polach tekstowych Serwisu. Voyage AI nie jest podprocesorem danych osobowych w rozumieniu RODO.

8. Przekazywanie danych poza EOG

Część dostawców (Resend, Vercel, a po zakończeniu fazy beta również Stripe) ma siedzibę w USA, poza Europejskim Obszarem Gospodarczym (EOG). Transfer danych osobowych do tych podmiotów odbywa się na podstawie EU-US Data Privacy Framework (DPF) — decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (art. 45 RODO). Z każdym podprocesorem zawarta jest umowa powierzenia danych (DPA) zgodna z art. 28 RODO. Supabase przechowuje dane w regionie EU (Frankfurt), co nie stanowi transferu poza EOG. Funkcje serwerowe Vercel wykonywane są w regionie EU (Frankfurt).

9. Cookies i dane techniczne

Serwis wykorzystuje wyłącznie jeden techniczny plik cookie niezbędny do utrzymania sesji logowania (fiskalradar_session). Cookie zawiera zaszyfrowany token sesji (JWT) i nie służy do śledzenia ani reklamy.

• Typ: ściśle niezbędny (ang. strictly necessary)
• Czas życia: 30 dni
• Flagi: HttpOnly, SameSite=Strict, Secure (w produkcji)

Podstawą stosowania tego cookie jest art. 6 ust. 1 lit. b RODO (niezbędność do wykonania umowy — utrzymanie sesji zalogowanego użytkownika). Serwis nie korzysta z cookies śledzących, analitycznych ani reklamowych i nie wymaga bannera cookie.

10. Dane klientów użytkowników

10.1. Role — administrator i podmiot przetwarzający

Niezależnie od wybranego trybu szyfrowania, Użytkownik jest wyłącznym administratorem danych osobowych swoich klientów (art. 4 pkt 7 RODO) i zobowiązany jest zapewnić własną podstawę prawną przetwarzania (art. 6 RODO), spełnić obowiązek informacyjny wobec swoich klientów (art. 13–14 RODO) oraz odpowiadać na wnioski osób, których dane dotyczą (art. 15–22 RODO).

10.2. Pole nazwy klienta — dwa tryby ochrony

Pole nazwy klienta podlega szyfrowaniu w jednym z dwóch trybów wybieranych przez Użytkownika przed dodaniem pierwszego klienta:

• Tryb PIN (E2EE) — nazwa klienta jest szyfrowana w przeglądarce Użytkownika kluczem wyprowadzonym z PIN-u (AES-GCM 256, PBKDF2 600 000 iteracji). Usługodawca przechowuje wyłącznie ciphertext i nie ma technicznej możliwości odszyfrowania nazwy. W tym trybie Usługodawca nie jest podmiotem przetwarzającym dla pola nazwy — nie ma do niego dostępu (art. 28 RODO nie znajduje zastosowania). Zapomnienie PIN-u skutkuje trwałą utratą nazw — Usługodawca nie posiada kopii klucza ani mechanizmu odzyskiwania.
• Tryb bez PIN-u (encryption at rest) — nazwa klienta jest szyfrowana symetrycznym kluczem Usługodawcy po stronie serwera (AES-GCM 256). W tym trybie Usługodawca jest podmiotem przetwarzającym w rozumieniu art. 28 RODO. Pełne warunki umowy powierzenia (UPP) określa §8a Regulaminu.

10.3. Inne pola profilu klienta

Pozostałe pola profilu klienta (forma opodatkowania, status VAT, rodzaj działalności, przedział przychodowy, branże, rodzaj firmy, tryb pracy z kasą fiskalną, MPP, OSS/IOSS) to dane kategoryczne — ich połączenie nie umożliwia identyfikacji konkretnej osoby (zbiór anonimowy w rozumieniu motywu 26 RODO). Usługodawca przetwarza je wyłącznie w celu dopasowywania aktów prawnych do profilu klienta. Pole „notatki” objęte jest walidacją PII — próby zapisu numerów NIP, PESEL, adresów e-mail i podobnych identyfikatorów są blokowane przez Serwis.

10.4. Realizacja praw osób, których dane dotyczą

Klienci Użytkownika (osoby, których dane dotyczą) realizują swoje prawa wynikające z art. 15–22 RODO poprzez Użytkownika (administratora). Usługodawca, jeśli pełni rolę procesora (tryb bez PIN-u), wspiera Użytkownika w realizacji tych praw zgodnie z §8a pkt 8 Regulaminu — w szczególności udostępnia, sprostowuje, usuwa lub eksportuje pole nazwy konkretnego klienta na pisemne żądanie Użytkownika.

10.5. Lista podprocesów

W trybie bez PIN-u (gdy Usługodawca jest procesorem) korzystamy z następujących podprocesów:

• Supabase Inc. (siedziba: USA, region przetwarzania: UE/Frankfurt) — hosting bazy danych PostgreSQL i backup. Dane: zaszyfrowany ciphertext nazwy klienta. Brak dostępu do plaintextu.
• Vercel Inc. (siedziba: USA, region przetwarzania: UE/USA w zależności od „edge region”) — hosting aplikacji webowej. Plaintext nazwy klienta jest tymczasowo obecny w pamięci procesu Next.js wyłącznie na czas obsługi żądania (typowo poniżej 100 ms), nie jest logowany ani persistowany.
• Resend, Inc. (siedziba: USA, region przetwarzania: UE) — wysyłka e-maili transakcyjnych. Nie otrzymuje nazw klientów — e-maile zawierają wyłącznie informacje o koncie Użytkownika i treści digestów.

Następujące usługi nie otrzymują nazw klientów (ani innych danych identyfikujących klientów Użytkownika):

• Anthropic, PBC (Claude API) — obsługa AI. Otrzymuje wyłącznie treść aktów prawnych pobranych ze źródeł publicznych.
• VoyageAI Inc. — embeddingi do wyszukiwania semantycznego. Otrzymuje pole „notatki” zwalidowane pod kątem PII oraz treść aktów — nie nazwy klientów.
• Stripe, Inc. — obsługa płatności (po fazie beta). Otrzymuje wyłącznie e-mail Użytkownika i dane karty płatniczej; nie ma dostępu do danych klientów Użytkownika.

O zmianie listy podprocesów Usługodawca powiadomi z 14-dniowym wyprzedzeniem na e-mail konta Użytkownika (§8a pkt 7 Regulaminu).

10.6. Przekazywanie do państw trzecich

Niektórzy z podprocesów (Supabase, Vercel, Resend) mają siedzibę w USA. Przetwarzanie danych odbywa się jednak na infrastrukturze w regionach UE (z wyjątkiem Vercel edge, gdzie żądania mogą być rutowane przez najbliższy region). Podstawa prawna ewentualnego transferu poza EOG: standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską oraz Data Privacy Framework (DPF, gdy dotyczy).

10.7. Inne ograniczenia

Wprowadzanie danych osobowych w polach innych niż pole nazwy klienta jest zakazane na mocy §8 pkt 4 Regulaminu. Naruszenie tego zakazu powoduje, że pełną odpowiedzialność za zgodność takiego przetwarzania z RODO ponosi Użytkownik.

11. Okres przechowywania danych

• Dane konta i aktywności powiązanej z kontem — przechowywane przez czas trwania konta. Po usunięciu konta dane powiązane z kontem (profil, reakcje, oceny, odpowiedzi na ankiety, głosy) są usuwane niezwłocznie i trwale.
• Historia zapytań wyszukiwania semantycznego — przechowywana przez czas trwania konta, a po jego usunięciu — przez okres do 1 roku w celu dochodzenia lub obrony przed roszczeniami związanymi z nadużyciem usługi (art. 6 ust. 1 lit. f RODO). Po upływie tego okresu dane są trwale usuwane.
• Anonimowe dane statystyczne — dane o odwiedzanych sekcjach, kliknięciach i filtrach nie są powiązane z kontem Użytkownika i przechowywane są bezterminowo w formie zagregowanej.
• Dane rozliczeniowe — dokumenty księgowe związane z płatnościami przechowywane są przez okres wymagany przepisami prawa podatkowego (5 lat od końca roku podatkowego, w którym dokonano płatności, zgodnie z art. 70 Ordynacji podatkowej).
• Dane w systemie Stripe — retencja danych płatniczych podlega polityce Stripe i może wykraczać poza okres przechowywania danych w Serwisie.

12. Bezpieczeństwo

Stosujemy następujące środki techniczne i organizacyjne zapewniające ochronę danych:

• szyfrowanie haseł algorytmem bcrypt (hasła nigdy nie są przechowywane w postaci jawnej)
• szyfrowanie transmisji danych protokołem HTTPS/TLS
• szyfrowanie danych w spoczynku na serwerach bazy danych (AWS, region EU)
• tokeny sesji podpisane kryptograficznie (JWT z algorytmem HS256)
• ograniczony dostęp do infrastruktury (zasada minimalnych uprawnień)

13. Zmiany Polityki prywatności

Administrator zastrzega sobie prawo do zmiany niniejszej Polityki prywatności. O istotnych zmianach Użytkownicy zostaną poinformowani e-mailem z co najmniej 14-dniowym wyprzedzeniem. Aktualna wersja jest zawsze dostępna w Serwisie.