Polityka Prywatności
Ostatnia aktualizacja: 26 lutego 2026
1. Administrator danych
Administratorem danych osobowych przetwarzanych w ramach serwisu PPOŻ Manager (dalej: Serwis) jest:
Usługi informatyczne "Scripters" Wojciech Fałowski
Mystkow 90, 33-334 Mystkow
NIP: 7343539216
REGON: 364291337
Wpisana do CEIDG
Kontakt z Administratorem w sprawach ogólnych: kontakt@ppozmanager.pl
Punkt kontaktowy w sprawach ochrony danych osobowych: dane-osobowe@ppozmanager.pl
Administrator nie wyznaczył Inspektora Ochrony Danych (IOD/DPO), ponieważ nie jest do tego zobowiązany na podstawie art. 37 RODO — nie prowadzi przetwarzania danych osobowych na dużą skalę ani nie przetwarza szczególnych kategorii danych. Wszelkie zapytania dotyczące ochrony danych osobowych prosimy kierować na adres: dane-osobowe@ppozmanager.pl.
2. Rola Administratora: Kontroler i Procesor danych
Ważne: W zależności od kontekstu przetwarzania, PPOŻ Manager pełni dwie odrębne role w rozumieniu RODO. Prosimy o uważne zapoznanie się z poniższym rozróżnieniem, ponieważ wpływa ono na Państwa prawa i obowiązki.
PPOŻ Manager jako Administrator danych
PPOŻ Manager występuje jako samodzielny Administrator danych osobowych w odniesieniu do następujących kategorii danych:
- Dane konta Użytkownika — imię, nazwisko, adres email, numer telefonu, hasło (w formie zaszyfrowanej), dane sesji logowania.
- Dane płatnicze — informacje związane z subskrypcją i płatnościami realizowanymi za pośrednictwem Stripe (identyfikator klienta Stripe, historia transakcji).
- Dane analityczne — anonimowe dane dotyczące korzystania z Serwisu, zbierane za pomocą Umami Analytics.
- Dane komunikacyjne — korespondencja prowadzona z Administratorem, zapytania przez formularz kontaktowy.
PPOŻ Manager jako Procesor (Podmiot przetwarzający) danych
PPOŻ Manager występuje jako Podmiot przetwarzający (Procesor) w rozumieniu art. 28 RODO w odniesieniu do danych, które Użytkownicy (firmy ochrony przeciwpożarowej) wprowadzają do Serwisu na temat swoich klientów. Dotyczy to w szczególności:
- Dane klientów Użytkownika — nazwy firm, numery NIP, adresy, osoby kontaktowe, numery telefonów, adresy email.
- Dane przeglądów i inspekcji — daty przeglądów, wyniki kontroli, uwagi serwisanta, dane identyfikacyjne technika.
- Dane protokołów — treść protokołów przeciwpożarowych, podpisy elektroniczne, dokumentacja fotograficzna.
- Dane sprzętu — informacje o urządzeniach gaśniczych, hydrantach i innym sprzęcie PPOŻ przypisanym do klientów Użytkownika.
Oznacza to, że: gdy Użytkownik (firma serwisowa) wprowadza do PPOŻ Manager dane swoich klientów, to Użytkownik jest Administratorem (Kontrolerem) tych danych, a PPOŻ Manager przetwarza je wyłącznie na jego polecenie, w roli Procesora. Szczegółowe zasady tego przetwarzania reguluje Umowa Powierzenia Przetwarzania Danych Osobowych, dostępna pod adresem /umowa-powierzenia.
3. Kategorie danych osobowych
W ramach działania Serwisu przetwarzamy następujące kategorie danych osobowych:
| Kategoria | Dane | Źródło |
|---|---|---|
| Dane konta | Imię, nazwisko, adres email, hasło (hash bcrypt), numer telefonu | Rejestracja w Serwisie |
| Dane organizacji | Nazwa firmy, NIP, adres siedziby, dane kontaktowe firmy | Podane przez Użytkownika |
| Dane klientów (procesor) | Nazwa firmy klienta, NIP, adres, osoby kontaktowe, numery telefonów, adresy email | Wprowadzone przez Użytkownika |
| Dane przeglądów | Daty przeglądów, wyniki inspekcji, uwagi, dane identyfikacyjne serwisanta | Wprowadzone przez Użytkownika |
| Dane protokołów | Treść protokołów PPOŻ, podpisy elektroniczne, zdjęcia dokumentacyjne | Wprowadzone przez Użytkownika |
| Dane płatności | Identyfikator klienta Stripe, historia transakcji (dane kart przechowuje wyłącznie Stripe) | Stripe (procesor płatności) |
| Dane techniczne | Adres IP, informacje o przeglądarce (user-agent), dane sesji, znaczniki czasowe | Zbierane automatycznie |
4. Cele i podstawy prawne przetwarzania
Przetwarzamy dane osobowe wyłącznie w oparciu o konkretne podstawy prawne przewidziane w Rozporządzeniu (UE) 2016/679 (RODO):
| Cel przetwarzania | Podstawa prawna (RODO) | Opis |
|---|---|---|
| Świadczenie usługi | Art. 6 ust. 1 lit. b — wykonanie umowy | Prowadzenie konta, logowanie, udostępnianie funkcji platformy, obsługa zgłoszeń |
| Płatności | Art. 6 ust. 1 lit. b — wykonanie umowy | Obsługa subskrypcji i płatności za pośrednictwem Stripe |
| Przetwarzanie danych klientów Użytkownika | Art. 28 — umowa powierzenia | Przetwarzanie jako Procesor na zlecenie Użytkownika będącego Administratorem danych swoich klientów |
| Retencja protokołów PPOŻ | Art. 6 ust. 1 lit. c — obowiązek prawny | Przechowywanie protokołów przez minimum 5 lat zgodnie z Ustawą o ochronie przeciwpożarowej |
| Bezpieczeństwo | Art. 6 ust. 1 lit. f — prawnie uzasadniony interes | Prowadzenie logów systemowych, audyt dostępu, ochrona przed nadużyciami i atakami |
| Komunikacja | Art. 6 ust. 1 lit. b — wykonanie umowy | Powiadomienia systemowe, przypomnienia o przeglądach, komunikacja email związana z usługą |
| Marketing (za zgodą) | Art. 6 ust. 1 lit. a — zgoda | Newsletter, informacje o nowych funkcjach i produktach (wyłącznie po wyrażeniu dobrowolnej, jednoznacznej zgody poprzez zaznaczenie osobnego checkboxa lub mechanizmu double opt-in) |
| Analityka | Art. 6 ust. 1 lit. f — prawnie uzasadniony interes | Analiza anonimowego ruchu na stronie za pomocą Umami Analytics (bez danych osobowych) |
5. Odbiorcy danych
Dane osobowe mogą być udostępniane następującym kategoriom odbiorców wyłącznie w zakresie niezbędnym do realizacji celów przetwarzania:
| Odbiorca | Rola | Dane | Lokalizacja | Zabezpieczenia |
|---|---|---|---|---|
| Stripe, Inc. | Procesor płatności | Dane płatnicze | USA | EU-US Data Privacy Framework |
| Resend, Inc. | Dostawca email | Adres email, treść wiadomości | USA | SCC (Standard Contractual Clauses) |
| Upstash, Inc. | Kolejka zadań | Identyfikatory zadań, metadane | EU (Frankfurt) | RODO — przetwarzanie w EU |
| Railway Corporation | Hosting aplikacji i baz danych | Wszystkie dane w bazie danych, dane techniczne | EU (Amsterdam) | Przetwarzanie w EOG (RODO) |
| Cloudflare, Inc. | CDN / ochrona DDoS | Dane techniczne (IP, nagłówki HTTP) | Sieć globalna z edge w EU | EU-US DPF + SCC |
| GUS (API) | Weryfikacja NIP | Numer NIP | Polska | Krajowe publiczne API |
| Umami (self-hosted) | Analityka | Anonimowe dane ruchu | EU | Brak danych osobowych |
Dane mogą być również udostępniane organom administracji publicznej, sądom lub innym podmiotom uprawnionym na podstawie przepisów prawa, w przypadku gdy obowiązek udostępnienia wynika z obowiązujących regulacji.
6. Przekazywanie danych do państw trzecich
W związku z korzystaniem z usług podmiotów mających siedzibę w Stanach Zjednoczonych (Stripe, Inc. oraz Resend, Inc.), niektóre dane osobowe mogą być przekazywane do USA.
Podstawą prawną takiego przekazania jest decyzja wykonawcza Komisji Europejskiej z dnia 10 lipca 2023 r. stwierdzająca odpowiedni stopień ochrony danych osobowych w ramach EU-US Data Privacy Framework (DPF). Zarówno Stripe, jak i Resend są certyfikowanymi uczestnikami programu DPF.
Jako dodatkowe zabezpieczenie, z wymienionymi podmiotami zostały zawarte umowy zawierające Standardowe Klauzule Umowne (SCC) zatwierdzone decyzją Komisji Europejskiej 2021/914/EU, które zapewniają odpowiedni poziom ochrony danych w przypadku, gdyby ramy DPF zostały unieważnione.
Użytkownik ma prawo uzyskać kopię stosowanych Standardowych Klauzul Umownych, kontaktując się z nami pod adresem kontakt@ppozmanager.pl.
7. Okres przechowywania danych
Dane osobowe są przechowywane wyłącznie przez okres niezbędny do realizacji celów, dla których zostały zebrane, z uwzględnieniem obowiązujących przepisów prawa:
| Kategoria danych | Okres przechowywania | Podstawa |
|---|---|---|
| Dane konta | Czas trwania umowy + 30 dni na eksport danych | Wykonanie umowy |
| Aktywne dane sesji logowania | 7 dni (dane aktywnej sesji; logi o sesjach przechowywane w ramach logów audytu — 12 miesięcy) | Bezpieczeństwo |
| Magic links (Portal Klienta) | 15 minut | Bezpieczeństwo |
| Dane klientów Użytkownika | Czas trwania umowy + 30 dni | Umowa powierzenia |
| Protokoły PPOŻ | Do 5 lat od daty przeglądu (na żądanie Użytkownika, w celu wsparcia jego obowiązków prawnych) | Umowa powierzenia / prawnie uzasadniony interes Użytkownika |
| Dane płatności (Stripe) | Zgodnie z wymogami podatkowymi (5 lat) | Art. 6 ust. 1 lit. c RODO |
| Logi audytu | 12 miesięcy | Prawnie uzasadniony interes |
| Dane analityczne | 24 miesiące (anonimowe) | Prawnie uzasadniony interes |
| Kopie zapasowe | 30 dni (rotacja) | Bezpieczeństwo |
Po upływie okresu przechowywania dane są trwale usuwane lub anonimizowane w sposób uniemożliwiający identyfikację osoby, której dotyczą.
8. Prawa osób, których dane dotyczą
Zgodnie z RODO, każda osoba, której dane osobowe przetwarzamy, ma prawo do:
- Prawo dostępu (art. 15 RODO) — uzyskania potwierdzenia, czy Państwa dane są przetwarzane, oraz uzyskania kopii przetwarzanych danych.
- Prawo do sprostowania (art. 16 RODO) — żądania poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych osobowych.
- Prawo do usunięcia (art. 17 RODO) — żądania usunięcia danych osobowych ("prawo do bycia zapomnianym"), z zastrzeżeniem wyjątków opisanych poniżej.
- Prawo do ograniczenia przetwarzania (art. 18 RODO) — żądania ograniczenia przetwarzania danych w określonych przypadkach przewidzianych przepisami RODO.
- Prawo do przenoszenia danych (art. 20 RODO) — otrzymania swoich danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. JSON, CSV).
- Prawo do sprzeciwu (art. 21 RODO) — wniesienia sprzeciwu wobec przetwarzania danych opartego na prawnie uzasadnionym interesie Administratora.
- Prawo do niepodlegania decyzjom zautomatyzowanym (art. 22 RODO) — niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.
- Prawo do cofnięcia zgody — jeśli przetwarzanie odbywa się na podstawie zgody, przysługuje prawo do jej cofnięcia w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
Uwaga dotycząca prawa do usunięcia (art. 17 RODO): Ze względu na wymogi Ustawy o ochronie przeciwpożarowej, protokoły PPOŻ muszą być przechowywane przez minimum 5 lat od daty przeglądu. Oznacza to, że prawo do usunięcia danych zawartych w protokołach przeciwpożarowych jest ograniczone przez okres wynikający z obowiązku prawnego (art. 17 ust. 3 lit. b RODO). Dane te zostaną usunięte po upływie wymaganego okresu retencji.
Aby skorzystać z powyższych praw, prosimy o kontakt pod adresem: dane-osobowe@ppozmanager.pl.
Odpowiedź na Państwa żądanie zostanie udzielona bez zbędnej zwłoki, nie później niż w terminie jednego miesiąca od dnia otrzymania żądania. W przypadku skomplikowanych lub licznych żądań termin ten może zostać przedłużony o kolejne dwa miesiące, o czym zostaną Państwo poinformowani w ciągu pierwszego miesiąca wraz z podaniem przyczyn opóźnienia.
9. Zautomatyzowane podejmowanie decyzji
PPOŻ Manager nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby skutki prawne wobec Użytkownika lub w podobny sposób istotnie na niego wpływały, w rozumieniu art. 22 RODO.
W Serwisie nie stosujemy profilowania w celach marketingowych ani w celu podejmowania zautomatyzowanych decyzji.
System generuje automatyczne przypomnienia o zbliżających się terminach przeglądów, wygasających certyfikatach sprzętu oraz inne powiadomienia operacyjne. Są to jednak wyłącznie funkcje informacyjne i pomocnicze — nie stanowią zautomatyzowanego podejmowania decyzji w rozumieniu RODO. Wszelkie istotne decyzje podejmowane są przez Użytkownika.
10. Cookies i technologie śledzące
PPOŻ Manager stosuje minimalistyczne podejście do cookies i technologii śledzących, zgodne z zasadą prywatności domyślnej (privacy by default):
Umami Analytics
Korzystamy z Umami Analytics — narzędzia analitycznego typu "privacy-first". Umami nie używa plików cookies, nie śledzi użytkowników między stronami, nie zbiera danych osobowych i jest w pełni zgodne z RODO oraz dyrektywą ePrivacy bez konieczności uzyskiwania zgody.
Pliki cookies sesyjne
W celu utrzymania sesji zalogowanego Użytkownika stosujemy pliki cookies o następujących parametrach:
- HTTP-only — niedostępne dla skryptów JavaScript (ochrona przed XSS)
- Secure — przesyłane wyłącznie przez szyfrowane połączenie HTTPS
- SameSite=Lax — ochrona przed atakami CSRF
- Czas wygaśnięcia: 7 dni
localStorage
W pamięci przeglądarki (localStorage) przechowujemy wyłącznie informację o zamknięciu bannera informacyjnego. Nie przechowujemy żadnych danych osobowych w localStorage.
Czego NIE stosujemy
- Plików cookies reklamowych lub marketingowych podmiotów trzecich
- Plików cookies śledzących (tracking cookies)
- Technologii retargetingu
- Pikseli śledzących (tracking pixels)
- Fingerprinting przeglądarki
11. Dane dzieci
PPOŻ Manager jest usługą typu B2B (Business-to-Business) skierowaną wyłącznie do firm i osób prowadzących działalność gospodarczą w branży ochrony przeciwpożarowej. Serwis nie jest przeznaczony dla osób poniżej 16. roku życia (art. 8 RODO).
Świadomie nie zbieramy ani nie przetwarzamy danych osobowych dzieci. Jeżeli dowiemy się, że nieumyślnie zebraliśmy dane osobowe osoby poniżej 16. roku życia, podejmiemy niezwłocznie działania w celu ich trwałego usunięcia.
Jeśli mają Państwo informacje, że dziecko przekazało nam swoje dane osobowe, prosimy o niezwłoczny kontakt pod adresem dane-osobowe@ppozmanager.pl.
12. Bezpieczeństwo danych
Stosujemy odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych osobowych, zgodnie z art. 32 RODO:
Środki techniczne
- Szyfrowanie w transmisji — wszystkie połączenia zabezpieczone protokołem TLS 1.3
- Haszowanie haseł — hasła przechowywane wyłącznie w formie skrótu kryptograficznego (bcrypt)
- Izolacja danych multi-tenant — dane każdej organizacji są izolowane na poziomie bazy danych, uniemożliwiając dostęp między organizacjami
- Kontrola dostępu oparta na rolach (RBAC) — granularny system uprawnień przypisanych do ról użytkowników
- HTTP-only cookies sesyjne — z flagami Secure i SameSite, niedostępne dla skryptów klienckich
- Ochrona przed CSRF — mechanizmy zabezpieczające przed atakami typu Cross-Site Request Forgery
- Walidacja danych wejściowych — walidacja po stronie serwera z wykorzystaniem schematów Zod
- Ochrona przed SQL Injection — sparametryzowane zapytania za pośrednictwem ORM (Drizzle ORM)
- Automatyczne kopie zapasowe — regularne backupy bazy danych z 30-dniową rotacją
Środki organizacyjne
- Zasada minimalnego dostępu — dostęp do danych wyłącznie dla osób, które potrzebują go do realizacji swoich obowiązków
- Regularne przeglądy bezpieczeństwa — okresowe audyty konfiguracji, kodu i infrastruktury
- Procedury reagowania na incydenty — udokumentowane procedury postępowania w przypadku naruszenia bezpieczeństwa danych
- Monitorowanie logów — ciągły monitoring logów systemowych i audytowych w celu wykrywania podejrzanych aktywności
13. Naruszenie ochrony danych
W przypadku naruszenia ochrony danych osobowych postępujemy zgodnie z wymogami RODO:
Zgłoszenie do organu nadzorczego (art. 33 RODO)
W przypadku stwierdzenia naruszenia ochrony danych osobowych, które może powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłosi takie naruszenie do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) bez zbędnej zwłoki — w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Zawiadomienie osób, których dane dotyczą (art. 34 RODO)
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki zawiadomi osoby, których dane dotyczą, o takim naruszeniu. Zawiadomienie będzie zawierać opis charakteru naruszenia, możliwe konsekwencje, środki podjęte w celu zaradzenia naruszeniu oraz dane kontaktowe osoby udzielającej informacji.
Wewnętrzna procedura reagowania
Administrator prowadzi wewnętrzną procedurę reagowania na incydenty bezpieczeństwa obejmującą:
- Identyfikację i ocenę naruszenia
- Podjęcie natychmiastowych działań naprawczych w celu ograniczenia skutków
- Dokumentację naruszenia, jego skutków i podjętych działań zaradczych
- Analizę przyczyn i wdrożenie środków zapobiegawczych
- Powiadomienie Użytkowników, których dane mogły zostać naruszone (w ramach obowiązku Procesora wobec Kontrolerów — art. 33 ust. 2 RODO)
14. Umowa powierzenia przetwarzania danych
Zgodnie z art. 28 RODO, przetwarzanie danych osobowych klientów Użytkownika przez PPOŻ Manager odbywa się na podstawie Umowy Powierzenia Przetwarzania Danych Osobowych (Data Processing Agreement, DPA).
Umowa powierzenia określa w szczególności:
- Przedmiot i czas trwania przetwarzania — przetwarzanie danych przez okres obowiązywania umowy o korzystanie z Serwisu.
- Charakter i cel przetwarzania — umożliwienie Użytkownikom zarządzania danymi swoich klientów w ramach funkcji platformy PPOŻ Manager.
- Rodzaj danych i kategorie osób — dane klientów Użytkownika (firmy, osoby kontaktowe, dane przeglądów, protokoły).
- Podprzetwarzający (sub-procesorzy) — lista podmiotów trzecich, którym powierzono przetwarzanie danych, wraz z obowiązkiem informowania o zmianach.
- Prawa audytu — prawo Użytkownika do przeprowadzenia audytu zgodności PPOŻ Manager z warunkami umowy powierzenia.
- Usunięcie danych — zobowiązanie PPOŻ Manager do usunięcia lub zwrotu danych po zakończeniu umowy, zgodnie z instrukcjami Użytkownika.
- Środki bezpieczeństwa — opis technicznych i organizacyjnych środków ochrony danych stosowanych przez PPOŻ Manager.
Pełna treść Umowy Powierzenia Przetwarzania Danych Osobowych jest dostępna na stronie /umowa-powierzenia. Każdy Użytkownik, który wprowadza do PPOŻ Manager dane swoich klientów, występuje jako Administrator (Kontroler) tych danych, a PPOŻ Manager przetwarza je w roli Procesora.
15. Zmiany w Polityce Prywatności
Administrator zastrzega sobie prawo do aktualizacji niniejszej Polityki Prywatności w celu odzwierciedlenia zmian w praktykach przetwarzania danych, wymogów prawnych lub funkcjonalności Serwisu.
O istotnych zmianach w Polityce Prywatności (np. wprowadzeniu nowych celów przetwarzania, zmianie kategorii odbiorców danych, zmianie okresu retencji) Użytkownicy zostaną powiadomieni drogą email z co najmniej 30-dniowym wyprzedzeniem przed wejściem zmian w życie.
Aktualna wersja Polityki Prywatności jest zawsze dostępna pod adresem ppozmanager.pl/polityka-prywatnosci. Data ostatniej aktualizacji jest widoczna na początku dokumentu.
Kontynuowanie korzystania z Serwisu po wejściu w życie zmian w Polityce Prywatności oznacza akceptację nowych warunków. Jeśli Użytkownik nie zgadza się ze zmianami, ma prawo zaprzestać korzystania z Serwisu i zażądać usunięcia swoich danych.
16. Kontakt i skargi
W sprawach związanych z przetwarzaniem danych osobowych, realizacją przysługujących praw lub wszelkich pytań dotyczących niniejszej Polityki Prywatności, prosimy o kontakt:
Usługi informatyczne "Scripters" Wojciech Fałowski
Mystkow 90, 33-334 Mystkow
Email ogólny: kontakt@ppozmanager.pl
Ochrona danych: dane-osobowe@ppozmanager.pl
Prawo do wniesienia skargi
Jeżeli uważają Państwo, że przetwarzanie Państwa danych osobowych narusza przepisy RODO, przysługuje Państwu prawo do wniesienia skargi do organu nadzorczego:
Prezes Urzędu Ochrony Danych Osobowych (PUODO)
ul. Stawki 2, 00-193 Warszawa
Strona internetowa: www.uodo.gov.pl
Zachęcamy jednak do uprzedniego skontaktowania się z nami w celu wyjaśnienia wszelkich wątpliwości — dołożymy wszelkich starań, aby rozwiązać sprawę w sposób satysfakcjonujący.