Polityka prywatności

Wersja 1.0 · Obowiązuje od 2026-05-08

1. Administrator danych osobowych

Administratorem Twoich danych osobowych w rozumieniu RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) jest WRÓBLEWSKI INVESTMENTS sp. z o.o. (dalej: "Administrator" lub "my"), prowadząca platformę SaaS pod marką SneakerSynergy.

Nie wyznaczyliśmy Inspektora Ochrony Danych. We wszystkich sprawach związanych z przetwarzaniem danych osobowych można się z nami kontaktować na adres email: privacy@sneakersynergy.app lub pocztą tradycyjną na adres siedziby.

2. Zakres przetwarzanych danych

Przetwarzamy następujące kategorie danych osobowych:

• Dane konta użytkownika: adres email, imię i nazwisko, rola w organizacji (ADMIN/WORKER/SELLER), data utworzenia konta, hash hasła (bcrypt).
• Dane firmy (Klienta): nazwa, NIP, adres siedziby, dane kontaktowe (email, telefon).
• Dane biznesowe: zamówienia, faktury, dane kontrahentów (kupujących i komisantów), produkty, transakcje magazynowe.
• Dane techniczne: adres IP, identyfikator przeglądarki (User-Agent), znaczniki czasu logowania i akceptacji regulaminu.
• Logi systemowe (audit log): historia działań w systemie (kto, co, kiedy) - przechowywana 12 miesięcy.
• Pliki cookies: wyłącznie techniczne (sesja, CSRF). Brak cookies marketingowych ani analitycznych.
• Dane płatnicze: nie przechowujemy bezpośrednio - są przetwarzane przez Stripe (PCI-DSS Level 1).

3. Cele i podstawy prawne przetwarzania

4. Twoje prawa (rozdz. III RODO)

• Art. 15 - dostęp do danych: możesz pobrać kopię swoich danych w panelu (Ustawienia → Prywatność → Pobierz moje dane) w formacie JSON.
• Art. 16 - sprostowanie: edycja danych w profilu lub kontakt z nami.
• Art. 17 - usunięcie ("prawo do bycia zapomnianym"): w panelu (Ustawienia → Prywatność → Usuń konto) lub kontakt. Anonimizacja w terminie 30 dni z zachowaniem danych podatkowych zgodnie z prawem.
• Art. 18 - ograniczenie przetwarzania: kontakt z nami.
• Art. 20 - przenoszenie danych: eksport JSON jak wyżej.
• Art. 21 - sprzeciw wobec przetwarzania na podstawie uzasadnionego interesu: kontakt na privacy@sneakersynergy.app.
• Art. 7 ust. 3 - wycofanie zgody: w każdej chwili, bez wpływu na zgodność z prawem przetwarzania dokonanego do tego momentu.
• Skarga do organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Realizujemy żądania w terminie do 30 dni od ich otrzymania (art. 12 ust. 3 RODO), z możliwością przedłużenia o kolejne 60 dni w uzasadnionych przypadkach.

5. Odbiorcy danych (powierzenie przetwarzania)

Twoje dane mogą być powierzone następującym kategoriom odbiorców (umowy powierzenia art. 28 RODO):

• Hetzner Online GmbH (Niemcy, EOG) - hosting infrastruktury serwerowej.
• Cloudflare, Inc. (USA) - CDN, ochrona DDoS. Transfer na podstawie standardowych klauzul umownych Komisji Europejskiej.
• Stripe Payments Europe Ltd. (Irlandia, EOG) - przetwarzanie płatności subskrypcji.
• SendGrid (Twilio Inc.) lub Postmark (USA) - dostarczanie emaili transakcyjnych.
• Sentry, Inc. (USA) - monitoring błędów aplikacji (anonimizowany).
• Baselinker sp. z o.o. (Polska) - integracja sprzedażowa, jeśli korzystasz.

Z każdym z powyższych dostawców mamy zawartą umowę powierzenia przetwarzania danych. Lista subprocessorów jest aktualna na dzień publikacji - aktualną listę można uzyskać kontaktując się na adres podany powyżej.

6. Transfer poza EOG

Niektórzy z naszych dostawców (Cloudflare, SendGrid, Sentry, Stripe w niektórych przypadkach) mają siedzibę poza Europejskim Obszarem Gospodarczym. Transfer odbywa się na podstawie:

• Standardowych klauzul umownych Komisji Europejskiej (SCC) w wersji 2021/914.
• Decyzji wykonawczej KE (np. EU-US Data Privacy Framework dla podmiotów certyfikowanych).
• Dodatkowych zabezpieczeń: szyfrowanie at-rest, in-transit, ograniczenia dostępu.

7. Bezpieczeństwo danych

Wdrażamy adekwatne środki techniczne i organizacyjne (art. 32 RODO):

• Szyfrowanie: hasła hashowane (bcrypt 12+ rund), sekrety integracji szyfrowane AES-256-GCM z kluczem per-organizacja (HKDF derived z master key).
• Transport: TLS 1.2+, HSTS, certyfikaty Let's Encrypt z auto-rotacją.
• Uwierzytelnianie: sesje cookie httpOnly + SameSite=Lax, rate limiting na endpointach auth.
• Headery bezpieczeństwa: CSP, X-Frame-Options DENY, Permissions-Policy, X-Content-Type-Options.
• Izolacja tenantów: Prisma extension wymusza scope per-organizacja na wszystkich query.
• Backupy: codzienne, off-site retention 30 dni.
• Audit log: wszystkie operacje krytyczne (zmiany ról, eksporty, usuwanie).
• Notyfikacja incydentów: max 72h od wykrycia, zgodnie z art. 33 RODO.

8. Pliki cookies

Używamy wyłącznie technicznych plików cookies niezbędnych do działania serwisu (sesja, ochrona CSRF). Nie używamy cookies marketingowych, analitycznych ani trackingowych. Z tego powodu nie wyświetlamy banera "Akceptuj cookies" - zgoda nie jest wymagana (art. 173 ust. 1 pkt 2 Prawa telekomunikacyjnego).

Jeśli kiedyś wprowadzimy cookies wymagające zgody, dodamy odpowiedni mechanizm zgody i zaktualizujemy niniejszą politykę.

9. Zautomatyzowane podejmowanie decyzji

Nie podejmujemy zautomatyzowanych decyzji wywołujących skutki prawne (art. 22 RODO) ani nie stosujemy profilowania.

10. Dane dzieci

Usługa nie jest skierowana do osób poniżej 16 roku życia. Nie zbieramy świadomie danych osobowych dzieci. Jeśli stwierdzisz, że dziecko podało nam dane osobowe, prosimy o kontakt - usuniemy je niezwłocznie.

11. Zmiany polityki prywatności

Możemy aktualizować politykę prywatności. O istotnych zmianach poinformujemy emailem co najmniej 14 dni przed wejściem w życie. Aktualną wersję zawsze znajdziesz na sneakersynergy.app/privacy z datą ostatniej aktualizacji.

12. Kontakt

W sprawach związanych z ochroną danych osobowych:
Email: privacy@sneakersynergy.app
Adres: WRÓBLEWSKI INVESTMENTS sp. z o.o., Zielona 34B, Skrbeńsko, 44-341 Gołkowice, Polska