Polityka prywatności

§1. Administrator danych osobowych

Administratorem danych osobowych użytkowników serwisu czaspracyinstalatora.pl jest:

W sprawach związanych z ochroną danych osobowych można kontaktować się pod wskazanym powyżej adresem email.

§2. Jakie dane zbieramy i w jakim celu

2.1. Dane rejestracyjne (konto szefa firmy)

• Imię i nazwisko
• Adres email
• Hasło (przechowywane w formie zaszyfrowanej — bcrypt)
• Nazwa firmy
• NIP firmy
• Numer telefonu (opcjonalnie)
• Adres firmy (opcjonalnie)

Cel: Założenie i obsługa konta, wystawianie faktur, kontakt w sprawach technicznych i handlowych.

2.2. Dane rozliczeniowe

• Dane do faktury (nazwa firmy, NIP, adres)
• Historia zamówień i płatności

Cel: Wystawianie faktur VAT, rozliczenia podatkowe, obsługa reklamacji.

2.3. Dane techniczne

• Adres IP (w logach serwera)
• Informacje o przeglądarce i systemie operacyjnym
• Czas i data logowania
• Tokeny sesji (Sanctum Bearer Token)

Cel: Bezpieczeństwo systemu, diagnostyka błędów, ochrona przed nieautoryzowanym dostępem.

2.4. Dane z formularza zamówienia

• Dane kontaktowe (imię, email, telefon)
• Dane firmy (nazwa, NIP)
• Wybrany plan licencji

Cel: Realizacja zamówienia, wystawienie faktury, kontakt w sprawie licencji.

2.5. Korespondencja email

• Treść wiadomości email kierowanych do Administratora
• Adres email nadawcy

Cel: Obsługa zapytań i reklamacji.

§3. Podstawy prawne przetwarzania

Cel przetwarzania	Podstawa prawna (RODO)
Świadczenie usług, obsługa konta	Art. 6 ust. 1 lit. b — wykonanie umowy
Wystawianie faktur, rozliczenia podatkowe	Art. 6 ust. 1 lit. c — obowiązek prawny
Bezpieczeństwo systemu, logi serwera	Art. 6 ust. 1 lit. f — uzasadniony interes administratora
Marketing własnych usług (jeśli dotyczy)	Art. 6 ust. 1 lit. f — uzasadniony interes lub art. 6 ust. 1 lit. a — zgoda
Obsługa reklamacji i korespondencji	Art. 6 ust. 1 lit. b — wykonanie umowy / lit. f — uzasadniony interes
Powiadomienia push (FCM)	Art. 6 ust. 1 lit. b — wykonanie umowy (element świadczonej usługi)

§4. Okres przechowywania danych

Kategoria danych	Okres przechowywania
Dane konta (aktywne)	Przez cały czas trwania umowy
Dane konta (po usunięciu)	Do 30 dni (możliwość przywrócenia), następnie trwałe usunięcie
Dane rozliczeniowe i faktury	5 lat od końca roku podatkowego (obowiązek prawny)
Logi serwera (adresy IP)	Do 90 dni
Tokeny sesji	12 godzin (automatyczne wygaśnięcie)
Token FCM (push notifications)	Do wylogowania lub zmiany tokenu przez nowe logowanie
Korespondencja email	3 lata od daty korespondencji
Dane formularza zamówienia	5 lat od daty zamówienia (dokumentacja handlowa)

§5. Odbiorcy danych — podprocesory

W celu świadczenia usług Administrator korzysta z następujących podprocesorów danych:

Podmiot	Rola	Lokalizacja
OVH SAS	Hosting serwerów VPS, przechowywanie danych	Francja (EOG)
Google LLC (Firebase)	Wysyłanie powiadomień push (FCM)	USA (patrz §6)
Dostawca SMTP (mail.czaspracyinstalatora.pl)	Wysyłanie wiadomości email	Polska (EOG)

Administrator nie sprzedaje danych osobowych podmiotom trzecim w celach komercyjnych.

§6. Transfer danych poza EOG

W związku z korzystaniem z usługi Firebase Cloud Messaging (Google LLC) do wysyłania powiadomień push, token urządzenia mobilnego może być przekazywany do serwerów Google zlokalizowanych poza Europejskim Obszarem Gospodarczym (EOG), w tym do USA.

Google LLC uczestniczy w programie Data Privacy Framework (następca Privacy Shield) i stosuje Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską, co zapewnia odpowiedni poziom ochrony danych.

Więcej informacji: polityka prywatności Google.

Pozostałe dane przetwarzane są wyłącznie na serwerach zlokalizowanych w Unii Europejskiej (OVH, Francja).

§7. Prawa użytkownika

Na podstawie RODO przysługują Ci następujące prawa:

7.1. Prawo dostępu (art. 15 RODO)

Masz prawo do uzyskania informacji o tym, jakie dane osobowe przetwarzamy oraz do otrzymania ich kopii.

7.2. Prawo do sprostowania (art. 16 RODO)

Masz prawo do żądania poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych. Większość danych możesz samodzielnie edytować w panelu użytkownika.

7.3. Prawo do usunięcia (art. 17 RODO)

Masz prawo do żądania usunięcia swoich danych ("prawo do bycia zapomnianym"), z zastrzeżeniem że nie dotyczy to danych, które musimy przechowywać z mocy prawa (np. faktury).

7.4. Prawo do ograniczenia przetwarzania (art. 18 RODO)

Masz prawo do żądania ograniczenia przetwarzania danych w określonych przypadkach (np. gdy kwestionujesz ich prawidłowość).

7.5. Prawo do przenoszenia danych (art. 20 RODO)

Masz prawo do otrzymania swoich danych w ustrukturyzowanym, powszechnie używanym formacie (Excel, CSV). Na żądanie udostępniamy eksport danych z Systemu.

7.6. Prawo do sprzeciwu (art. 21 RODO)

Masz prawo do wniesienia sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie Administratora.

7.7. Jak złożyć wniosek?

Wnioski dotyczące praw możesz składać:

• Emailem: biuro@koncept-it.pl (temat: "Ochrona danych osobowych")

Administrator odpowie na wniosek w terminie 30 dni od jego otrzymania. W przypadku złożonych wniosków termin może zostać przedłużony o kolejne 60 dni, o czym zostaniesz poinformowany.

7.8. Prawo do skargi

Masz prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, e-mail: kancelaria@uodo.gov.pl.

§8. Pliki cookie

System używa wyłącznie niezbędnych plików cookie do prawidłowego działania:

Nazwa	Cel	Czas trwania
czaspracyinstalatora-session	Sesja użytkownika (panel szefa firmy)	Do zamknięcia przeglądarki
XSRF-TOKEN	Ochrona przed atakami CSRF	Do zamknięcia przeglądarki
panelTheme (localStorage)	Zapamiętanie wyboru motywu (jasny/ciemny)	Bez terminu (localStorage)
cookies_accepted (localStorage)	Zapamiętanie akceptacji banera cookies	Bez terminu (localStorage)

Nie używamy cookies reklamowych, śledzących ani analitycznych. Nie korzystamy z Google Analytics ani podobnych narzędzi.

Pliki cookie sesyjne są niezbędne do działania Systemu — ich wyłączenie uniemożliwi korzystanie z panelu zarządzania.

§9. Logi serwera

Serwer automatycznie rejestruje następujące informacje przy każdym żądaniu HTTP:

• Adres IP klienta
• Data i godzina żądania
• Adres URL żądania
• Kod odpowiedzi HTTP
• Nagłówek User-Agent (przeglądarka, system operacyjny)

Logi serwera przechowywane są przez okres 90 dni i wykorzystywane wyłącznie do celów diagnostycznych i bezpieczeństwa. Dostęp do logów mają wyłącznie administratorzy systemu.

§10. Powiadomienia push i token FCM

Aplikacja mobilna CzasPracyInstalatora korzysta z usługi Firebase Cloud Messaging (Google) do wysyłania powiadomień push.

Przy logowaniu do aplikacji mobilnej generowany jest unikalny token urządzenia (FCM token), który:

• jest przesyłany i przechowywany na serwerach Systemu,
• służy wyłącznie do wysyłania powiadomień związanych z Systemem (przypomnienia o wpisaniu godzin, wiadomości od pracodawcy),
• nie jest wykorzystywany do celów reklamowych ani śledzenia,
• jest aktualizowany przy każdym nowym logowaniu,
• jest usuwany przy wylogowaniu z aplikacji.

Powiadomienia push można wyłączyć w ustawieniach aplikacji mobilnej w zakładce Profil.

§11. Bezpieczeństwo danych

Administrator stosuje następujące środki techniczne i organizacyjne w celu ochrony danych:

• Szyfrowanie transmisji: Wszystkie połączenia z Systemem szyfrowane są protokołem TLS 1.2/1.3 (HTTPS)
• Szyfrowanie haseł: Hasła przechowywane są w formie skrótu kryptograficznego (bcrypt)
• Backup danych: Automatyczne kopie zapasowe bazy danych wykonywane co noc, przechowywane przez 7 dni
• Kontrola dostępu: Dostęp do danych ograniczony do upoważnionych osób
• Tokeny sesji: Automatyczne wygasanie po 12 godzinach
• Firewall: Serwer zabezpieczony zaporą sieciową
• Aktualizacje: Regularne aktualizacje oprogramowania serwerowego

W przypadku naruszenia ochrony danych osobowych Administrator powiadomi Prezesa UODO w ciągu 72 godzin od wykrycia naruszenia, a Użytkowników — bez zbędnej zwłoki, jeśli naruszenie może powodować wysokie ryzyko dla ich praw i wolności.

§12. Profilowanie i automatyczne decyzje

Administrator nie stosuje profilowania ani zautomatyzowanego podejmowania decyzji wobec użytkowników Systemu w rozumieniu art. 22 RODO.

System nie analizuje zachowań użytkowników w celach marketingowych ani nie podejmuje decyzji wywołujących skutki prawne na podstawie wyłącznie zautomatyzowanego przetwarzania.

§13. Dane pracowników użytkowników systemu

Użytkownik (szef firmy) wprowadza do Systemu dane swoich pracowników lub podwykonawców, takie jak imię i nazwisko, PIN, numer telefonu oraz adres email.

Administrator (KONCEPT-IT) przetwarza dane pracowników Użytkownika wyłącznie w celu technicznej realizacji usługi ewidencji czasu pracy, działając jako podmiot przetwarzający na zlecenie Użytkownika.

Administrator zobowiązuje się do:

• przetwarzania danych pracowników wyłącznie zgodnie z udokumentowanymi poleceniami Użytkownika,
• nieudostępniania danych pracowników osobom trzecim bez zgody Użytkownika,
• zapewnienia odpowiednich środków bezpieczeństwa,
• usunięcia danych pracowników po zakończeniu świadczenia usług.

§14. Wiek użytkowników

System CzasPracyInstalatora przeznaczony jest wyłącznie dla osób pełnoletnich (18+) prowadzących działalność gospodarczą lub zatrudnionych przez podmioty gospodarcze.

Administrator nie zbiera świadomie danych osobowych osób poniżej 18 roku życia. W przypadku wykrycia, że dane takie zostały wprowadzone, zostaną niezwłocznie usunięte.

§15. Zmiany polityki prywatności

Administrator zastrzega sobie prawo do zmiany niniejszej Polityki prywatności w przypadku:

• zmian w obowiązujących przepisach prawa,
• wprowadzenia nowych funkcji Systemu wpływających na przetwarzanie danych,
• zmiany podprocesorów lub sposobu przetwarzania danych.

O istotnych zmianach Użytkownicy zostaną poinformowani drogą elektroniczną z co najmniej 30-dniowym wyprzedzeniem.

Aktualna wersja Polityki prywatności zawsze dostępna jest pod adresem czaspracyinstalatora.pl/politykaprywatnosci.html.

§16. Kontakt

W sprawach związanych z ochroną danych osobowych prosimy o kontakt:

Na zapytania dotyczące danych osobowych odpowiadamy w terminie do 30 dni roboczych.