Polityka prywatności
1. Administrator danych
Administratorem danych osobowych przetwarzanych w związku z korzystaniem z serwisu asystentdekoracji.pl oraz aplikacji Asystent Dekoracji (dalej: „Serwis” i „Aplikacja”) jest:
Paulina Porter — PD Porter Design Paulina Porter
ul. Jacka Woronieckiego 6c lok. 2, 05-220 Zielonka
NIP: 812-18-03-400 · REGON: 141713073
Kontakt w sprawach ochrony danych: kontakt@asystentdekoracji.pl
Administrator nie wyznaczył Inspektora Ochrony Danych. We wszystkich sprawach związanych z przetwarzaniem danych osobowych prosimy o kontakt na powyższy adres e-mail.
2. Jakie dane przetwarzamy
2.1. Dane podawane przez użytkownika Serwisu
- Imię i nazwisko, adres e-mail, numer telefonu, nazwa firmy — podawane w formularzu kontaktowym oraz przy zakładaniu konta w Aplikacji.
- Dane firmowe (NIP, REGON, adres) — podawane przy konfiguracji konta oraz do wystawiania faktur.
2.2. Dane przetwarzane w Aplikacji przez użytkownika
Aplikacja umożliwia użytkownikowi zapisywanie danych dotyczących jego klientów (kontakty, adresy, historia zamówień), wycen, zleceń i faktur. W odniesieniu do tych danych użytkownik jest odrębnym administratorem danych osobowych, a nasza rola sprowadza się do powierzonego przetwarzania (patrz sekcja 6).
2.3. Dane techniczne
- Adres IP, informacje o przeglądarce, systemie operacyjnym, godzinie wizyty — gromadzone automatycznie przez infrastrukturę hostingową w celach bezpieczeństwa i statystycznych.
- Dane sesji i uwierzytelnienia — przechowywane w celu utrzymania zalogowania.
3. Cele i podstawy prawne przetwarzania
- Świadczenie usługi (założenie konta, korzystanie z funkcji Aplikacji, wystawianie faktur) — art. 6 ust. 1 lit. b RODO (wykonanie umowy).
- Kontakt zwrotny po wypełnieniu formularza kontaktowego — art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes: odpowiedź na zapytanie).
- Wystawianie i przechowywanie faktur — art. 6 ust. 1 lit. c RODO (obowiązek prawny: ustawa o VAT, ustawa o rachunkowości).
- Bezpieczeństwo Serwisu i Aplikacji (logi, wykrywanie nadużyć) — art. 6 ust. 1 lit. f RODO.
- Marketing bezpośredni (np. informacje o nowych funkcjach) — wyłącznie na podstawie zgody użytkownika (art. 6 ust. 1 lit. a RODO), którą można w każdej chwili wycofać.
4. Integracje z usługami zewnętrznymi
Aplikacja umożliwia użytkownikowi opcjonalne połączenie własnego konta z usługami zewnętrznymi. Połączenia te są uruchamiane wyłącznie na wyraźne polecenie użytkownika.
4.1. Google Calendar (Google API)
Po połączeniu konta Google użytkownik udziela Aplikacji dostępu do swojego kalendarza Google w zakresie:
calendar.readonly— odczyt kalendarzy w celu wyświetlenia wydarzeń w widoku kalendarza Aplikacji,calendar.events— tworzenie i edycja wydarzeń w kalendarzu użytkownika (planowanie pomiarów, montaży, spotkań z klientami).
Sposób przetwarzania danych z Google. Token dostępu Google przechowywany jest wyłącznie w przeglądarce użytkownika (localStorage). Zawartość kalendarza (nazwy wydarzeń, terminy, opisy) jest pobierana bezpośrednio z API Google do przeglądarki i wyświetlana użytkownikowi — nie jest kopiowana ani przechowywana na naszych serwerach. Użytkownik może w każdej chwili odłączyć konto Google w Aplikacji (co usuwa token) oraz cofnąć zgodę bezpośrednio w ustawieniach swojego konta Google pod adresem myaccount.google.com/permissions.
Techniczne i organizacyjne środki ochrony danych wrażliwych (dane z Google Calendar). W odniesieniu do danych uzyskiwanych za pośrednictwem OAuth Google stosujemy następujące zabezpieczenia:
- komunikacja z API Google odbywa się wyłącznie przez szyfrowane połączenie HTTPS/TLS 1.2+;
- token dostępu jest krótkotrwały (wygasa automatycznie po ok. 1 godzinie) i nigdy nie opuszcza przeglądarki użytkownika — nie jest przesyłany ani zapisywany na naszych serwerach ani w bazie danych;
- treść kalendarza (wydarzenia, terminy, opisy) jest przetwarzana wyłącznie lokalnie w przeglądarce zalogowanego użytkownika — Usługodawca nie ma technicznej możliwości wglądu w te dane ani nie przechowuje ich kopii;
- dostęp do własnego konta w Aplikacji zabezpieczony jest uwierzytelnianiem oraz mechanizmem Row Level Security (RLS) na poziomie bazy danych, izolującym dane każdego użytkownika (najemcy) od pozostałych;
- pracownicy i współpracownicy Usługodawcy nie mają dostępu do danych kalendarza użytkownika, z wyjątkiem sytuacji wyraźnej zgody użytkownika (np. w celu diagnozy zgłoszonego problemu) lub obowiązku wynikającego z przepisów prawa;
- w przypadku naruszenia ochrony danych osobowych Usługodawca dopełni obowiązków informacyjnych wobec Prezesa UODO oraz osób, których dane dotyczą, zgodnie z art. 33–34 RODO.
Zgodność z Google API Services User Data Policy. Wykorzystanie i przekazywanie danych otrzymanych z Google API przez Aplikację Asystent Dekoracji odbywa się zgodnie z Google API Services User Data Policy, w tym z wymaganiami Limited Use. W szczególności:
- dane z Google Calendar wykorzystujemy wyłącznie w celu dostarczenia funkcji kalendarza w Aplikacji na rzecz zalogowanego użytkownika;
- nie przekazujemy tych danych podmiotom trzecim, z wyjątkiem sytuacji niezbędnych do świadczenia usługi bezpośrednio zalogowanemu użytkownikowi lub gdy wymaga tego prawo;
- nie wykorzystujemy tych danych do reklamy;
- nie zezwalamy pracownikom na dostęp do tych danych, z wyjątkiem sytuacji uzyskania wyraźnej zgody użytkownika, w celach bezpieczeństwa (np. dochodzenia w sprawie nadużycia), w celu zgodności z obowiązującym prawem lub w przypadku danych anonimizowanych i agregowanych na potrzeby wewnętrzne.
4.2. Microsoft Graph / Outlook
Analogicznie: po połączeniu konta Microsoft Aplikacja uzyskuje dostęp do skrzynki pocztowej użytkownika w zakresie niezbędnym do wyświetlania i wysyłania wiadomości z poziomu Aplikacji. Token przechowywany jest w przeglądarce, treści wiadomości nie są kopiowane na nasze serwery.
4.3. KSeF (Krajowy System e-Faktur)
Aplikacja umożliwia wysyłkę faktur do KSeF przy użyciu tokenu autoryzacyjnego użytkownika. Token jest zaszyfrowany i przechowywany w bazie danych Aplikacji wyłącznie do momentu, gdy użytkownik go usunie. Faktury są przesyłane bezpośrednio do API Ministerstwa Finansów.
4.4. GUS (BIR 1.1)
Aplikacja korzysta z API GUS w celu podpowiadania danych firmowych na podstawie numeru NIP lub REGON. Do GUS przekazywany jest wyłącznie numer wprowadzony przez użytkownika.
5. Odbiorcy danych
Odbiorcami danych mogą być podmioty świadczące na naszą rzecz usługi niezbędne do funkcjonowania Serwisu i Aplikacji, w szczególności:
- Vercel Inc. — hosting Serwisu i Aplikacji,
- Supabase Inc. — baza danych i uwierzytelnianie,
- Resend — wysyłka wiadomości transakcyjnych (e-mail),
- Google LLC — w zakresie integracji Google Calendar (patrz sekcja 4.1),
- Microsoft Corporation — w zakresie integracji Outlook,
- Ministerstwo Finansów RP — w zakresie wysyłki faktur do KSeF,
- Główny Urząd Statystyczny — w zakresie zapytań o dane firm.
Z każdym z powyższych podmiotów wiąże nas odpowiednia podstawa prawna przetwarzania (umowa powierzenia lub relacja odrębnego administratora).
6. Powierzenie przetwarzania danych klientów użytkownika
W zakresie danych, które użytkownik Aplikacji zapisuje o swoich klientach (kontakty, wyceny, faktury), administratorem tych danych jest użytkownik, a my działamy jako podmiot przetwarzający. Szczegółowe warunki określa umowa powierzenia przetwarzania danych osobowych (DPA), której zawarcie jest warunkiem korzystania z płatnej wersji Aplikacji. Wzór DPA dostępny jest na żądanie pod adresem kontakt@asystentdekoracji.pl.
7. Przekazywanie danych poza EOG
Niektórzy z naszych dostawców (Vercel, Supabase, Google, Microsoft, Resend) mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym. W takich przypadkach transfer odbywa się na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską lub innych mechanizmów przewidzianych w RODO.
8. Okres przechowywania danych
- Dane konta w Aplikacji — przez okres obowiązywania umowy oraz przez okres wymagany przepisami prawa (m.in. podatkowego) po jej rozwiązaniu.
- Dane z formularza kontaktowego — do 12 miesięcy od ostatniego kontaktu.
- Faktury i dane rozliczeniowe — 5 lat od końca roku podatkowego, którego dotyczą (ustawa o VAT).
- Logi techniczne — do 90 dni.
9. Prawa użytkownika
Zgodnie z RODO użytkownikowi przysługują następujące prawa:
- dostępu do swoich danych oraz otrzymania ich kopii,
- sprostowania danych,
- usunięcia danych („prawo do bycia zapomnianym”),
- ograniczenia przetwarzania,
- przenoszenia danych,
- sprzeciwu wobec przetwarzania,
- cofnięcia zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem),
- wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
W celu skorzystania z powyższych praw prosimy o kontakt: kontakt@asystentdekoracji.pl.
10. Pliki cookies
Serwis oraz Aplikacja wykorzystują pliki cookies oraz technologie zbliżone (localStorage, sessionStorage) w celu:
- utrzymania sesji zalogowanego użytkownika (niezbędne),
- zapamiętania preferencji użytkownika (np. wybór motywu kolorystycznego),
- przechowywania tokenów integracji z usługami zewnętrznymi (Google, Microsoft).
Aktualnie nie stosujemy plików cookies o charakterze marketingowym ani analitycznym profilującym. Użytkownik może w każdej chwili wyczyścić dane przechowywane w przeglądarce w ustawieniach swojej przeglądarki.
11. Zmiany polityki
Zastrzegamy prawo do wprowadzania zmian w niniejszej polityce. O istotnych zmianach poinformujemy użytkowników drogą elektroniczną z co najmniej 14-dniowym wyprzedzeniem. Aktualna wersja polityki dostępna jest zawsze pod adresem asystentdekoracji.pl/privacy.