kwotuj← Powrót
Dokument prawny

Polityka prywatności

Jak przetwarzamy Twoje dane osobowe w serwisie kwotuj.pl i ofertaelektryka.pl. Krótko, konkretnie, zgodnie z RODO.

Ostatnia aktualizacja: 24 kwietnia 2026

1. Administrator danych

Administratorem Twoich danych osobowych jest KANAJ Kacper Najda, jednoosobowa działalność gospodarcza, ul. Reymonta 4, 21-040 Świdnik, NIP 712-347-46-73, REGON 528491182 (dalej: „Administrator”).

Kontakt w sprawach RODO: [email protected]. Odpowiadamy w terminie do 30 dni zgodnie z art. 12 ust. 3 RODO.

2. Jakie dane zbieramy i po co

KategoriaDaneCelPodstawa prawna
Rejestracja i kontoemail, hasło (hash), dane firmy (NIP, nazwa, adres, konto bankowe), logoświadczenie usługi — prowadzenie kontaart. 6 ust. 1 lit. b RODO (umowa)
Płatnościdane karty (przez Stripe — my nie przechowujemy pełnego numeru), historia płatnościprzetwarzanie opłat, faktury VATart. 6 ust. 1 lit. b RODO + art. 6 ust. 1 lit. c (faktury VAT)
Wyceny i kliencidane klientów końcowych wpisane przez użytkownika (nazwa, email, adres, NIP), treść wycenświadczenie usługi — generowanie i wysyłka wycenart. 6 ust. 1 lit. b (umowa z użytkownikiem); art. 28 (powierzenie — klienci końcowi)
Akceptacje onlinetimestamp, IP klienta, user-agent, hash SHA-256 PDFdowód zawarcia umowy między użytkownikiem a jego klientem; audit trailart. 6 ust. 1 lit. f (uzasadniony interes — dowody)
Lead magnet (szablon Excel)email, źródło formularza, timestampwysyłka materiału + kolejnych wiadomości marketingowychart. 6 ust. 1 lit. a (zgoda), odwoływalna w każdej chwili
Analityka i securityIP, user-agent, logi zdarzeń, metryki użyciazabezpieczenie Serwisu, ulepszanie funkcjiart. 6 ust. 1 lit. f (uzasadniony interes)
Marketing — Meta Pixel / CAPIID piksela Facebook (_fbp), IP, user-agent, hash email (SHA-256)remarketing, pomiar konwersji reklam Meta Adsart. 6 ust. 1 lit. a (zgoda w banerze cookies)
Reklamacjetreść korespondencji, email kontaktowyobsługa reklamacjiart. 6 ust. 1 lit. b (umowa) + art. 6 ust. 1 lit. c (obowiązek prawny)

3. Komu powierzamy dane (procesorzy)

Korzystamy z zaufanych dostawców technologii (procesorów danych w rozumieniu art. 28 RODO). Wszyscy działają w UE/EOG lub mają zawarte z nami umowy Standard Contractual Clauses (SCC):

  • Supabase Inc. (hosting EU-Frankfurt) — baza danych aplikacji, auth, storage logotypów. Polityka: supabase.com/privacy
  • Stripe Payments Europe Ltd (Irlandia) — przetwarzanie płatności kartą, wystawianie faktur VAT, subskrypcje. Polityka: stripe.com/privacy
  • Resend Inc. (USA, SCC) — wysyłka email transakcyjnych (rejestracja, powiadomienia, reset hasła). Polityka: resend.com/legal/privacy-policy
  • PostHog Inc. (hosting EU) — analityka produktowa (anonimowe eventy użycia). Polityka: posthog.com/privacy
  • Functional Software Inc. (Sentry) (USA/EU, SCC) — monitorowanie błędów aplikacji. Polityka: sentry.io/privacy
  • Meta Platforms Ireland Ltd (Irlandia + USA SCC + DPF) — Meta Pixel i Conversions API do pomiaru skuteczności reklam (tylko za Twoją zgodą). Polityka: facebook.com/privacy/policy
  • Coolify / hosting serwera aplikacji (EU) — infrastruktura uruchamiania aplikacji.

4. Jak długo przechowujemy dane

  • Dane konta aktywnego: przez cały okres trwania umowy.
  • Dane konta zamrożonego: 180 dni od zamrożenia, potem 30-dniowy grace period z powiadomieniem, potem trwałe usunięcie.
  • Faktury VAT i dokumenty księgowe: 5 lat (obowiązek ustawowy — art. 112 ustawy o VAT). W tym zakresie nie usuwamy danych nawet na żądanie.
  • Audit log akceptacji online (IP, timestamp, hash PDF): 6 lat (okres przedawnienia roszczeń cywilnoprawnych).
  • Email z lead magnet (szablon Excel): do wypisania z listy lub 12 miesięcy bez otwarcia wiadomości — wtedy automatyczne usunięcie.
  • Dane marketingowe (Meta Pixel): do wycofania zgody + dodatkowo okres retencji Meta (2 lata od ostatniej interakcji).
  • Logi security: 90 dni.

5. Twoje prawa

Masz prawo do:

  • dostępu do danych (art. 15 RODO) — wyślij prośbę, dostaniesz kopię,
  • sprostowania (art. 16) — poprawimy dane błędne,
  • usunięcia (art. 17, „prawo do bycia zapomnianym”) — z wyjątkiem danych których musimy przechowywać ustawowo (np. faktury VAT),
  • ograniczenia przetwarzania (art. 18),
  • przenoszenia danych (art. 20) — wydamy export w formacie CSV/JSON,
  • sprzeciwu (art. 21) — w szczególności wobec marketingu bezpośredniego,
  • wycofania zgody (art. 7 ust. 3) — bez wpływu na przetwarzanie przed wycofaniem,
  • wniesienia skargi do UODO (Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).

Żądania kieruj na [email protected]. Odpowiadamy w terminie 30 dni (z możliwością przedłużenia o 60 dni przy sprawach skomplikowanych — z poinformowaniem Cię o powodzie).

6. Cookies i trackery

Serwis używa następujących kategorii cookies i podobnych technologii:

  • Niezbędne (functional): utrzymanie sesji logowania, preferencje, koszyk. Nie wymagają zgody. Podstawa: art. 173 ust. 3 prawa telekomunikacyjnego — niezbędne do świadczenia usługi na wyraźne żądanie użytkownika.
  • Analityka (PostHog, Sentry): anonimowe metryki użycia, diagnostyka błędów. Podstawa: uzasadniony interes (art. 6 ust. 1 lit. f RODO) — można wyłączyć w preferencjach.
  • Marketing (Meta Pixel, _fbp): remarketing Facebook/Instagram, pomiar konwersji reklam. Wymaga zgody — wyrażanej w banerze cookies lub dorozumianej przez kontynuowanie korzystania po powiadomieniu.

W przeglądarce możesz w każdej chwili wyczyścić cookies lub zablokować je w ustawieniach. W najbliższym czasie wprowadzamy baner zgody z granularnym wyborem kategorii.

7. Przekazywanie danych poza EOG

Część procesorów (Resend, Sentry, Meta) działa w USA. Transfer danych odbywa się na podstawie:

  • Standard Contractual Clauses (SCC) zatwierdzonych przez Komisję Europejską,
  • w przypadku Meta — dodatkowo Data Privacy Framework (DPF, decyzja wykonawcza KE z 2023 r. uznająca USA jako kraj bezpieczny dla zcertyfikowanych firm),
  • środków technicznych i organizacyjnych minimalizujących ryzyko (szyfrowanie in-transit i at-rest, ograniczenie dostępu).

8. Zautomatyzowane podejmowanie decyzji

Administrator nie podejmuje wobec Ciebie decyzji w sposób zautomatyzowany, w tym w oparciu o profilowanie, w rozumieniu art. 22 RODO.

Dla jasności: system analityczny (PostHog) profiluje użycie na poziomie zagregowanym („czy feature X jest używany?”) bez podejmowania decyzji wobec konkretnego użytkownika.

9. Bezpieczeństwo

Stosujemy następujące środki:

  • Szyfrowanie TLS 1.3 in-transit dla całego ruchu HTTP
  • Szyfrowanie at-rest bazy danych (Supabase standard)
  • Hasła hashowane przez bcrypt (Supabase Auth)
  • Row Level Security (RLS) w Postgres — izolacja danych między kontami
  • Rate limiting na krytycznych endpointach (auth, forms)
  • Regularne backupy (codzienne, retencja 30 dni)
  • Monitoring bezpieczeństwa (Sentry — alerty o anomaliach)
  • MFA dla administracji Operatora

10. Zmiany polityki

Politykę prywatności możemy zmienić z ważnych przyczyn — w szczególności zmiana procesorów, nowe funkcje Serwisu, zmiana przepisów. O istotnych zmianach poinformujemy mailem na adres podany w koncie z wyprzedzeniem minimum 14 dni.

11. Kontakt

Wszelkie pytania dotyczące ochrony danych kieruj na: [email protected]

Adres korespondencyjny: KANAJ Kacper Najda, ul. Reymonta 4, 21-040 Świdnik.