Polityka Prywatności

Data aktualizacji: 4 stycznia 2026

Niniejsza Polityka Prywatności określa zasady przetwarzania i ochrony danych osobowych przekazanych przez Użytkowników w związku z korzystaniem z prywatnego serwisu dostępnego wyłącznie dla uprawnionych osób (dalej "Serwis"). Serwis ma charakter wewnętrzny i nie prowadzi publicznej rejestracji.

1. Administrator Danych Osobowych

Administratorem danych osobowych zbieranych za pośrednictwem Serwisu jest:

Z Administratorem można skontaktować się we wszystkich sprawach dotyczących przetwarzania danych osobowych oraz realizacji praw przysługujących na mocy przepisów o ochronie danych osobowych.

2. Podstawy Prawne Przetwarzania Danych

Dane osobowe przetwarzane są zgodnie z:

• Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO)
• Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 poz. 1781)
• Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2020 poz. 344)

3. Cele i Podstawy Prawne Przetwarzania

3.1. Zakładanie kont przez administratora

Cel: Utworzenie i zarządzanie kontem użytkownika w zamkniętym systemie, umożliwienie dostępu do funkcjonalności Serwisu.
Podstawa prawna: Art. 6 ust. 1 lit. b) RODO - wykonanie umowy o świadczenie usług drogą elektroniczną.

3.2. Weryfikacja uprawnień do dostępu

Cel: Potwierdzenie uprawnień do korzystania z Serwisu i nadanie odpowiednich ról systemowych.
Podstawa prawna: Art. 6 ust. 1 lit. f) RODO - prawnie uzasadniony interes Administratora polegający na zapewnieniu, że dostęp mają wyłącznie osoby uprawnione.

3.3. Komunikacja z użytkownikami

Cel: Wysyłka wiadomości związanych z funkcjonowaniem konta (weryfikacja email, powiadomienia systemowe).
Podstawa prawna: Art. 6 ust. 1 lit. b) RODO - wykonanie umowy oraz Art. 6 ust. 1 lit. f) RODO - prawnie uzasadniony interes Administratora.

3.4. Bezpieczeństwo systemu

Cel: Zapewnienie bezpieczeństwa, zapobieganie nadużyciom, prowadzenie logów bezpieczeństwa.
Podstawa prawna: Art. 6 ust. 1 lit. f) RODO - prawnie uzasadniony interes Administratora w zakresie bezpieczeństwa systemów teleinformatycznych.

3.5. Zarządzanie uprawnieniami i dostępem

Cel: Przypisywanie ról, uprawnień i zarządzanie dostępem do zasobów Serwisu.
Podstawa prawna: Art. 6 ust. 1 lit. f) RODO - prawnie uzasadniony interes Administratora.

4. Zakres Zbieranych Danych

4.1. Dane podawane podczas rejestracji:

• Login (nazwa użytkownika)
• Hasło (przechowywane w formie zaszyfrowanej algorytmem Argon2ID)
• Imię i nazwisko
• Adres email
• Data urodzenia

4.2. Dane generowane automatycznie:

• Identyfikator członkowski (A-xxx, B-xxx, C-xxx, G-xxx)
• Data i czas utworzenia konta
• Adres IP
• Dane o przeglądarce (User-Agent)
• Data i czas logowania
• Historia aktywności w systemie (logi audytu)

4.3. Dane wprowadzane dobrowolnie:

• Dane w aplikacji Drożyzna360 (kategorie wydatków, produkty, ceny)

4.4. Wyjaśnienie dotyczące daty urodzenia:

Data urodzenia zbierana jest w celach ewidencji członkowskiej i weryfikacji tożsamości. Dane te mogą być również wykorzystywane do przygotowania raportów demograficznych dla celów wewnętrznych organizacji. Przetwarzanie tego parametru odbywa się na podstawie art. 6 ust. 1 lit. b) RODO (wykonanie umowy o dostęp do Serwisu).

5. Odbiorcy Danych

Dane osobowe mogą być udostępniane następującym kategoriom odbiorców:

• Administratorzy systemu - osoby posiadające uprawnienie "panel_zarzadzania" w celu zarządzania użytkownikami
• Dostawca hostingu - w zakresie niezbędnym do utrzymania infrastruktury technicznej
• Dostawca usług email (SMTP) - w zakresie wysyłki wiadomości weryfikacyjnych i powiadomień
• Organy uprawnione - na podstawie przepisów prawa (np. organy ścigania, sądy)

Administrator nie sprzedaje ani nie udostępnia danych osobowych podmiotom trzecim w celach marketingowych.

6. Okres Przechowywania Danych

• Dane użytkowników aktywnych: Przez cały okres korzystania z Serwisu oraz przez okres przedawnienia roszczeń (zgodnie z Kodeksem cywilnym)
• Dane usuniętych użytkowników: Podstawowe dane (identyfikator, login, email) przechowywane w archiwum przez 3 lata w celach rozliczeń i ewentualnych roszczeń
• Logi bezpieczeństwa (audit logs): 12 miesięcy
• Dane w aplikacji Drożyzna360: Do momentu ich usunięcia przez użytkownika lub usunięcia konta

7. Prawa Osób, Których Dane Dotyczą

Zgodnie z RODO, każdemu użytkownikowi przysługują następujące prawa:

7.1. Prawo dostępu do danych (art. 15 RODO)

Użytkownik ma prawo uzyskać potwierdzenie, czy przetwarzane są jego dane osobowe, a jeśli tak - uzyskać do nich dostęp oraz informacje o sposobie ich przetwarzania.

7.2. Prawo do sprostowania danych (art. 16 RODO)

Użytkownik może żądać niezwłocznego sprostowania nieprawidłowych lub uzupełnienia niekompletnych danych osobowych. Zmiana danych możliwa jest przez funkcję edycji profilu w Serwisie.

7.3. Prawo do usunięcia danych - "prawo do bycia zapomnianym" (art. 17 RODO)

Użytkownik może żądać usunięcia swoich danych osobowych. Wniosek należy zgłosić do Administratora. Po usunięciu konta podstawowe dane mogą być przechowywane w archiwum przez okres określony w pkt. 6.

7.4. Prawo do ograniczenia przetwarzania (art. 18 RODO)

W określonych przypadkach użytkownik może żądać ograniczenia przetwarzania danych.

7.5. Prawo do przenoszenia danych (art. 20 RODO)

Użytkownik ma prawo otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. CSV, JSON).

7.6. Prawo do sprzeciwu (art. 21 RODO)

Użytkownik może w dowolnym momencie wnieść sprzeciw wobec przetwarzania jego danych osobowych na podstawie prawnie uzasadnionego interesu.

7.7. Prawo do wniesienia skargi

Użytkownik ma prawo wnieść skargę do organu nadzorczego - Prezesa Urzędu Ochrony Danych Osobowych, jeśli uzna, że przetwarzanie jego danych narusza przepisy RODO.

8. Cookies i Technologie Śledzące

8.1. Czym są pliki cookies?

Pliki cookies to małe pliki tekstowe zapisywane na urządzeniu użytkownika podczas przeglądania stron internetowych. Służą one do zapamiętywania preferencji, danych sesji i statystyk.

8.2. Rodzaje wykorzystywanych cookies:

• Cookies sesyjne (session cookies): Niezbędne do funkcjonowania Serwisu, przechowują informacje o zalogowanym użytkowniku. Usuwane po zamknięciu przeglądarki.
• Cookies funkcjonalne: Zapamiętują preferencje użytkownika (np. stan rozwinięcia sekcji w panelu zarządzania). Przechowywane w Local Storage przeglądarki.

8.3. Zarządzanie cookies

Użytkownik może w każdej chwili zmienić ustawienia dotyczące cookies w swojej przeglądarce internetowej. Należy jednak pamiętać, że wyłączenie cookies może uniemożliwić korzystanie z niektórych funkcjonalności Serwisu (zwłaszcza logowanie i zarządzanie kontem).

9. Bezpieczeństwo Danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych:

• Szyfrowanie haseł: Algorytm Argon2ID (najwyższy standard bezpieczeństwa)
• Połączenie HTTPS: Szyfrowanie transmisji danych (SSL/TLS)
• Ochrona przed CSRF: Tokeny zabezpieczające przed atakami Cross-Site Request Forgery
• Rate limiting: Ograniczenie liczby prób logowania i zmian danych w celu zapobiegania atakom brute-force
• Security headers: Dodatkowe nagłówki HTTP zwiększające bezpieczeństwo (X-Frame-Options, X-Content-Type-Options, HSTS)
• Audit logs: Szczegółowe logowanie wszystkich operacji związanych z zarządzaniem użytkownikami
• Ograniczenie dostępu: System uprawnień kontrolujący dostęp do wrażliwych funkcji (panel zarządzania)
• Regularne aktualizacje: Oprogramowanie serwera i bazy danych jest utrzymywane w aktualnych wersjach

10. Zautomatyzowane Podejmowanie Decyzji i Profilowanie

Serwis nie stosuje zautomatyzowanego podejmowania decyzji ani profilowania w rozumieniu art. 22 RODO. Wszystkie decyzje dotyczące nadawania uprawnień są podejmowane manualnie przez administratorów.

11. Przekazywanie Danych Poza EOG

Administrator nie przekazuje danych osobowych do państw trzecich (poza Europejski Obszar Gospodarczy). Wszystkie dane przechowywane są na serwerach zlokalizowanych na terenie Unii Europejskiej.

12. Dane Dzieci

Serwis nie jest przeznaczony dla osób poniżej 16. roku życia. Jeśli Administrator dowie się, że zebrano dane osobowe od osoby poniżej tego wieku bez zgody rodzica/opiekuna prawnego, podejmie działania w celu niezwłocznego usunięcia takich danych.

13. Osób Odpowiedzialnych za Ochronę Danych

Ze względu na charakter i skalę przetwarzania danych w Serwisie, Administrator pełni funkcje inspektora ochrony danych. Wszelkie pytania i wnioski dotyczące ochrony danych mogą być kierowane do administratora na adres email podany w pkt. 17.

14. Procedura Realizacji Praw Związanych z Ochroną Danych

14.1. Jak wnieść wniosek o dostęp do danych (art. 15 RODO)?

Użytkownik może wnieść wniosek o dostęp do swoich danych osobowych poprzez:

• Wysłanie e-maila na adres admin@tpdp-wmsl.pl z tematem "Wniosek o dostęp do danych osobowych"
• Podanie w wiadomości: imienia, nazwiska, loginu oraz daty urodzenia w celu weryfikacji tożsamości
• Administrator dostarczy kopię danych w formacie PDF lub CSV w terminie 30 dni od daty wniosku

14.2. Jak wnieść wniosek o sprostowanie danych (art. 16 RODO)?

Użytkownik może zmienić swoje dane osobowe samodzielnie poprzez:

• Zalogowanie się do Serwisu
• Przejście do sekcji "Profil" → "Edytuj dane"
• Zmiana imienia, nazwiska, email-a lub daty urodzenia
• Zapisanie zmian

W przypadku niemożności samodzielnej edycji, użytkownik może skontaktować się z Administratorem na adres wskazany wyżej.

14.3. Jak wnieść wniosek o usunięcie danych - prawo do bycia zapomnianym (art. 17 RODO)?

Aby usunąć swoje konto i dane osobowe:

• Zaloguj się do Serwisu
• Przejdź do "Profil" → "Usunięcie konta"
• Potwierdź swoją decyzję
• Konto zostanie usunięte w ciągu 24 godzin

Alternatywnie, użytkownik może wysłać e-mail do Administratora z prośbą o usunięcie danych. Po usunięciu konta podstawowe dane (identyfikator, login, email) mogą być przechowywane w archiwum bezpieczeństwa przez 3 lata zgodnie z pkt. 6.

14.4. Jak wnieść wniosek o ograniczenie przetwarzania (art. 18 RODO)?

Użytkownik może wnieść wniosek o ograniczenie przetwarzania swoich danych poprzez wysłanie e-maila do Administratora z dokładnym wyjaśnieniem przyczyn. Administrator rozpatrzy wniosek w terminie 30 dni.

14.5. Jak otrzymać dane w formacie przenośnym (art. 20 RODO)?

Użytkownik może wnieść wniosek o otrzymanie swoich danych w ustrukturyzowanym, powszechnie używanym formacie (CSV, JSON, XML):

• Wyślij e-mail do admin@tpdp-wmsl.pl z tematem "Wniosek o przeniesienie danych"
• Podaj swoje dane do weryfikacji
• Administrator dostarczy dane w wybranym formacie w terminie 30 dni

15. Zgoda Użytkownika

Korzystanie z Serwisu oznacza zaakceptowanie niniejszej Polityki Prywatności. W niektórych przypadkach przetwarzanie danych opartych jest na zgodzie użytkownika (art. 6 ust. 1 lit. a) RODO), zwłaszcza w odniesieniu do:

• Wysyłki powiadomień e-mail (poza weryfikacją)
• Zapisywania preferencji użytkownika w Local Storage przeglądarki
• Opcjonalnych analiz behawioralnych w celach ulepszenia Serwisu

Zgodę można wycofać w każdej chwili, kontaktując się z Administratorem.

16. Zmiany Polityki Prywatności

Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności w przypadku:

• Zmian w przepisach prawa
• Rozwoju Serwisu i wprowadzania nowych funkcjonalności
• Zmian w sposobie przetwarzania danych osobowych

O wszelkich zmianach użytkownicy zostaną poinformowani poprzez publikację zaktualizowanej wersji Polityki Prywatności w Serwisie wraz z datą aktualizacji. Zmiany wchodzą w życie z chwilą publikacji.

17. Kontakt w Sprawach Ochrony Danych

W przypadku pytań dotyczących przetwarzania danych osobowych lub realizacji przysługujących praw, należy skontaktować się z Administratorem:

Administrator dołoży wszelkich starań, aby odpowiedzieć na zapytanie w terminie 30 dni od daty jego otrzymania.

18. Postanowienia Końcowe

Korzystanie z Serwisu jest równoznaczne z akceptacją niniejszej Polityki Prywatności. Użytkownik, który nie akceptuje zasad określonych w Polityce Prywatności, powinien powstrzymać się od korzystania z Serwisu.

W sprawach nieuregulowanych w niniejszej Polityce Prywatności mają zastosowanie przepisy:

• Rozporządzenia RODO
• Ustawy o ochronie danych osobowych
• Ustawy o świadczeniu usług drogą elektroniczną
• Kodeksu cywilnego