Polityka Prywatności

Klauzula informacyjna zgodna z RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) · Obowiązuje od: 21.05.2026 r.

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest Usługi Transportowe Damian Bernacki(dalej: "Administrator"), prowadzący serwis Bez KSeFu (bezksefu.pl), z siedzibą pod adresem ul. Parkowa 29, 96-314 Boża Wola, NIP: 5291819901, REGON: 368968699.

Kontakt w sprawach RODO: rodo@bezksefu.pl

2. Jakie dane przetwarzamy

2.1. Dane konta Użytkownika:

  • Adres email (login)
  • Hasło (przechowywane jako hash bcrypt przez Supabase)
  • Data utworzenia konta, data ostatniego logowania

2.2. Dane firmy / klienta księgowego (wprowadzane przez Użytkownika):

  • Nazwa firmy, NIP, REGON, KRS, adres
  • Imię i nazwisko właściciela (dla JDG)
  • Dane kontaktowe (email, telefon)
  • Forma opodatkowania, kod US
  • Token KSeF (szyfrowany w bazie, dostępny tylko dla service role)

2.3. Dane faktur i operacji księgowych:

  • Numery faktur, daty wystawienia/sprzedaży
  • Dane sprzedawcy i nabywcy (NIP, nazwa, adres)
  • Kwoty netto, VAT, brutto, stawki VAT
  • Pełna treść XML faktury z KSeF (jeśli pobrana)
  • Wygenerowane pliki JPK

2.4. Dane techniczne (logi):

  • Adres IP, typ przeglądarki, system operacyjny
  • Czas wizyt, klikniętych stron
  • Błędy aplikacji (error_log)

3. Cel i podstawa prawna przetwarzania

CelPodstawa prawna RODO
Świadczenie usługi (KSeF sync, JPK, ewidencja)art. 6 ust. 1 lit. b - wykonanie umowy
Fakturowanie i rozliczeniaart. 6 ust. 1 lit. c - obowiązek prawny (ustawa o VAT)
Marketing własny (newsletter, w przypadku zgody)art. 6 ust. 1 lit. a - zgoda Użytkownika
Bezpieczeństwo (logi, error tracking)art. 6 ust. 1 lit. f - uzasadniony interes Administratora
Obrona przed roszczeniamiart. 6 ust. 1 lit. f - uzasadniony interes

4. Okres przechowywania danych

  • Dane konta: do czasu usunięcia konta przez Użytkownika
  • Dane faktur/JPK: 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku (zgodnie z Ordynacją podatkową, art. 86 § 2)
  • Logi techniczne: 30 dni
  • Dane marketingowe: do cofnięcia zgody

Po upływie wyżej wymienionych okresów dane są anonimizowane lub trwale usuwane.

5. Odbiorcy danych (procesorzy)

Twoje dane mogą być przekazywane następującym podmiotom (procesorom):

  • Supabase Inc. (USA, certyfikat EU-US DPF) - dostawca bazy danych i autoryzacji. Hosting w regionie EU (Frankfurt).
  • Vercel Inc. (USA, certyfikat EU-US DPF) - hosting aplikacji webowej, region EU.
  • Stripe Inc. (Irlandia, oddział UE) - obsługa płatności subskrypcyjnych.
  • Resend Inc. (USA, certyfikat EU-US DPF) - wysyłka powiadomień email.
  • Ministerstwo Finansów (Polska) - przesyłanie żądań KSeF/JPK wyłącznie w imieniu Użytkownika, z jego tokenem.

Wszystkie podmioty wymienione wyżej zawarły umowy powierzenia przetwarzania danych (Data Processing Agreement) zgodne z art. 28 RODO.

6. Przekazywanie danych poza EOG

Dane przechowywane są w UE (Vercel Frankfurt, Supabase EU). Niektóre procesory (Supabase, Vercel, Resend) są zarejestrowane w USA, ale posiadają certyfikat EU-US Data Privacy Framework, co zapewnia odpowiedni poziom ochrony zgodnie z decyzją Komisji Europejskiej z 10.07.2023.

7. Twoje prawa

Zgodnie z RODO przysługują Ci następujące prawa:

  • Prawo dostępu (art. 15 RODO) - możesz uzyskać informacje o przetwarzanych danych
  • Prawo do sprostowania (art. 16) - możesz poprawić nieprawidłowe dane
  • Prawo do usunięcia ("prawo do bycia zapomnianym", art. 17) - możesz żądać usunięcia danych (z wyjątkiem danych wymaganych prawnie, np. faktur)
  • Prawo do ograniczenia przetwarzania (art. 18)
  • Prawo do przenoszenia danych (art. 20) - możesz wyeksportować swoje dane w formatach CSV (Excel/Symfonia/Comarch/Generic)
  • Prawo do sprzeciwu (art. 21) - wobec przetwarzania na podstawie uzasadnionego interesu
  • Prawo do cofnięcia zgody (art. 7 ust. 3) - w każdej chwili, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem
  • Prawo skargi do organu nadzorczego - Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl)

W celu skorzystania z tych praw wyślij email na rodo@bezksefu.pl. Odpowiadamy w terminie do 30 dni.

8. Powierzenie przetwarzania dla biur rachunkowych

Jeśli używasz Bez KSeFu jako biuro rachunkowe i wprowadzasz dane swoich klientów (firm, których księgowość prowadzisz), zastosowanie mają następujące zasady:

  • Ty (biuro) jesteś Administratorem danych swoich klientów
  • Bez KSeFu jest Procesorem tych danych (na podstawie niniejszego DPA)
  • Bez KSeFu przetwarza dane wyłącznie zgodnie z Twoimi instrukcjami
  • Bez KSeFu nie wykorzystuje danych Twoich klientów do własnych celów marketingowych
  • Możesz w każdej chwili wyeksportować i usunąć dane konkretnego klienta

Standardowa umowa powierzenia przetwarzania (DPA) dostępna na żądanie pod rodo@bezksefu.pl.

9. Bezpieczeństwo danych

Stosujemy adekwatne środki techniczne i organizacyjne:

  • Szyfrowanie połączeń HTTPS (TLS 1.3) z HSTS preload
  • Tokeny KSeF szyfrowane w bazie, dostępne tylko dla service role
  • Row-Level Security (RLS) na poziomie bazy danych Supabase
  • Auth JWT z weryfikacją ownership (zapobieganie IDOR)
  • Magic link tokens - kryptograficznie bezpieczne (256-bit random)
  • Security headers (HSTS, X-Frame-Options, X-Content-Type-Options, CSP)
  • Dziennik operacji błędów i krytycznych zdarzeń
  • Backup automatyczny (Supabase daily)

10. Pliki cookies i podobne technologie

Serwis używa plików cookies. Szczegóły w Polityce Cookies.

11. Zmiany Polityki Prywatności

Niniejsza Polityka może być aktualizowana. O istotnych zmianach poinformujemy emailem co najmniej 14 dni przed wejściem zmian w życie.

Kontakt w sprawach RODO:

Inspektor Ochrony Danych (IOD): rodo@bezksefu.pl

Organ nadzorczy: Prezes UODO (Urząd Ochrony Danych Osobowych)

ul. Stawki 2, 00-193 Warszawa · uodo.gov.pl