Polityka Prywatności
Klauzula informacyjna zgodna z RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) · Obowiązuje od: 21.05.2026 r.
1. Administrator danych osobowych
Administratorem Twoich danych osobowych jest Usługi Transportowe Damian Bernacki(dalej: "Administrator"), prowadzący serwis Bez KSeFu (bezksefu.pl), z siedzibą pod adresem ul. Parkowa 29, 96-314 Boża Wola, NIP: 5291819901, REGON: 368968699.
Kontakt w sprawach RODO: rodo@bezksefu.pl
2. Jakie dane przetwarzamy
2.1. Dane konta Użytkownika:
- Adres email (login)
- Hasło (przechowywane jako hash bcrypt przez Supabase)
- Data utworzenia konta, data ostatniego logowania
2.2. Dane firmy / klienta księgowego (wprowadzane przez Użytkownika):
- Nazwa firmy, NIP, REGON, KRS, adres
- Imię i nazwisko właściciela (dla JDG)
- Dane kontaktowe (email, telefon)
- Forma opodatkowania, kod US
- Token KSeF (szyfrowany w bazie, dostępny tylko dla service role)
2.3. Dane faktur i operacji księgowych:
- Numery faktur, daty wystawienia/sprzedaży
- Dane sprzedawcy i nabywcy (NIP, nazwa, adres)
- Kwoty netto, VAT, brutto, stawki VAT
- Pełna treść XML faktury z KSeF (jeśli pobrana)
- Wygenerowane pliki JPK
2.4. Dane techniczne (logi):
- Adres IP, typ przeglądarki, system operacyjny
- Czas wizyt, klikniętych stron
- Błędy aplikacji (error_log)
3. Cel i podstawa prawna przetwarzania
| Cel | Podstawa prawna RODO |
|---|---|
| Świadczenie usługi (KSeF sync, JPK, ewidencja) | art. 6 ust. 1 lit. b - wykonanie umowy |
| Fakturowanie i rozliczenia | art. 6 ust. 1 lit. c - obowiązek prawny (ustawa o VAT) |
| Marketing własny (newsletter, w przypadku zgody) | art. 6 ust. 1 lit. a - zgoda Użytkownika |
| Bezpieczeństwo (logi, error tracking) | art. 6 ust. 1 lit. f - uzasadniony interes Administratora |
| Obrona przed roszczeniami | art. 6 ust. 1 lit. f - uzasadniony interes |
4. Okres przechowywania danych
- Dane konta: do czasu usunięcia konta przez Użytkownika
- Dane faktur/JPK: 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku (zgodnie z Ordynacją podatkową, art. 86 § 2)
- Logi techniczne: 30 dni
- Dane marketingowe: do cofnięcia zgody
Po upływie wyżej wymienionych okresów dane są anonimizowane lub trwale usuwane.
5. Odbiorcy danych (procesorzy)
Twoje dane mogą być przekazywane następującym podmiotom (procesorom):
- Supabase Inc. (USA, certyfikat EU-US DPF) - dostawca bazy danych i autoryzacji. Hosting w regionie EU (Frankfurt).
- Vercel Inc. (USA, certyfikat EU-US DPF) - hosting aplikacji webowej, region EU.
- Stripe Inc. (Irlandia, oddział UE) - obsługa płatności subskrypcyjnych.
- Resend Inc. (USA, certyfikat EU-US DPF) - wysyłka powiadomień email.
- Ministerstwo Finansów (Polska) - przesyłanie żądań KSeF/JPK wyłącznie w imieniu Użytkownika, z jego tokenem.
Wszystkie podmioty wymienione wyżej zawarły umowy powierzenia przetwarzania danych (Data Processing Agreement) zgodne z art. 28 RODO.
6. Przekazywanie danych poza EOG
Dane przechowywane są w UE (Vercel Frankfurt, Supabase EU). Niektóre procesory (Supabase, Vercel, Resend) są zarejestrowane w USA, ale posiadają certyfikat EU-US Data Privacy Framework, co zapewnia odpowiedni poziom ochrony zgodnie z decyzją Komisji Europejskiej z 10.07.2023.
7. Twoje prawa
Zgodnie z RODO przysługują Ci następujące prawa:
- Prawo dostępu (art. 15 RODO) - możesz uzyskać informacje o przetwarzanych danych
- Prawo do sprostowania (art. 16) - możesz poprawić nieprawidłowe dane
- Prawo do usunięcia ("prawo do bycia zapomnianym", art. 17) - możesz żądać usunięcia danych (z wyjątkiem danych wymaganych prawnie, np. faktur)
- Prawo do ograniczenia przetwarzania (art. 18)
- Prawo do przenoszenia danych (art. 20) - możesz wyeksportować swoje dane w formatach CSV (Excel/Symfonia/Comarch/Generic)
- Prawo do sprzeciwu (art. 21) - wobec przetwarzania na podstawie uzasadnionego interesu
- Prawo do cofnięcia zgody (art. 7 ust. 3) - w każdej chwili, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem
- Prawo skargi do organu nadzorczego - Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl)
W celu skorzystania z tych praw wyślij email na rodo@bezksefu.pl. Odpowiadamy w terminie do 30 dni.
8. Powierzenie przetwarzania dla biur rachunkowych
Jeśli używasz Bez KSeFu jako biuro rachunkowe i wprowadzasz dane swoich klientów (firm, których księgowość prowadzisz), zastosowanie mają następujące zasady:
- Ty (biuro) jesteś Administratorem danych swoich klientów
- Bez KSeFu jest Procesorem tych danych (na podstawie niniejszego DPA)
- Bez KSeFu przetwarza dane wyłącznie zgodnie z Twoimi instrukcjami
- Bez KSeFu nie wykorzystuje danych Twoich klientów do własnych celów marketingowych
- Możesz w każdej chwili wyeksportować i usunąć dane konkretnego klienta
Standardowa umowa powierzenia przetwarzania (DPA) dostępna na żądanie pod rodo@bezksefu.pl.
9. Bezpieczeństwo danych
Stosujemy adekwatne środki techniczne i organizacyjne:
- Szyfrowanie połączeń HTTPS (TLS 1.3) z HSTS preload
- Tokeny KSeF szyfrowane w bazie, dostępne tylko dla service role
- Row-Level Security (RLS) na poziomie bazy danych Supabase
- Auth JWT z weryfikacją ownership (zapobieganie IDOR)
- Magic link tokens - kryptograficznie bezpieczne (256-bit random)
- Security headers (HSTS, X-Frame-Options, X-Content-Type-Options, CSP)
- Dziennik operacji błędów i krytycznych zdarzeń
- Backup automatyczny (Supabase daily)
10. Pliki cookies i podobne technologie
Serwis używa plików cookies. Szczegóły w Polityce Cookies.
11. Zmiany Polityki Prywatności
Niniejsza Polityka może być aktualizowana. O istotnych zmianach poinformujemy emailem co najmniej 14 dni przed wejściem zmian w życie.
Kontakt w sprawach RODO:
Inspektor Ochrony Danych (IOD): rodo@bezksefu.pl
Organ nadzorczy: Prezes UODO (Urząd Ochrony Danych Osobowych)
ul. Stawki 2, 00-193 Warszawa · uodo.gov.pl