Polityka prywatności | WebsiteAudit

1. Administrator danych osobowych

Administratorem danych osobowych w rozumieniu art. 4 ust. 7 RODO jest:

Nazwa firmy: Cacciatore SR s.r.o.

Siedziba: Hrabová 2731/3, 040 22 Košice — mestská časť Vyšné Opátske

Numer firmy (IČO): 47608412

NIP / numer VAT: DIČ 2023997547 · IČ DPH SK2023997547

Wpis: Obchodný register Mestského súdu Košice, oddiel: Sro, vložka č. 58416/V

Prowadzenie usługi: WebsiteAudit

E-mail:websiteaudit@cacciatore.sk

Telefon:+421 915 170 050

Inspektor Ochrony Danych (IOD) w rozumieniu art. 37 RODO nie został wyznaczony, ponieważ charakter i zakres przetwarzania danych osobowych nie podlega obowiązkowi jego ustanowienia zgodnie z art. 37 ust. 1 RODO. Osobą kontaktową w sprawach ochrony danych osobowych jest członek zarządu firmy dostępny pod powyższym adresem e-mail.

2. Podstawa prawna przetwarzania

Dane osobowe przetwarzamy na następujących podstawach prawnych zgodnie z art. 6 RODO:

Wykonanie umowy — art. 6 ust. 1 lit. b) RODO

Przetwarzanie jest niezbędne do świadczenia Usługi, do której przystąpiłeś poprzez rejestrację lub uruchomienie audytu. Obejmuje zarządzanie kontem, dostarczanie raportów i komunikację związaną z Usługą.

Prawnie uzasadniony interes — art. 6 ust. 1 lit. f) RODO

Przetwarzamy adresy IP i logi techniczne w celach bezpieczeństwa (ochrona przed nadużyciami, rate limiting), stabilności operacyjnej i monitorowania błędów (Sentry). Prawnie uzasadniony interes Administratora przeważa nad interesami osoby, której dane dotyczą, ponieważ przetwarzanie jest niezbędne do ochrony Usługi i jej użytkowników.

Obowiązek prawny — art. 6 ust. 1 lit. c) RODO

Dokumentację rozliczeniową i płatniczą przechowujemy zgodnie z ustawą nr 431/2002 Dz.U. o rachunkowości (obowiązkowa archiwizacja 10 lat) i ustawą nr 222/2004 Dz.U. o podatku od wartości dodanej.

Usługa obecnie nie wysyła e-maili marketingowych bez bezpośredniego związku z Twoim zamówieniem lub audytem. Gdybyśmy w przyszłości wprowadzili taką komunikację, poprosimy Cię o wyraźną zgodę (art. 6 ust. 1 lit. a) RODO).

3. Kategorie przetwarzanych danych osobowych

W zależności od tego, jak korzystasz z Usługi, przetwarzamy następujące kategorie danych osobowych:

3.1 Dane podane bezpośrednio

Adres e-mail — przy rejestracji, logowaniu lub kontakcie ze wsparciem
Imię i nazwisko — opcjonalnie, przy rejestracji przez OAuth Google lub GitHub
Hasło — przechowywane wyłącznie w postaci hash (bcrypt); Administrator nie ma dostępu do oryginalnego hasła
Profil Agency — nazwa firmy, adres WWW, e-mail, telefon, URL logo; tylko dla planu Agency, dobrowolnie

3.2 Dane operacyjne i audytowe

Adresy URL wprowadzone do audytu — w tym wyniki audytów, oceny i znaleziska
Monitorowane URL — adresy URL dodane do listy monitorowania (plan Pro i Agency)
Historia audytów — data, czas, URL, wyniki; zakres zależy od planu (15 dni / 45 dni / 1 rok)
Klucz API — wygenerowany identyfikator do dostępu programowego (plan Agency)
Stan subskrypcji — bieżący plan, data wygaśnięcia trialu, data ostatniej płatności

3.3 Zapisy techniczne i operacyjne

Adres IP — rejestrowany przy każdym żądaniu w celach rate limitingu i bezpieczeństwa
Token sesji — przechowywany w cookie HttpOnly do uwierzytelniania; ważny 30 dni
Zapisy błędów — techniczne zapisy wyjątków (stack traces) wysyłane do Sentry; nie zawierają haseł ani danych płatniczych
Czasy żądań — znacznik czasu każdego audytu w celach rate limitingu i historii

3.4 Dane płatnicze

Transakcje płatnicze przetwarza wyłącznie firma Stripe, Inc. (patrz pkt 5). Administrator nie przechowuje numerów kart płatniczych, kodów CVV ani danych bankowych. Ze Stripe przechowujemy tylko identyfikator klienta (Stripe Customer ID) i stan subskrypcji.

3.5 Szczególne kategorie danych osobowych

Usługa nie zbiera i nie przetwarza szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO (dane o zdrowiu, dane biometryczne, pochodzenie rasowe, przekonania religijne itp.).

4. Cele przetwarzania

Cel	Dane	Podstawa prawna
Świadczenie Usługi (audyty, raporty)	E-mail, URL, wyniki audytów	Umowa (art. 6b)
Zarządzanie kontem i uwierzytelnianie	E-mail, zahaszowane hasło, token sesji	Umowa (art. 6b)
Płatności i fakturowanie	E-mail, Stripe Customer ID, stan planu	Umowa + ustawa (art. 6b, 6c)
Komunikacja e-mail (audyty, reset hasła, weryfikacja)	E-mail, imię	Umowa (art. 6b)
Rate limiting i ochrona przed nadużyciami	Adres IP, znaczniki czasu	Uzasadniony interes (art. 6f)
Monitorowanie błędów i stabilność Usługi	Adres IP, stack traces (bez PII)	Uzasadniony interes (art. 6f)
Archiwizacja księgowa	Dokumentacja rozliczeniowa	Ustawa (art. 6c)

5. Odbiorcy i podmioty przetwarzające dane osobowe

Nie sprzedajemy danych osobowych stronom trzecim w celach marketingowych ani innych komercyjnych. Do prowadzenia Usługi korzystamy z następujących podmiotów przetwarzających (art. 28 RODO), z którymi zawarliśmy umowy o przetwarzaniu danych (DPA):

Stripe, Inc.

USA (San Francisco, CA)

Cel: Przetwarzanie płatności i zarządzanie subskrypcją

Przetwarzane dane: E-mail, dokumentacja rozliczeniowa, Stripe Customer ID

Gwarancja (art. 46 RODO): Standardowe klauzule umowne KE (SCC) + certyfikacja EU–US Data Privacy Framework (DPF, decyzja KE C(2023) 4745)

Google LLC

USA (Mountain View, CA)

Cel: Logowanie OAuth, Google PageSpeed Insights API, Google Safe Browsing API, Chrome UX Report (CrUX) API — te API odbierają URL audytowanych stron, a nie dane osobowe Użytkownika

Przetwarzane dane: OAuth: e-mail, imię (tylko przy logowaniu przez Google). Pozostałe API: audytowany URL (publiczny adres strony WWW)

Gwarancja (art. 46 RODO): SCC + certyfikacja EU–US Data Privacy Framework (DPF)

GitHub, Inc. (Microsoft)

USA

Cel: Logowanie OAuth przez konto GitHub

Przetwarzane dane: E-mail, nazwa użytkownika GitHub (tylko przy logowaniu przez GitHub)

Gwarancja (art. 46 RODO): SCC + certyfikacja EU–US Data Privacy Framework (DPF)

Functional Software, Inc. dba Sentry

USA (San Francisco, CA)

Cel: Automatyczne rejestrowanie błędów i wyjątków aplikacji w celach debugowania i stabilności

Przetwarzane dane: Adres IP, stack traces. Hasła, dane płatnicze i treść audytów są wyłączone z raportowania.

Gwarancja (art. 46 RODO): Standardowe klauzule umowne KE (SCC)

Dostawca hostingu

UE / wg umowy

Cel: Prowadzenie serwerów, bazy danych (PostgreSQL), Redis i środowiska kontenerowego

Przetwarzane dane: Wszystkie dane przechowywane w bazie danych i Redis (tokeny sesji, wyniki audytów)

Gwarancja (art. 46 RODO): Przetwarzanie w ramach UE/EOG; umowa o przetwarzaniu danych (DPA)

6. Międzynarodowe przekazywanie danych osobowych

Niektóre podmioty przetwarzające mają siedzibę poza Europejskim Obszarem Gospodarczym (EOG), przede wszystkim w USA. Przekazywanie do państw trzecich jest zabezpieczone jednym lub kombinacją następujących instrumentów w rozumieniu rozdziału V RODO:

EU–US Data Privacy Framework (DPF) — decyzja Komisji Europejskiej w sprawie odpowiedniego stopnia ochrony nr C(2023) 4745 z dnia 10 lipca 2023 r., dotyczy Google, GitHub (Microsoft) i Stripe.
Standardowe klauzule umowne (SCC) — wzorcowe klauzule przyjęte przez Komisję decyzją (UE) 2021/914 z dnia 4 czerwca 2021 r., wykorzystywane zwłaszcza dla Sentry.

Administrator ma siedzibę na terytorium Republiki Słowackiej (UE), a przetwarzanie odbywa się głównie w UE. Przekazywanie do USA jest minimalizowane i niezbędne do prowadzenia Usługi.

7. Okres przechowywania danych osobowych

Kategoria danych	Okres	Powód
Dane konta (e-mail, imię)	Przez czas trwania konta + 30 dni po usunięciu	Umowa; przywrócenie w razie pomyłki
Historia audytów — plan Free	15 dni od utworzenia audytu	Ograniczenie planu
Historia audytów — plan Pro	45 dni od utworzenia audytu	Ograniczenie planu
Historia audytów — plan Agency	1 rok od utworzenia audytu	Ograniczenie planu
Tokeny sesji (cookies)	30 dni od ostatniego logowania	Uwierzytelnianie
Dokumentacja rozliczeniowa	10 lat	Ustawa nr 431/2002 Dz.U.
Adresy IP (rate limiting)	24 godziny w Redis; brak długoterminowego przechowywania	Bezpieczeństwo
Zapisy błędów (Sentry)	90 dni (domyślne ustawienie Sentry)	Debugowanie i stabilność
Klucze API	Przez czas trwania konta lub do odwołania	Dostęp API

Po upływie okresu przechowywania dane osobowe są automatycznie usuwane lub anonimizowane, chyba że ich dalsze przechowywanie wymaga ustawa.

8. Cookies i pamięć lokalna

Usługa używa wyłącznie funkcjonalnych cookies niezbędnych do działania:

Nazwa / typ	Cel	Ważność	Typ
better-auth.session_token	Utrzymanie zalogowanej sesji (HttpOnly, Secure, SameSite=Lax)	30 dni	Niezbędny
better-auth.session_data	Cache danych sesji w celu zmniejszenia obciążenia BD (HttpOnly)	5 minut	Niezbędny

Usługa nie używa cookies analitycznych, reklamowych ani śledzących (np. Google Analytics, Facebook Pixel). Nie wdrożono żadnego śledzenia stron trzecich z wyjątkiem tych niezbędnych do działania Usługi (bramka płatnicza Stripe wyświetlana podczas płatności).

Cookies funkcjonalne mają podstawę prawną art. 6 ust. 1 lit. b) RODO (niezbędne do wykonania umowy) i nie wymagają odrębnej zgody zgodnie z § 55 ust. 5 ustawy nr 452/2021 Dz.U. o łączności elektronicznej. Przechowywanie cookies możesz ograniczyć w ustawieniach przeglądarki, jednak logowanie do Usługi bez cookie sesji nie jest możliwe.

9. Zautomatyzowane podejmowanie decyzji i profilowanie

Usługa nie prowadzi zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO, które wywoływałoby skutki prawne lub w podobny sposób istotnie na Ciebie wpływało. Wyniki audytu są deterministycznym wynikiem technicznym — nie oceną Użytkownika ani profilowaniem.

Tier (plan) Użytkownika jest określany automatycznie na podstawie stanu subskrypcji w bazie danych (Free / Pro / Agency / Trial). To automatyczne przypisanie planu jest niezbędne do wykonania umowy i nie stanowi profilowania w rozumieniu RODO.

10. Twoje prawa jako osoby, której dane dotyczą

Zgodnie z rozdziałem III RODO (art. 15–22) i ustawą nr 18/2018 Dz.U. przysługują Ci wobec Administratora następujące prawa:

Art. 15

Prawo dostępu

Masz prawo uzyskać potwierdzenie, czy przetwarzamy Twoje dane osobowe, a jeśli tak, dostęp do nich oraz informacje o przetwarzaniu.

Art. 16

Prawo do sprostowania

Masz prawo do sprostowania nieprawidłowych lub uzupełnienia niekompletnych danych osobowych. E-mail i imię możesz zmienić bezpośrednio w ustawieniach konta.

Art. 17

Prawo do usunięcia („do bycia zapomnianym“)

Masz prawo żądać usunięcia Twoich danych osobowych, jeśli ustał cel, w jakim były zbierane, lub wycofałeś zgodę. Prawo nie ma zastosowania do danych, które jesteśmy zobowiązani przechowywać z mocy ustawy (np. dokumentacja rozliczeniowa).

Art. 18

Prawo do ograniczenia przetwarzania

Masz prawo żądać ograniczenia przetwarzania, na przykład gdy weryfikujemy prawidłowość Twoich danych lub zasadność Twojego sprzeciwu.

Art. 20

Prawo do przenoszenia danych

Masz prawo otrzymać dane osobowe, które nam dostarczyłeś, w ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie (np. eksport JSON dostępny dla planu Agency) i przenieść je do innego administratora.

Art. 21

Prawo do sprzeciwu

Masz prawo wnieść sprzeciw wobec przetwarzania Twoich danych osobowych prowadzonego na podstawie uzasadnionego interesu (art. 6f). Administrator zaprzestanie przetwarzania, chyba że wykaże ważne prawnie uzasadnione podstawy.

Art. 7 ust. 3

Prawo do wycofania zgody

Jeśli przetwarzanie opiera się na zgodzie, masz prawo wycofać ją w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania przed wycofaniem.

Jak skorzystać z praw

Wniosek wyślij e-mailem na websiteaudit@cacciatore.sk. Na wniosek odpowiemy bez zbędnej zwłoki, najpóźniej w ciągu 30 dni od otrzymania (art. 12 ust. 3 RODO). Termin możemy wyjątkowo przedłużyć o kolejne 2 miesiące, o czym Cię poinformujemy.

W celu weryfikacji Twojej tożsamości poprosimy o potwierdzenie z adresu e-mail Twojego konta. Usługę świadczymy bezpłatnie; opłatę możemy pobrać tylko za ewidentnie nieuzasadnione lub powtarzające się wnioski (art. 12 ust. 5 RODO).

11. Prawo do wniesienia skargi do organu nadzorczego

Jeśli uważasz, że przetwarzanie Twoich danych osobowych narusza RODO lub ustawę nr 18/2018 Dz.U., masz prawo wnieść skargę do organu nadzorczego. Właściwym organem dla Słowacji jest:

Urząd Ochrony Danych Osobowych Republiki Słowackiej

Hraničná 12, 820 07 Bratislava 27

Tel.: +421 2 3231 3214

https://dataprotection.gov.sk

Przed wniesieniem skargi zalecamy kontakt z nami bezpośrednio — większość spraw rozwiązujemy szybciej i bez formalnego postępowania.

12. Bezpieczeństwo danych osobowych

Administrator wdraża odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych zgodnie z art. 32 RODO:

Szyfrowanie transmisji za pomocą protokołu TLS 1.2+ (HTTPS)
Haszowanie haseł algorytmem bcrypt (funkcja jednokierunkowa; hasło nie jest odwracalne)
Cookies sesji z atrybutami HttpOnly, Secure i SameSite=Lax
Rate limiting (ograniczenie liczby żądań) w celu ochrony przed atakami brute-force
Weryfikacja konta e-mailem przy rejestracji
Automatyczne monitorowanie błędów i incydentów bezpieczeństwa
Dostęp do bazy danych wyłącznie przez wewnętrzny interfejs sieciowy (niedostępny publicznie)

W przypadku incydentu bezpieczeństwa zagrażającego prawom i wolnościom osób fizycznych Administrator zgłosi go organowi nadzorczemu w ciągu 72 godzin od jego stwierdzenia, a osobom, których dane dotyczą, bez zbędnej zwłoki, jeśli incydent mógłby na nie wpłynąć (art. 33–34 RODO).

13. Zmiany niniejszej Polityki

Administrator zastrzega sobie prawo do aktualizacji niniejszej Polityki, w szczególności w przypadku zmian w przetwarzaniu danych, zmian legislacyjnych lub wprowadzenia nowych funkcji Usługi.

O istotnych zmianach (np. nowy cel przetwarzania, nowi przetwarzający, nowa podstawa prawna) zostaniesz poinformowany e-mailem co najmniej 14 dni wcześniej. Mniej istotne zmiany (poprawki tekstu, aktualizacje danych kontaktowych) wchodzą w życie z chwilą opublikowania na tej stronie wraz z aktualizacją daty „Obowiązuje od“.

Archiwum poprzednich wersji Polityki jest dostępne na żądanie przez e-mail.

14. Kontakt w sprawach ochrony danych osobowych

Wszystkie wnioski, pytania i skargi dotyczące ochrony danych osobowych wysyłaj na: