Dokument prawny

Polityka prywatności

Jak SZBIhub przetwarza dane osobowe - strona publiczna i platforma.

Wersja 0.9.2-draftTODO-LEGAL-REVIEWOstatnia zmiana: 13 lipca 2026

Status tego dokumentu

Poniżej znajduje się pełna treść dokumentu w wersji roboczej 0.9.2-draft - przed przeglądem radcy prawnego (OP-6.2, blueprint-nis2-gtm-operations.md). Mimo formy paragrafów nie jest to jeszcze wiążąca treść dla użytkownika: dopiero człowiek, po przeglądzie kancelarii, zatwierdza wersję obowiązującą. Miejsca oznaczoneTODO-CONTENT to otwarte pytania i decyzje, które nie zostały jeszcze rozstrzygnięte - nie wypełniamy ich domysłem. Oznaczenie [docelowo: ...] wskazuje funkcję lub środek opisany jako stan docelowy - z zadaniem-właścicielem w backlogu - który nie jest jeszcze zbudowany; taka adnotacja nie jest częścią tekstu normatywnego.

1. Administrator danych i kontakt

  1. Administratorem danych osobowych opisanych w niniejszej polityce (z wyjątkiem danych, dla których działamy jako podmiot przetwarzający - patrz pkt 2.3 i pkt 10) jest Supremeware Ltd, spółka zarejestrowana w Anglii i Walii pod numerem 09922936, z siedzibą: University Of Warwick Enterprise Park, Wellesbourne, Warwick, United Kingdom, CV35 9EF (dalej: “my”, “Administrator”).
  2. Kontakt we wszystkich sprawach dotyczących danych osobowych: [email protected].
  3. Przedstawiciel w Unii Europejskiej (art. 27 RODO): {{PRZEDSTAWICIEL_UE_NAZWA_I_ADRES}}. TODO-CONTENT: wymóg ustanowienia przedstawiciela dla Supremeware Ltd (spółka spoza UE bez jednostki organizacyjnej w UE, oferująca usługi podmiotom w UE - art. 3 ust. 2 RODO) jest w trakcie potwierdzania przez radcę; pole uzupełni założyciel po zawarciu umowy z przedstawicielem. Do tego czasu sekcji nie publikować z pustym polem.
  4. Nie wyznaczyliśmy inspektora ochrony danych (IOD/DPO); według naszej wstępnej oceny nie spełniamy przesłanek obowiązku z art. 37 RODO. TODO-CONTENT: ocena do potwierdzenia przez radcę (skala przetwarzania danych w ramach usługi B2B).

2. Kogo i czego dotyczy ta polityka

  1. Polityka obejmuje trzy grupy osób:
    1. Odwiedzający stronę publiczną szbihub.pl (w tym korzystający z narzędzi typu kalkulator kwalifikacji i formularzy kontaktowych);
    2. Partnerzy i ich użytkownicy - osoby zakładające i używające kont na platformie SZBIhub po stronie partnera (firmy IT);
    3. Osoby kontaktujące się z nami - e-mail, formularz wsparcia, zgłoszenia.
  2. Dla powyższych grup działamy jako administrator.
  3. Dane wprowadzane do środowisk organizacji klienckich (rejestry SZBI, dokumenty, dane pracowników organizacji, incydenty, dane szkoleniowe) przetwarzamy wyłącznie jako podmiot przetwarzający, na zlecenie - zgodnie z umową powierzenia (DPA) i łańcuchem opisanym w pkt 10. W tym zakresie administratorem jest organizacja kliencka (lub odpowiednio partner), a niniejsza polityka ma charakter wyłącznie informacyjny.

3. Jakie dane przetwarzamy, po co i na jakiej podstawie

Cel Zakres danych Podstawa prawna (RODO) Uwagi
Strona publiczna - statystyki odwiedzin Obecnie NIE zbieramy żadnych statystyk odwiedzin strony. Możemy w przyszłości uruchomić analitykę Plausible (self-host, UE) działającą bez cookies i bez identyfikatorów użytkownika, z adresami IP nieprzechowywanymi w statystykach - przed jej uruchomieniem zaktualizujemy tę politykę art. 6 ust. 1 lit. f (uzasadniony interes: pomiar działania strony) - dotyczy dopiero przyszłego uruchomienia Strona statyczna nie zapisuje danych w urządzeniu do celów śledzenia - patrz Polityka cookies; opis zgodny ze stanem faktycznym (D-R2-9)
Logi techniczne infrastruktury www i aplikacji Adres IP, znaczniki czasu, żądane zasoby, identyfikatory błędów art. 6 ust. 1 lit. f (bezpieczeństwo, diagnostyka, obrona przed nadużyciami) Retencja krótka - patrz pkt 6
Formularz rejestracji konta partnerskiego (NFR) i prowadzenie konta E-mail firmowy, nazwa firmy, NIP, imię i nazwisko, rola, hasło (w postaci skrótu), logi logowań art. 6 ust. 1 lit. b (umowa/działania przed zawarciem umowy) Konta służbowe; usługa wyłącznie B2B [docelowo: GTM-REQ-2 - samoobsługowa rejestracja w budowie; dziś konta powstają na zaproszenie]
Weryfikacja antyabuzywna rejestracji Dane rejestracyjne, domena e-mail, wynik weryfikacji NIP, sygnały techniczne (np. wynik Turnstile) art. 6 ust. 1 lit. f (zapobieganie nadużyciom programu NFR) Limit 1 konto NFR / NIP i domenę [docelowo: GTM-REQ-2 - mechanizmy antyabuzywne w budowie]
Komunikacja związana z usługą (e-maile transakcyjne i cyklu życia konta: weryfikacja adresu, powitanie, przypomnienia o terminach, ostrzeżenia o wygasaniu, powiadomienia o zaległości) E-mail, imię, dane o stanie konta wyzwalające komunikat art. 6 ust. 1 lit. b oraz f (informowanie o stanie usługi) Wysyłki zdarzeniowe, nie masowe; bez pikseli śledzących i bez pomiaru kliknięć (D-R2-9)
Kurs e-mailowy i treści edukacyjne za zapisem E-mail, potwierdzenie zapisu (double opt-in), daty wysyłek art. 6 ust. 1 lit. a (zgoda; do wycofania w każdej chwili linkiem w stopce) Zgoda odbierana zgodnie z art. 398 ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej (Dz.U. 2024 poz. 1221; ISAP: https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240001221) [docelowo: OP-1.4d - autoresponder kursu w budowie]
Obsługa zgłoszeń wsparcia i reklamacji Adres e-mail, treść zgłoszenia, identyfikator konta, metadane techniczne zgłoszenia art. 6 ust. 1 lit. b i f Wstępną odpowiedź może przygotować system AI; zgłoszenia oznaczone jako prawne lub dot. danych osobowych trafiają do człowieka [docelowo: OP-3.1 - system wsparcia AI w budowie; dziś odpowiada wyłącznie człowiek]
Rozliczenia zakupów Obsługę płatności prowadzi Paddle jako Merchant of Record i odrębny administrator (pkt 4.3); my otrzymujemy dane o statusie subskrypcji i dokumentach sprzedaży (bez pełnych danych kart) art. 6 ust. 1 lit. b, c, f Polityka Paddle: paddle.com/privacy [docelowo: F2.E3.T2 - integracja rozliczeń w budowie]
Ustalenie, dochodzenie i obrona roszczeń; wykazanie zgodności (rozliczalność) Dane umowne, zapisy akceptacji dokumentów (kto, kiedy, która wersja) [docelowo: F4.E3.T2 - rejestrowanie akceptacji w budowie], audit log działań na koncie art. 6 ust. 1 lit. f; w zakresie obowiązków prawnych - lit. c -

Podanie danych oznaczonych w formularzach jako wymagane jest warunkiem zawarcia umowy lub odpowiedzi na zgłoszenie; pozostałe dane są dobrowolne.

4. Odbiorcy danych

  1. Dane powierzamy podmiotom przetwarzającym wspierającym działanie usługi: OVHcloud (OVH Groupe SAS) - hosting aplikacji i bazy danych, lokalizacja przetwarzania: Polska (Warszawa), UE; Scaleway TEM (Scaleway SAS) - wysyłka e-mail transakcyjnych, Francja, UE (brak transferów poza UE); Scaleway Object Storage (Scaleway SAS) - przechowywanie zaszyfrowanych kopii zapasowych, Francja, UE (celowo inny dostawca i inny kraj niż hosting produkcyjny; ten sam podmiot, który świadczy dla nas wysyłkę e-mail). Zawarcie umowy powierzenia z dostawcą kopii zapasowych oraz uruchomienie samych kopii nastąpią przed startem produkcyjnym usługi - na dzień tej wersji kopie zapasowe nie są jeszcze wykonywane [docelowo: F4.E1.T3 - automatyka kopii i testów odtwarzania w budowie]. Aktualna, pełna lista podprocesorów wraz z lokalizacjami jest publikowana na stronie /security i stanowi załącznik do DPA. (Wybór dostawców: decyzje D-R2-10 i D-R3-4 na podstawie rekomendacji docs/paddle-kyb/06-decyzja-subprocesorzy.md.)
  2. Jeżeli uruchomimy narzędzia analityczne lub monitoringu błędów, będą one utrzymywane samodzielnie na naszej własnej infrastrukturze w UE (self-host) - w tym zakresie nie wystąpi odrębny odbiorca danych; na dzień tej wersji żadne z tych narzędzi nie działa. [docelowo: F4.E4.T2 - error tracking; analityka wg pkt 3 tabela, wiersz pierwszy]
  3. Paddle - sprzedawcą (Merchant of Record) usług płatnych jest Paddle.com Market Limited (Londyn, Anglia i Walia). W zakresie realizacji transakcji Paddle działa jako odrębny administrator danych kupujących; zasady: paddle.com/privacy. TODO-CONTENT: kwalifikacja roli Paddle do potwierdzenia przez radcę (patrz DPA, rejestr).
  4. Dane mogą być ujawnione uprawnionym organom, gdy wymaga tego prawo.
  5. Nie sprzedajemy danych osobowych i nie udostępniamy ich brokerom danych ani sieciom reklamowym.

5. Przekazywanie danych poza EOG

  1. Dane przechowujemy na serwerach zlokalizowanych w Unii Europejskiej.
  2. Administratorem jest spółka z siedzibą w Zjednoczonym Królestwie; dostęp do danych w ramach zarządzania usługą może następować z Wielkiej Brytanii i z Polski. Przekazywanie danych do Zjednoczonego Królestwa odbywa się na podstawie decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (art. 45 RODO); decyzja dotycząca Zjednoczonego Królestwa została odnowiona 19 grudnia 2025 r. i obowiązuje do 27 grudnia 2031 r. (wykaz decyzji: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
  3. Nie przekazujemy danych do państw trzecich innych niż Zjednoczone Królestwo. Gdyby w przyszłości miało się to zmienić, zastosujemy mechanizmy z rozdziału V RODO (art. 44-49) i zaktualizujemy tę politykę oraz listę podprocesorów z 30-dniowym uprzedzeniem.

6. Jak długo przechowujemy dane

Szczegółowe okresy dla wszystkich kategorii określa publiczna Polityka retencji danych; najważniejsze zasady [docelowo: F4.E3.T1 / F4.E1.T3 - zautomatyzowane joby retencyjne w budowie; okresy poniżej opisują stan docelowy]:

Kategoria Okres
Dane konta partnerskiego Czas trwania umowy + 90 dni trybu tylko-do-odczytu (eksport) + usuwanie zgodnie z retencją
Zapisy akceptacji dokumentów i audit log Czas trwania umowy + okres przedawnienia roszczeń (TODO-CONTENT: konkretny okres wskaże radca dla wybranego prawa właściwego)
Logi techniczne Do 90 dni, chyba że są dowodem w toczącym się postępowaniu lub incydencie
Zgłoszenia wsparcia Do 24 miesięcy od zamknięcia zgłoszenia
Zapis na kurs e-mailowy Do wycofania zgody lub zakończenia kursu + 30 dni
Kopie zapasowe Cykl rotacji kopii (parametr w Polityce retencji); usunięcie danych propaguje się wraz z rotacją

7. Prawa osób, których dane dotyczą

  1. W zakresie, w jakim jesteśmy administratorem, każdej osobie przysługują prawa z RODO: dostępu do danych (art. 15), sprostowania (art. 16), usunięcia (art. 17), ograniczenia przetwarzania (art. 18), przenoszenia danych (art. 20), sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie (art. 21), a w przypadku przetwarzania opartego na zgodzie - prawo cofnięcia zgody w każdym czasie (bez wpływu na zgodność przetwarzania przed cofnięciem).
  2. Żądania prosimy kierować na [email protected]. Odpowiadamy bez zbędnej zwłoki, nie później niż w ciągu miesiąca (art. 12 RODO; termin może być przedłużony na zasadach tam wskazanych).
  3. Każdemu przysługuje skarga do organu nadzorczego (art. 77 RODO). Dla osób w Polsce: Prezes Urzędu Ochrony Danych Osobowych (uodo.gov.pl). TODO-CONTENT: radca potwierdzi opis właściwości organów w układzie transgranicznym (administrator w UK: rola ICO vs organów UE; brak jednostki w UE a mechanizm z art. 27) - do tego czasu wskazujemy PUODO jako organ właściwy dla osób w Polsce oraz możliwość skargi do organu miejsca pobytu.
  4. Jeżeli żądanie dotyczy danych, które przetwarzamy jako podmiot przetwarzający (dane organizacji klienckiej), przekażemy je administratorowi tych danych (organizacji lub partnerowi) i poinformujemy o tym zgłaszającego.

8. Zautomatyzowane decyzje i profilowanie

Nie podejmujemy wobec osób decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, wywołujących skutki prawne lub podobnie istotne (art. 22 RODO). Sygnały antyabuzywne przy rejestracji (pkt 3) wspierają decyzję, której ostateczna odmowa następuje z udziałem człowieka.

9. Bezpieczeństwo danych

Stosujemy środki techniczne i organizacyjne odpowiednie do ryzyka (art. 32 RODO), w tym: izolację danych poszczególnych partnerów i organizacji - architektura multi-tenant z separacją wymuszaną w warstwie aplikacji (globalne filtry zapytań, blokada zapisu między najemcami, automatyczne testy izolacji), a docelowo dodatkowo zabezpieczeniami na poziomie wierszy bazy danych (row-level security) zgodnie z harmonogramem fazy hardeningu [docelowo: F4.E2.T3] - szyfrowanie transmisji (TLS), uwierzytelnianie wieloskładnikowe, dziennik zdarzeń w trybie tylko-do-dopisywania, a także - zgodnie z harmonogramem wdrożenia środowiska produkcyjnego - szyfrowanie danych w spoczynku oraz regularne kopie zapasowe z testami odtwarzania [docelowo: F4.E1.T3] i zasadę minimalnych uprawnień. Opis architektury bezpieczeństwa publikujemy na stronie /security; wykaz środków stanowi także załącznik do DPA (Załącznik C, ze wskazaniem środków wdrożonych i zaplanowanych).

10. Dane organizacji klienckich (działamy jako podmiot przetwarzający)

  1. Łańcuch ról przy danych wprowadzanych do środowiska organizacji klienckiej: organizacja (administrator) -> partner (podmiot przetwarzający organizacji, świadczący jej usługę) -> Supremeware Ltd (dalszy podmiot przetwarzający, dostawca narzędzia) -> nasi podprocesorzy infrastrukturalni. W wariancie, w którym partner prowadzi na platformie własne SZBI, partner jest administratorem, a my podmiotem przetwarzającym.
  2. Warunki tego przetwarzania (przedmiot, czas, obowiązki, podpowierzenie, audyty, zgłaszanie naruszeń) reguluje DPA - umowa powierzenia oparta na art. 28 RODO, stanowiąca załącznik do Regulaminu.
  3. W tym zakresie nie decydujemy o celach i sposobach przetwarzania: nie wykorzystujemy danych organizacji do własnych celów, nie trenujemy na nich modeli i nie łączymy ich między partnerami.

11. Zmiany polityki

O istotnych zmianach polityki informujemy na stronie oraz - użytkowników zalogowanych - komunikatem w aplikacji, co najmniej 14 dni przed wejściem zmian w życie. Wersje polityki są archiwizowane; data ostatniej zmiany widnieje na dole strony. [docelowo: W6.T4 (D-R2-11) - pole daty ostatniej zmiany na stronie w budowie; komunikat w aplikacji: F4.E3.T2]

Źródła i odwołania

  • Przekazywanie danych osobowych do Zjednoczonego Królestwa odbywa się na podstawie decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony, odnowionej 19 grudnia 2025 r. i obowiązującej do 27 grudnia 2031 r.
    ref

    RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679; decyzja wykonawcza Komisji Europejskiej ws. odpowiedniego stopnia ochrony danych osobowych zapewnianego przez Zjednoczone Królestwo

    art. 45

    Zobacz źródło →TODO-LEGAL-REVIEW
  • Administrator odpowiada na żądanie osoby, której dane dotyczą, bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania (z możliwością przedłużenia w przypadkach wskazanych w przepisie).
    ref

    RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679

    art. 12 ust. 3

    Zobacz źródło →TODO-LEGAL-REVIEW
  • Zgoda na przesyłanie informacji handlowych - w tym zapis na kurs e-mailowy - jest odbierana zgodnie z Prawem komunikacji elektronicznej i może zostać wycofana w każdym czasie.
    ref

    Ustawa z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej (Dz.U. 2024 poz. 1221)

    art. 398

    Zobacz źródło →TODO-LEGAL-REVIEW