Zaufany Serwer
Cennik
Kontakt
Zaufany Serwer

Polityka Prywatności

§ 1. Postanowienia ogólne

  1. Niniejsza Polityka Prywatności i Plików Cookies („Polityka”) określa zasady przetwarzania danych osobowych oraz wykorzystywania plików cookies w związku ze świadczeniem przez TRUST DEAL Konrad Mrowiec usług hostingowych, poczty elektronicznej i innych usług cyfrowych oraz w związku z korzystaniem ze strony internetowej zaufanyserwer.pl i dostępnych na niej formularzy.
  2. Polityka ma charakter informacyjny i stanowi realizację obowiązków informacyjnych określonych w art. 13 i 14 RODO. Polityka uwzględnia również przepisy ustawy o świadczeniu usług drogą elektroniczną, przepisy dotyczące plików cookies (w szczególności art. 173 Prawa telekomunikacyjnego) oraz obowiązki wynikające z rozporządzenia (UE) 2022/2065 (Akt o Usługach Cyfrowych – DSA) w zakresie obsługi zgłoszeń dotyczących treści.
  3. Postanowienia Polityki stosuje się do wszystkich osób korzystających z naszych usług oraz do odwiedzających stronę internetową i korzystających z formularzy kontaktowych.
  4. Polityka uzupełnia Regulamin świadczenia usług oraz (jeśli dotyczy) Umowę powierzenia przetwarzania danych (DPA). Polityka nie modyfikuje postanowień Regulaminu ani nie ogranicza praw wynikających z przepisów powszechnie obowiązującego prawa; w razie rozbieżności pierwszeństwo mają odpowiednio przepisy prawa, a następnie postanowienia Regulaminu w zakresie warunków świadczenia usług.
  5. Polityka może podlegać aktualizacjom w szczególności z przyczyn prawnych, organizacyjnych lub technicznych. O istotnych zmianach (np. dotyczących celów, podstaw prawnych, kategorii odbiorców lub transferów poza EOG) poinformujemy Klientów pocztą elektroniczną lub komunikatem w Panelu Klienta. Archiwalne wersje Polityki wraz z datami obowiązywania udostępniamy online.

 

§ 2. Administrator danych

  1. Administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO jest:
    TRUST DEAL Konrad Mrowiec, przedsiębiorca wpisany do CEIDG, prowadzący działalność gospodarczą pod adresem: Świdrówka 51, 33-230 Szczucin, NIP: 9442215274, REGON: 383426328.
  2. W sprawach dotyczących ochrony danych osobowych można kontaktować się z Administratorem:
    – drogą elektroniczną: kontakt@zaufanyserwer.pl,
    – korespondencyjnie na adres wskazany w ust. 1.
  3. Administrator nie wyznaczył Inspektora Ochrony Danych. Na obecnym etapie nie zachodzą przesłanki obowiązku jego wyznaczenia przewidziane w art. 37 RODO. W przypadku zmiany zakresu lub skali przetwarzania danych skutkującej powstaniem takiego obowiązku, Administrator niezwłocznie wyznaczy Inspektora Ochrony Danych i zaktualizuje niniejszą Politykę.

 

§ 3. Definicje

Na potrzeby niniejszej Polityki poniższym pojęciom nadaje się następujące znaczenie:

  1. Administrator – TRUST DEAL Konrad Mrowiec, zgodnie z danymi wskazanymi w § 2 Polityki.
  2. Klient – przedsiębiorca korzystający z Usług Administratora na podstawie zawartej umowy i Regulaminu.
  3. Użytkownik – każda osoba fizyczna odwiedzająca stronę internetową Administratora lub korzystająca z formularzy kontaktowych albo w inny sposób przekazująca Administratorowi swoje dane osobowe.
  4. Usługi – usługi świadczone drogą elektroniczną przez Administratora, w szczególności usługi hostingowe, usługi poczty elektronicznej oraz usługi związane z certyfikatami SSL (np. Let’s Encrypt).
  5. Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej w rozumieniu art. 4 pkt 1 RODO.
  6. Cookies – pliki tekstowe zapisywane na urządzeniu Użytkownika podczas korzystania ze strony internetowej Administratora, a także podobne technologie umożliwiające przechowywanie lub uzyskiwanie dostępu do informacji na urządzeniu Użytkownika.
  7. Umowa powierzenia przetwarzania danych (DPA) – odrębna umowa zawierana pomiędzy Administratorem a Klientem, określająca zasady przetwarzania danych osobowych powierzonych Administratorowi w związku ze świadczeniem Usług, zgodnie z art. 28 RODO.
  8. Podmiot przetwarzający (Procesor) – podmiot przetwarzający dane osobowe w imieniu Administratora na podstawie umowy powierzenia (art. 28 RODO).

 

§ 4. Dobrowolność i obowiązek podania danych

  1. Podanie danych osobowych jest co do zasady dobrowolne, jednak w zakresie wskazanym poniżej może stanowić warunek zawarcia lub wykonania umowy albo wynikać z obowiązku ustawowego.
  2. Dane niezbędne do zawarcia i realizacji umowy (w szczególności: nazwa firmy lub imię i nazwisko, adres rozliczeniowy/siedziby, NIP, adres e-mail do kontaktu) mają charakter obowiązkowy – ich niepodanie uniemożliwia zawarcie lub wykonanie umowy i świadczenie Usług.
  3. Dane wymagane przepisami prawa (np. dane potrzebne do prowadzenia ksiąg rachunkowych i rozliczeń podatkowych) muszą zostać podane w zakresie wynikającym z przepisów; brak ich podania uniemożliwi Administratorowi wywiązanie się z obowiązków ustawowych.
  4. Dane dobrowolne (np. numer telefonu, dodatkowe informacje w formularzu kontaktowym) można podać według uznania; ich niepodanie może utrudnić lub uniemożliwić udzielenie odpowiedzi na zapytanie, ale nie wpływa na możliwość zawarcia umowy, o ile spełnione są wymogi z ust. 2–3.
  5. Administrator każdorazowo wskazuje zakres danych wymaganych do danej czynności (np. w formularzu, w Panelu Klienta lub podczas zawierania umowy).

 

§ 5. Zakres przetwarzanych danych

  1. Administrator może przetwarzać następujące kategorie danych osobowych:
    1. dane identyfikacyjne – w szczególności: imię i nazwisko, nazwa firmy, NIP, adres siedziby lub adres do faktury;
    2. dane kontaktowe – adres poczty elektronicznej oraz numer telefonu (jeżeli został podany);
    3. dane finansowe – dane dotyczące płatności realizowanych za pośrednictwem operatora płatności (np. Paynow), w tym identyfikator transakcji, kwota, data oraz status płatności; Administrator nie przetwarza pełnych danych kart płatniczych ani innych poufnych instrumentów płatniczych – obsługa odbywa się wyłącznie w systemie operatora płatności.
    4. dane księgowe – dane niezbędne do wystawienia i przechowywania faktur oraz prowadzenia rozliczeń podatkowych (np. nazwa firmy, adres, NIP, kwoty należności, numer faktury), przetwarzane m.in. w systemie księgowym Administratora (np. wfirma);
    5. dane techniczne – adres IP, identyfikatory logowania w Panelu Klienta, logi serwera WWW i serwera poczty (w tym nagłówki wiadomości e-mail), a także informacje o urządzeniu i przeglądarce (np. typ/wersja, system operacyjny, znaczniki czasu);
    6. dane przekazywane w formularzach i korespondencji – dane podane w formularzach kontaktowych (np. imię, nazwisko, nazwa firmy, adres e-mail, numer telefonu, kategoria/treść zgłoszenia) oraz dane wynikające z prowadzonej korespondencji elektronicznej;
    7. dane związane z plikami cookies i podobnymi technologiami – dane dotyczące aktywności Użytkownika w serwisie internetowym, gromadzone z użyciem plików cookies oraz podobnych technologii przechowywania informacji lub uzyskiwania do nich dostępu (np. local storage, SDK), w tym przy wykorzystaniu narzędzi analitycznych (np. Google Analytics 4) oraz systemów zarządzania zgodami (np. Cookiebot).
  2. Administrator nie gromadzi numerów kart płatniczych ani innych wrażliwych danych płatniczych – obsługa płatności odbywa się wyłącznie za pośrednictwem operatora płatności.
  3. Zakres danych faktycznie przetwarzanych zależy od charakteru świadczonej Usługi, wybranego sposobu płatności lub okoliczności kontaktu z Administratorem.

 

§ 6. Cele i podstawy prawne przetwarzania

  1. Dane osobowe przetwarzamy w następujących celach i na następujących podstawach prawnych:
    1. Zawarcie i wykonanie umowy o świadczenie Usług – art. 6 ust. 1 lit. b RODO (niezbędność do wykonania umowy), w szczególności: utworzenie i obsługa konta w Panelu Klienta, świadczenie usług hostingowych i pocztowych, obsługa zleceń i wsparcia, obsługa płatności (za pośrednictwem operatora płatności), a także czynności niezbędne do realizacji umowy (np. komunikacja operacyjna).
    2. Wypełnienie obowiązków prawnych ciążących na Administratorze – art. 6 ust. 1 lit. c RODO, w szczególności: prowadzenie i przechowywanie dokumentacji księgowej i podatkowej, realizacja obowiązków wynikających z przepisów o świadczeniu usług drogą elektroniczną oraz z rozporządzenia (UE) 2022/2065 (DSA) w zakresie obsługi zgłoszeń dotyczących treści oraz wydawania uzasadnień decyzji („statement of reasons”).
    3. Prawnie uzasadnione interesy Administratora – art. 6 ust. 1 lit. f RODO, w szczególności:
      – zapewnienie bezpieczeństwa i integralności systemów oraz usług (np. wykrywanie nadużyć, zapobieganie spamowi i atakom, analizy techniczne na podstawie logów),
      – prowadzenie statystyk i analiz sposobu korzystania z Usług w celu ich ulepszania (w oparciu o dane techniczne/logowe, bez cookies wymagających zgody). Dane analityczne nie są wykorzystywane do profilowania marketingowego ani do podejmowania indywidualnych decyzji wobec Użytkowników,
      – prowadzenie korespondencji i obsługa zgłoszeń niezwiązanych bezpośrednio z umową (np. zapytania przez formularz kontaktowy),
      – ustalenie, dochodzenie lub obrona przed roszczeniami oraz windykacja należności.
    4. Zgoda osoby, której dane dotyczą – art. 6 ust. 1 lit. a RODO, w szczególności:
      – wykorzystanie plików cookies i podobnych technologii do celów analitycznych (np. Google Analytics 4) oraz zgodnie z wyborem wyrażonym w narzędziu zarządzania zgodami; brak zgody nie wpływa na korzystanie z usług niezbędnych, ale może ograniczyć niektóre funkcje serwisu.
  2. Jeżeli przetwarzanie danych odbywa się na podstawie zgody, zgodę można w każdej chwili cofnąć, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
  3. Jeżeli dla danego celu istnieje więcej niż jedna podstawa prawna, wskazujemy podstawę dominującą; w razie zmiany celu przetwarzania lub podstawy prawnej poinformujemy o tym zgodnie z § 16 Polityki.

§ 7. Okres przechowywania danych

  1. Dane osobowe są przechowywane przez okres niezbędny do realizacji celów, dla których zostały zebrane, z uwzględnieniem poniższych zasad:
    1. dane księgowe i podatkowe – przez okres wymagany przepisami prawa, co do zasady co najmniej 5 lat od końca roku obrotowego, w którym powstał obowiązek ich ujęcia;
    2. dane związane z zawarciem i realizacją umowy – przez okres trwania umowy, a następnie do upływu terminów przedawnienia ewentualnych roszczeń (co do zasady 6 lat, a w przypadku roszczeń o świadczenia okresowe lub związanych z prowadzeniem działalności gospodarczej – 3 lata); w razie wszczęcia sporu lub postępowania – do czasu ich prawomocnego zakończenia;
    3. logi systemowe i dane techniczne – nie dłużej niż:
      a) logi WWW i Panelu Klienta – do 12 miesięcy,
      b) logi poczty (SMTP/IMAP/POP) oraz logi bezpieczeństwa (np. WAF/DDoS) – do 24 miesięcy;
      przy czym retencja może zostać tymczasowo wydłużona na czas niezbędny do wyjaśnienia incydentu bezpieczeństwa, nadużycia lub dochodzenia roszczeń;
    4. kopie zapasowe (backupy) – przez 14 dni od ich utworzenia, po czym są automatycznie nadpisywane; dostęp do backupów jest ograniczony i wykorzystywany wyłącznie do zapewnienia ciągłości usług;
    5. dane przetwarzane na podstawie zgody – do czasu cofnięcia zgody lub do upływu okresów wskazanych w ustawieniach narzędzi (np. w banerze cookies), z zastrzeżeniem wcześniejszego usunięcia na żądanie, jeśli to możliwe;
    6. rekordy dotyczące zgłoszeń treści i decyzji w trybie DSA – przez okres niezbędny do rozpatrzenia zgłoszenia i ewentualnych odwołań oraz do wypełnienia obowiązków sprawozdawczych; nie dłużej jednak niż do upływu terminów przedawnienia roszczeń wynikających z tych zdarzeń.
  2. Po upływie wskazanych okresów dane są usuwane lub anonimizowane, chyba że przepisy prawa wymagają ich dłuższego przechowywania.
  3. W przypadku równoległego wystąpienia kilku podstaw przechowywania (np. trwającego sporu i obowiązków księgowych) Administrator stosuje dłuższy z właściwych okresów, ograniczając przetwarzanie wyłącznie do niezbędnego zakresu.
  4. Po upływie wskazanych okresów dane mogą być przechowywane w formie zanonimizowanej, w zakresie niezbędnym do celów statystycznych, analitycznych lub zapewnienia bezpieczeństwa systemów.

§ 8. Odbiorcy danych / podmioty przetwarzające

  1. W związku ze świadczeniem Usług Administrator może przekazywać dane osobowe następującym kategoriom odbiorców, wyłącznie w niezbędnym zakresie:
    1. podmioty przetwarzające (procesorzy) – działające na podstawie umów powierzenia przetwarzania danych, w szczególności:
      a) dostawcy usług IT i infrastruktury (operatorzy centrów danych, usług serwerowych, bezpieczeństwa i utrzymania – np. administratorzy systemów, operatorzy DC, dostawcy backupu),
      b) podmioty świadczące usługi księgowe i systemy księgowe (np. biuro rachunkowe, system do fakturowania/księgowości, takie jak wfirma),
      c) dostawcy wsparcia technicznego i narzędzi operacyjnych (np. systemy obsługi zgłoszeń, monitoringu, antyspam/antywirus);
    2. odbiorcy będący niezależnymi administratorami danych, w szczególności:
      a) operator płatności (np. Paynow) – w zakresie niezbędnym do obsługi płatności elektronicznych,
      b) dostawcy certyfikatów SSL (np. Let’s Encrypt) – w zakresie niezbędnym do wystawienia/odnowienia certyfikatów,
      c) dostawcy usług analitycznych i narzędzi online (np. Google Analytics 4, system zarządzania zgodami cookies) – w zakresie statystyk i obsługi preferencji cookies,
      d) organy publiczne uprawnione do uzyskiwania danych na podstawie przepisów prawa,
      e) profesjonalni doradcy (np. kancelarie prawne, audytorzy) – w zakresie niezbędnym do ustalenia, dochodzenia lub obrony roszczeń.
  2. Z podmiotami, o których mowa w ust. 1 pkt 1, Administrator zawiera umowy powierzenia przetwarzania danych zgodnie z art. 28 RODO. Podmioty te przetwarzają dane wyłącznie na udokumentowane polecenie Administratora i są zobowiązane do zachowania poufności oraz stosowania odpowiednich środków bezpieczeństwa.
  3. Podmioty, o których mowa w ust. 1 pkt 2, działają jako odrębni administratorzy danych i stosują własne polityki prywatności.
  4. Niektórzy odbiorcy mogą mieć siedziby poza Europejskim Obszarem Gospodarczym; zasady takich przekazań oraz stosowane zabezpieczenia opisuje § 9 Polityki.
  5. Administrator zapewnia aktualność kategorii odbiorców; szczegółowe informacje o aktualnych kategoriach i podstawach przekazywania danych można uzyskać, kontaktując się zgodnie z § 2 Polityki.

§ 9. Transfer danych poza Europejski Obszar Gospodarczy (EOG)

  1. Co do zasady dane osobowe są przetwarzane na terenie Europejskiego Obszaru Gospodarczego (EOG). Przekazania poza EOG mogą wystąpić wyłącznie wtedy, gdy jest to niezbędne do realizacji określonych funkcji Usług lub serwisu internetowego.
  2. W związku z korzystaniem z niektórych usług może dochodzić do przekazywania danych poza EOG, w szczególności do:
    1. Google LLC (Google Analytics 4) – w zakresie danych analitycznych dotyczących korzystania z serwisu (wyłącznie po wyrażeniu zgody na cookies/analitykę),
    2. Internet Security Research Group (Let’s Encrypt) – w zakresie danych niezbędnych do wystawiania i odnawiania certyfikatów SSL,
    3. innych dostawców narzędzi online (np. system zarządzania zgodami cookies), jeśli ich infrastruktura przetwarza dane poza EOG.
  3. Każde przekazanie danych poza EOG odbywa się wyłącznie z zastosowaniem mechanizmów przewidzianych w RODO, w szczególności:
    1. na podstawie decyzji stwierdzających odpowiedni poziom ochrony (np. EU–US Data Privacy Framework lub inne programy adekwatności przyjęte przez Komisję Europejską),
    2. na podstawie standardowych klauzul umownych przyjętych przez Komisję Europejską,
    3. z zastosowaniem innych odpowiednich zabezpieczeń z art. 46 RODO.
  4. W zależności od usługi Administrator stosuje także środki uzupełniające, takie jak: minimalizacja zakresu danych, pseudonimizacja, szyfrowanie transmisji, ograniczenia retencyjne oraz kontrola dostępu.
  5. Użytkownik może uzyskać informacje o aktualnych odbiorcach danych poza EOG oraz kopię stosowanych zabezpieczeń, kontaktując się z Administratorem zgodnie z § 2 Polityki.
  6. W przypadku braku zgody na cookies/analitykę narzędzia te nie są uruchamiane, a związane z nimi transfery danych poza EOG nie występują.

§ 10. Prawa osób, których dane dotyczą


  1. Osobie, której dane dotyczą, przysługują prawa wynikające z przepisów o ochronie danych osobowych, w szczególności:
    1. prawo dostępu do danych oraz uzyskania ich kopii,
    2. prawo sprostowania (poprawiania) danych,
    3. prawo usunięcia danych („prawo do bycia zapomnianym”),
    4. prawo ograniczenia przetwarzania,
    5. prawo sprzeciwu wobec przetwarzania danych – w szczególności wobec przetwarzania opartego na prawnie uzasadnionym interesie Administratora,
    6. Prawo do przenoszenia danych nie obejmuje logów systemowych oraz innych danych technicznych, które nie są powiązane z kontem Klienta w sposób umożliwiający ich przeniesienie,
    7. prawo cofnięcia zgody w dowolnym momencie – bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
  2. Administrator nie podejmuje decyzji wywołujących wobec osób skutki prawne lub w podobny sposób istotnie na nie wpływających, opierając się wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu). Jeżeli w przyszłości takie operacje byłyby wprowadzane, osobie, której dane dotyczą, przysługiwać będą stosowne prawa, w tym prawo do uzyskania interwencji człowieka, wyrażenia własnego stanowiska i zakwestionowania decyzji.
  3. Wnioski dotyczące realizacji praw można składać w formie elektronicznej lub pisemnej na dane kontaktowe Administratora wskazane w § 2. Administrator może zwrócić się o podanie informacji pozwalających rozsądnie zweryfikować tożsamość wnioskodawcy lub doprecyzować żądanie.
  4. Administrator udziela odpowiedzi na wniosek bez zbędnej zwłoki, nie później niż w terminie 1 miesiąca od jego otrzymania. W razie potrzeby termin ten może zostać przedłużony o kolejne 2 miesiące, o czym wnioskodawca zostanie uprzednio poinformowany wraz z podaniem przyczyn.
  5. Realizacja niektórych praw może być ograniczona w zakresie, w jakim dalsze przetwarzanie danych jest wymagane przepisami prawa (np. obowiązek przechowywania dokumentacji księgowej) lub jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń. W takich przypadkach Administrator ograniczy przetwarzanie do niezbędnego minimum.
  6. Jeżeli żądania osoby są oczywiście nieuzasadnione lub nadmierne (w szczególności ze względu na ich ustawiczny charakter), Administrator może pobrać rozsądną opłatę lub odmówić podjęcia działań – z uwzględnieniem kosztów administracyjnych związanych z realizacją żądania.
  7. Osobie, której dane dotyczą, przysługuje prawo wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych, jeżeli uzna, że przetwarzanie narusza przepisy o ochronie danych osobowych.

§ 11. Cookies i podobne technologie

  1. Serwis internetowy Administratora wykorzystuje pliki cookies oraz podobne technologie przechowywania informacji lub uzyskiwania do nich dostępu (np. local storage, skrypty i SDK) w celu zapewnienia prawidłowego działania strony i świadczenia Usług.
  2. Stosowane są następujące kategorie:
    1. Niezbędne – wymagane do prawidłowego działania serwisu i Usług (np. logowanie, utrzymanie sesji, bezpieczeństwo, preferencje panelu). Podstawą prawną jest niezbędność do wykonania umowy o świadczenie usług drogą elektroniczną (art. 6 ust. 1 lit. b RODO) oraz/lub prawnie uzasadniony interes Administratora w zapewnieniu bezpieczeństwa i stabilności serwisu (art. 6 ust. 1 lit. f RODO).
    2. Analityczne – służą do prowadzenia statystyk i analiz korzystania z serwisu (np. Google Analytics 4). Podstawą prawną jest zgoda Użytkownika (art. 6 ust. 1 lit. a RODO); narzędzia te uruchamiają się dopiero po jej wyrażeniu. Brak zgody nie wpływa na korzystanie z funkcji niezbędnych, może jednak ograniczyć niektóre udogodnienia.
    3. Marketingowe – obecnie nie są stosowane. W przypadku ich wprowadzenia będą wykorzystywane wyłącznie po uzyskaniu uprzedniej zgody.
  3. Zgody na stosowanie cookies i podobnych technologii są zarządzane za pośrednictwem narzędzia Cookiebot (baner/ikona preferencji w serwisie), które umożliwia wyrażenie, odmowę oraz cofnięcie zgody w dowolnym momencie – w sposób równie łatwy jak jej udzielenie.
  4. Szczegółowa, aktualna lista plików cookies i technologii (w tym: nazwa, dostawca, kategoria, cel, okres przechowywania, status zgody) jest dostępna w interfejsie Cookiebot w serwisie. Cookies mogą być zapisywane jako sesyjne (do czasu zamknięcia przeglądarki) lub trwałe (na wskazany czas), a także pochodzić od Administratora (first-party) lub od zewnętrznych dostawców (third-party, np. Google – po wyrażeniu zgody).
  5. Użytkownik może również zmienić ustawienia przeglądarki, w tym zablokować zapisywanie wszystkich lub wybranych cookies. Zablokowanie cookies niezbędnych może spowodować nieprawidłowe działanie serwisu lub brak możliwości korzystania z niektórych funkcji.
  6. W zakresie, w jakim stosowanie cookies może wiązać się z przekazywaniem danych poza EOG (np. przy narzędziach analitycznych), zasady i zabezpieczenia takich przekazań określa § 9 Polityki.

§ 12. Bezpieczeństwo danych

  1. Administrator stosuje odpowiednie środki techniczne i organizacyjne wymagane przepisami prawa, w szczególności art. 32 RODO, aby zapewnić poziom bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych.
  2. W szczególności Administrator wdraża i utrzymuje następujące środki:
    1. szyfrowanie transmisji danych przy użyciu protokołu TLS (SSL),
    2. zabezpieczenia serwerów i sieci, w tym firewall, systemy WAF, mechanizmy ochrony przed atakami DDoS, rozwiązania antyspamowe i antymalware dla poczty,
    3. monitorowanie i rejestrowanie zdarzeń oraz regularne aktualizacje i łatki bezpieczeństwa,
    4. regularne kopie zapasowe (backupy) utrzymywane przez 14 dni; dostęp do backupów jest ograniczony i wykorzystywany wyłącznie w celu zapewnienia ciągłości działania i odtworzenia danych,
    5. kontrolę dostępu i upoważnienia – dostęp do danych mają wyłącznie osoby upoważnione i zobowiązane do zachowania poufności, zgodnie z zasadą „need-to-know”,
    6. organizacyjne środki ochrony, w tym szkolenia personelu, polityki i procedury bezpieczeństwa, zarządzanie ryzykiem oraz zawieranie umów powierzenia z podmiotami przetwarzającymi,
    7. procedury reagowania na incydenty i naruszenia ochrony danych, w tym ocenę ryzyka, ograniczanie skutków oraz – gdy jest to wymagane – zgłoszenie naruszenia organowi nadzorczemu w terminie 72 godzin oraz poinformowanie osób, których dane dotyczą.
  3. Administrator stosuje zasady minimalizacji danych oraz privacy by design / by default, ograniczając zakres i czas przetwarzania do niezbędnego minimum oraz regularnie weryfikując adekwatność zastosowanych środków.
  4. Centra danych i infrastruktura wykorzystywane do świadczenia Usług spełniają standardy fizycznego bezpieczeństwa odpowiednie do ryzyka (m.in. kontrola dostępu, monitoring, ochrona środowiskowa).
  5. Stosowane środki bezpieczeństwa są regularnie testowane, mierzone i oceniane pod kątem skuteczności oraz aktualizowane wraz ze zmianą zagrożeń i technologii.
  6. Pomimo stosowania wysokich standardów ochrony Administrator wskazuje, że żaden system teleinformatyczny nie gwarantuje pełnego bezpieczeństwa, a podejmowane działania mają na celu maksymalne ograniczenie ryzyk i skutków ewentualnych incydentów.

§ 13. Publikacja treści przez Klientów (DSA)

  1. W ramach świadczenia Usług hostingowych Administrator udostępnia procedurę zgłaszania treści nielegalnych lub naruszających Regulamin („notice and action”) zgodnie z rozporządzeniem (UE) 2022/2065 (Digital Services Act – DSA).
  2. Na potrzeby obsługi zgłoszeń Administrator przetwarza dane osobowe:
    1. zgłaszającego – w zakresie danych podanych w formularzu lub innym kanale (np. imię i nazwisko, adres e-mail, adres URL/identyfikator treści, opis naruszenia, oświadczenia wymagane przez DSA),
    2. osoby, której treść dotyczy – w zakresie niezbędnym do weryfikacji zgłoszenia, komunikacji i przekazania decyzji.
  3. Podstawy prawne przetwarzania danych w tym zakresie:
    1. obowiązek prawny wynikający z DSA (art. 6 ust. 1 lit. c RODO) – przyjmowanie i rozpatrywanie zgłoszeń, udzielanie informacji oraz wydawanie uzasadnień decyzji,
    2. prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO) – zapewnienie bezpieczeństwa Usług, przeciwdziałanie nadużyciom, a także ustalenie, dochodzenie lub obrona roszczeń.
  4. W przypadku usunięcia, zablokowania lub ograniczenia dostępu do treści Administrator przekazuje osobie, której treść dotyczy, uzasadnienie decyzji („statement of reasons”) zgodnie z DSA.
  5. Odwołanie od decyzji następuje na zasadach i w terminach wskazanych w Regulaminie; informacje o środkach odwoławczych przekazywane są wraz z decyzją.
  6. Administrator może przekazać właściwym organom publicznym informacje o podejrzeniu poważnego przestępstwa, jeżeli okoliczności sprawy uzasadniają taki obowiązek lub działanie.
  7. Dane związane z procedurą notice and action są przetwarzane wyłącznie w zakresie niezbędnym do obsługi zgłoszenia, prowadzenia komunikacji, wydania i obrony decyzji oraz ewentualnych odwołań, a następnie przechowywane przez okres wskazany w § 7 (retencja) i usuwane lub anonimizowane po jego upływie.

§ 14. Profilowanie i zautomatyzowane decyzje

  1. Administrator nie podejmuje decyzji wywołujących wobec Użytkowników skutki prawne ani w podobny sposób istotnie na nich wpływających, opierając się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych.
  2. Administrator może stosować profilowanie wyłącznie w ograniczonym zakresie:
    1. statystyki i analityka – z wykorzystaniem narzędzi takich jak Google Analytics 4, uruchamianych wyłącznie po wyrażeniu zgody na cookies/analitykę; przetwarzanie ma charakter zagregowany i nie służy podejmowaniu indywidualnych decyzji ani tworzeniu profili marketingowych,
    2. bezpieczeństwo – automatyczne monitorowanie i analiza logów oraz ruchu sieciowego (np. wykrywanie nadużyć, zapobieganie spamowi i atakom, ochrona kont i serwerów).
  3. Podstawą prawną przetwarzania danych w ramach profilowania jest:
    1. zgoda Użytkownika – w zakresie analityki (art. 6 ust. 1 lit. a RODO), z możliwością łatwego wycofania w dowolnym momencie (np. przez ustawienia w narzędziu zarządzania zgodami),
    2. prawnie uzasadniony interes Administratora – w zakresie bezpieczeństwa usług i zapobiegania nadużyciom (art. 6 ust. 1 lit. f RODO).
  4. Profilowanie stosowane przez Administratora nie prowadzi do podejmowania decyzji wywołujących skutki prawne wobec Użytkowników ani w podobny sposób istotnie na nich wpływających.
  5. Użytkownikowi przysługuje prawo do sprzeciwu wobec profilowania prowadzonego na podstawie prawnie uzasadnionego interesu oraz prawo do cofnięcia zgody w zakresie analityki – zgodnie z zasadami opisanymi w § 10 i § 11 Polityki.

§ 15. Powierzenie przetwarzania danych (DPA)

  1. W zakresie, w jakim Klient w ramach korzystania z Usług powierza Administratorowi do przetwarzania dane osobowe, Klient pozostaje administratorem, a Administrator działa jako procesor (podmiot przetwarzający), zgodnie z art. 28 RODO.
  2. Szczegółowe zasady przetwarzania danych powierzonych przez Klienta określa odrębna umowa powierzenia (DPA), zawierana między Klientem a Administratorem, która może być zawarta w formie elektronicznej.
  3. Administrator może korzystać z usług podprzetwarzających (np. dostawców infrastruktury, certyfikatów SSL, usług księgowych, narzędzi IT) wyłącznie w celu realizacji Usług na rzecz Klienta.
  4. Aktualna lista wykorzystywanych podprzetwarzających jest publikowana przez Administratora online i dostępna niezwłocznie po wejściu w życie DPA.
  5. W przypadku planowanego powierzenia danych osobowych nowemu podmiotowi podprzetwarzającemu (lub zmiany w zakresie już wykorzystywanego), Administrator poinformuje Klienta z co najmniej 14-dniowym wyprzedzeniem, umożliwiając Klientowi wniesienie sprzeciwu wobec takiego powierzenia. Brak sprzeciwu skutkuje uznaniem zgody.
  6. Administrator korzysta wyłącznie z podprzetwarzających, którzy zapewniają odpowiednie środki techniczne i organizacyjne chroniące dane osobowe, zgodnie z DPA i RODO.

§ 16. Aktualizacje Polityki

  1. Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności z uwagi na zmiany obowiązujących przepisów, rozwój usług lub technologii, zmiany w podmiotach przetwarzających lub inne istotne okoliczności.
  2. O wszelkich istotnych zmianach Administrator poinformuje Klientów co najmniej 14 dni przed ich wejściem w życie, wysyłając wiadomość na adres e-mail wskazany w umowie lub publikując komunikat w Panelu Klienta.
  3. Bieżąca wersja Polityki jest dostępna online pod znanym adresem; archiwalne wersje wraz z datami obowiązywania są również przechowywane i dostępne do wglądu Klientów.
  4. Wprowadzenie zmian nie wpływa na zgodność z prawem działań przetwarzania, które miały miejsce przed ich ogłoszeniem. Zmiany Polityki nie mogą naruszać praw nabytych Klientów.
  5. Jeżeli Klient nie zgadza się z nowym brzmieniem Polityki, może zrezygnować z Usług w terminie wskazanym w Regulaminie; dalsze korzystanie z Usług po dacie wejścia w życie zmian jest równoznaczne z ich akceptacją.

§ 17. Postanowienia końcowe

  1. Niniejsza Polityka Prywatności wchodzi w życie z dniem 01.09.2025 i obowiązuje do czasu jej zmiany lub uchylenia.
  2. Polityka stanowi integralną część umów zawieranych pomiędzy Klientem a Administratorem i należy ją czytać łącznie z Regulaminem świadczenia usług oraz – w przypadku powierzenia danych – z umową powierzenia przetwarzania danych (DPA).
  3. Aktualna wersja Polityki Prywatności, Regulaminu i DPA jest zawsze dostępna online na stronie internetowej Administratora.
  4. W przypadku rozbieżności pomiędzy Polityką a Regulaminem, w zakresie świadczenia usług pierwszeństwo ma Regulamin.
  5. Polityka sporządzona jest w języku polskim, który jest językiem wiążącym.