⚠  PROJEKT — niezweryfikowany prawnie. Wymaga akceptacji przed publikacją.

Polityka Prywatności

Produkt: Exceptao / paraKSCol / CyberZgodność EDU  ·  Ostatnia aktualizacja: 2026-05-15  ·  Podstawa prawna: RODO (UE) 2016/679

Administrator danych: [Nazwa spółki — zob. /legal/imprint]
Adres rejestrowy: [DO UZUPEŁNIENIA — zob. /legal/imprint]
Kontakt w sprawach prywatności: iod@parakscol.pl

1. Kim jesteśmy i jak się z nami skontaktować

Jesteśmy operatorem platformy zgodności Exceptao i powiązanych marek (paraKSCol, CyberZgodność EDU). Nasze pełne dane rejestrowe są opublikowane pod adresem /legal/imprint.

IOD: [DO UZUPEŁNIENIA: imię, nazwisko i dane kontaktowe IOD, jeśli powołano]

Działamy w dwóch odrębnych rolach:

  1. Jako administrator danych: w odniesieniu do danych osobowych zbieranych bezpośrednio — potencjalnych klientów, kontaktów marketingowych, własnych pracowników i danych z rejestracji kont.
  2. Jako podmiot przetwarzający: w odniesieniu do danych osobowych przesyłanych lub generowanych przez naszych Klientów (Dzierżawców) w ramach Usługi — ta relacja jest regulowana Umową Powierzenia Przetwarzania Danych Osobowych (DPA) dostępną pod adresem /legal/dpa.

2. Jakie dane osobowe zbieramy i w jakim celu

2.1 Świadczenie Usługi — dane konta i użytkownika

Podstawa prawna: Umowa (art. 6 ust. 1 lit. b RODO).

Element danychCel
Adres e-mailIdentyfikacja konta, dane logowania, dostarczanie powiadomień
Imię i nazwisko (opcjonalne)Wyświetlanie w przestrzeni roboczej; powitanie w e-mailu
Skrót hasła (Argon2id)Uwierzytelnianie; skrót nigdy nie jest przesyłany w postaci jawnej
Sekret TOTP (zaszyfrowany AES)Uwierzytelnianie wieloskładnikowe
Identyfikator i klucz publiczny WebAuthnUwierzytelnianie oparte na passkeys
Tokeny sesji (po stronie serwera)Utrzymanie sesji uwierzytelnionych
Adres IP przy logowaniuMonitorowanie bezpieczeństwa; dziennik audytu
Ciąg user-agent przy logowaniuWykrywanie anomalii bezpieczeństwa
Preferencje języka i strefy czasowejPersonalizacja interfejsu
Dane subskrypcji i rozliczeniowe (NIP, e-mail rozliczeniowy)Świadczenie Usługi, fakturowanie, zgodność z prawem
Przypisania ról i uprawnieńKontrola dostępu; kontekst dziennika audytu

Retencja: Dane konta są przechowywane przez czas trwania subskrypcji Dzierżawcy plus 30 dni po rozwiązaniu. Dokumentacja rozliczeniowa: 5 lat (Ustawa o rachunkowości, art. 74).

2.2 Integralność dziennika audytowego

Podstawa prawna: Uzasadniony interes (art. 6 ust. 1 lit. f RODO).

Każdy wiersz dziennika audytowego zawiera: tożsamość aktora (ID użytkownika, adres e-mail, adres IP, user-agent), wykonaną czynność, podsumowanie stanu przed i po, znacznik czasu i kryptograficzny skrót SHA-256.

Prawo do usunięcia — zastrzeżenie. Po zweryfikowanym żądaniu usunięcia pola danych osobowych w wierszach dziennika są pseudonimizowane: zastępowane stabilnym identyfikatorem znacznika (actor_tombstone_<uuid>). Rekord zdarzenia i łańcuch skrótów są zachowane.

Retencja: 35 dni (Starter), 90 dni (Professional), negocjowane minimum 90 dni (Enterprise).

2.3 Bezpieczeństwo i zapobieganie nadużyciom

Podstawa prawna: Uzasadniony interes (art. 6 ust. 1 lit. f RODO). Retencja: 90 dni kroczących.

2.4 Komunikacja e-mail

Podstawa prawna: Umowa (powiadomienia o przepływach pracy); uzasadniony interes (ogłoszenia usługowe); zgoda (art. 6 ust. 1 lit. a — komunikacja marketingowa, wycofanie możliwe w dowolnym momencie). Retencja rekordów statusu wysyłki: 90 dni; rekordy zgody marketingowej: do wycofania + 3 lata.

2.5 Potencjalni klienci

Podstawa prawna: Uzasadniony interes (art. 6 ust. 1 lit. f RODO).

Element danychCel
Imię i nazwiskoSpersonalizowana komunikacja
Adres e-mailOdpowiadanie na zapytania
Stanowisko / rolaZrozumienie kontekstu compliance
Nazwa organizacjiIdentyfikacja organizacji i jej potrzeb
Notatki z rozmówUtrzymanie ciągłości w rozmowach

Retencja: 24 miesiące od ostatniego kontaktu. Wyślemy prośbę o ponowne potwierdzenie po 18 miesiącach.

3. Jak długo przechowujemy dane

KategoriaOkres przechowywania
Dane konta i użytkownika (aktywny Dzierżawca)Czas trwania subskrypcji
Dane konta i użytkownika (po rozwiązaniu)30 dni po rozwiązaniu
Dziennik audytu — Starter35 dni krocących
Dziennik audytu — Professional90 dni krocących
Dziennik audytu — EnterpriseNegocjowane; minimum 90 dni
Dokumentacja rozliczeniowa5 lat od końca okresu rozliczeniowego
Logi bezpieczeństwa90 dni krocących
Rekordy statusu wysyłki e-mail90 dni
Rekordy zgody marketingowejDo wycofania + 3 lata
Rekordy potencjalnych klientów24 miesiące od ostatniego kontaktu
Rekordy żądań usunięcia danych3 lata

4. Kto ma dostęp do Twoich danych

4.1 Pracownicy Operatora

Dostęp do systemów produkcyjnych mają wyłącznie pracownicy z udokumentowaną, specyficzną dla roli potrzebą biznesową. Każdy taki dostęp wymaga MFA i jest rejestrowany w dzienniku audytowym.

4.2 Podmioty przetwarzające (subprocesory)

Pełna lista ze szczegółowymi informacjami per podmiot jest opublikowana pod adresem /legal/subprocessors. Powiadomimy Dzierżawców co najmniej 30 dni przed dodaniem lub zastąpieniem podmiotu przetwarzającego.

Podmiot przetwarzającyCelKategorie danychRegion
Cloudflare, Inc.CDN, WAF, Tunnel, magazyn R2Adresy IP i metadane żądań; zaszyfrowane pliki dowodowe i kopie zapasoweR2: EU; CDN: globalny brzeg
Backblaze, Inc.Zapasowy zaszyfrowany magazyn kopii zapasowychWyłącznie archiwa GPG-zaszyfrowaneEU (Amsterdam)
Microsoft Corporation (Graph API)Wychodzące transakcyjne powiadomienia e-mailAdres e-mail odbiorcy, imię, treść powiadomieniaDzierżawa M365 EU

HashiCorp Vault jest hostowany samodzielnie na naszym własnym VPS (region EU) i nie jest podmiotem przetwarzającym będącym osobą trzecią.

4.3 Ujawnienie na żądanie prawne

Możemy ujawnić dane osobowe, jeżeli jest to wymagane przez nakaz sądu lub obowiązek prawny. Ujawnienie ograniczymy do minimum wymaganego przez prawo.

5. Przekazywanie danych do państw trzecich

Dane biznesowe klientów są przechowywane w regionie wybranym przy tworzeniu konta Dzierżawcy:

W przypadku gdy podmioty przetwarzające są zlokalizowane poza UE/EOG, zapewniamy odpowiednie zabezpieczenia na podstawie Rozdziału V RODO, w tym Standardowe Klauzule Umowne (SCK).

6. Twoje prawa wynikające z RODO

Aby skorzystać z któregokolwiek z praw, napisz na adres iod@parakscol.pl. Odpowiemy w ciągu 30 dni kalendarzowych.

PrawoOpisUwagi
Dostęp (art. 15)Żądanie kopii danych osobowych i informacji o sposobie ich przetwarzaniaUstrukturyzowany eksport w formacie nadającym się do odczytu maszynowego
Sprostowanie (art. 16)Żądanie poprawienia niedokładnych danychUżytkownicy mogą sami aktualizować większość danych w ustawieniach
Usunięcie (art. 17)Żądanie usunięcia danych osobowychZob. zastrzeżenie dot. pseudonimizacji dziennika audytu w §2.2
Ograniczenie przetwarzania (art. 18)Żądanie ograniczenia przetwarzania w trakcie rozstrzygania sporu
Przenoszenie danych (art. 20)Otrzymanie danych w formacie JSON lub CSVDotyczy danych przetwarzanych na podstawie umowy lub zgody
Sprzeciw (art. 21)Sprzeciw wobec przetwarzania opartego na uzasadnionym interesieZaprzestaniemy przetwarzania, chyba że możemy wykazać nadrzędne podstawy
Wycofanie zgody (art. 7 ust. 3)Wycofanie zgody w dowolnym momencie (marketing)Nie wpływa na zgodność z prawem przetwarzania sprzed wycofania
Brak profilowania (art. 22)Nie stosujemy zautomatyzowanego podejmowania decyzji

Masz prawo wnieść skargę do Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl, e-mail: kancelaria@uodo.gov.pl.

7. Jak chronimy Twoje dane

Pełny opis techniczny jest opublikowany pod adresem /legal/security.

ŚrodekImplementacja
Izolacja dzierżawcówFORCE ROW LEVEL SECURITY PostgreSQL na wszystkich tabelach powiązanych z dzierżawcami
Szyfrowanie w spoczynkuWolumin VPS LUKS; kopie zapasowe GPG; szyfrowanie kopertowe Vault; szyfrowanie R2
Szyfrowanie w transmisjiTLS 1.3 przez Cloudflare; HSTS preload; mTLS Cloudflare Tunnel
UwierzytelnianieArgon2id; obowiązkowe MFA TOTP; passkeys WebAuthn; SSO OIDC/SAML
Kontrola dostępuRBAC; zasada minimalnych uprawnień; dostęp do produkcji wymaga MFA i jest rejestrowany
Rejestrowanie audytuOdporny na manipulacje łańcuch skrótów SHA-256; rola DB tylko do dołączania
Kopie zapasowePolityka 3-2-1: R2 (podstawowy) + Backblaze B2 (zapasowy); kwartalne testy przywracania
Zarządzanie sekretamiHashiCorp Vault; sekrety nieutrwalane na dysku; krótkotrwałe tokeny AppRole

8. Zautomatyzowane podejmowanie decyzji i profilowanie

Nie prowadzimy zautomatyzowanego podejmowania decyzji ani profilowania w rozumieniu art. 22 RODO, które wywołują skutki prawne lub inne podobnie istotne skutki.

9. Pliki cookie i śledzenie

Pełna informacja o plikach cookie jest dostępna pod adresem /legal/cookies. Używamy wyłącznie bezwzględnie koniecznych plików cookie: sessionid i csrftoken. Brak plików cookie śledzenia podmiotów trzecich.

10. Dane dzieci

Usługa nie jest skierowana do osób poniżej 18 roku życia. Nie zbieramy świadomie danych osobowych od dzieci. W przypadku odkrycia takiej sytuacji skontaktuj się z nami pod adresem iod@parakscol.pl.

11. Zmiany niniejszej Polityki Prywatności

Powiadomimy Administratorów Dzierżawców o istotnych zmianach co najmniej 30 dni przed wejściem zmian w życie — drogą e-mailową oraz przez powiadomienie na pulpicie nawigacyjnym Usługi.

12. Kontakt

CelKontakt
Zapytania dotyczące prywatności i wnioski o realizację prawiod@parakscol.pl
Administrator danych (adres rejestrowy)zob. /legal/imprint
Inspektor Ochrony Danych[DO UZUPEŁNIENIA]
Organ nadzorczyUrząd Ochrony Danych Osobowych (UODO) — uodo.gov.pl