iod@parakscol.pl
Jesteśmy operatorem platformy zgodności Exceptao i powiązanych marek (paraKSCol, CyberZgodność EDU). Nasze pełne dane rejestrowe są opublikowane pod adresem /legal/imprint.
IOD: [DO UZUPEŁNIENIA: imię, nazwisko i dane kontaktowe IOD, jeśli powołano]
Działamy w dwóch odrębnych rolach:
Podstawa prawna: Umowa (art. 6 ust. 1 lit. b RODO).
| Element danych | Cel |
|---|---|
| Adres e-mail | Identyfikacja konta, dane logowania, dostarczanie powiadomień |
| Imię i nazwisko (opcjonalne) | Wyświetlanie w przestrzeni roboczej; powitanie w e-mailu |
| Skrót hasła (Argon2id) | Uwierzytelnianie; skrót nigdy nie jest przesyłany w postaci jawnej |
| Sekret TOTP (zaszyfrowany AES) | Uwierzytelnianie wieloskładnikowe |
| Identyfikator i klucz publiczny WebAuthn | Uwierzytelnianie oparte na passkeys |
| Tokeny sesji (po stronie serwera) | Utrzymanie sesji uwierzytelnionych |
| Adres IP przy logowaniu | Monitorowanie bezpieczeństwa; dziennik audytu |
| Ciąg user-agent przy logowaniu | Wykrywanie anomalii bezpieczeństwa |
| Preferencje języka i strefy czasowej | Personalizacja interfejsu |
| Dane subskrypcji i rozliczeniowe (NIP, e-mail rozliczeniowy) | Świadczenie Usługi, fakturowanie, zgodność z prawem |
| Przypisania ról i uprawnień | Kontrola dostępu; kontekst dziennika audytu |
Retencja: Dane konta są przechowywane przez czas trwania subskrypcji Dzierżawcy plus 30 dni po rozwiązaniu. Dokumentacja rozliczeniowa: 5 lat (Ustawa o rachunkowości, art. 74).
Podstawa prawna: Uzasadniony interes (art. 6 ust. 1 lit. f RODO).
Każdy wiersz dziennika audytowego zawiera: tożsamość aktora (ID użytkownika, adres e-mail, adres IP, user-agent), wykonaną czynność, podsumowanie stanu przed i po, znacznik czasu i kryptograficzny skrót SHA-256.
Prawo do usunięcia — zastrzeżenie. Po zweryfikowanym żądaniu usunięcia pola danych osobowych w wierszach dziennika są pseudonimizowane: zastępowane stabilnym identyfikatorem znacznika (actor_tombstone_<uuid>). Rekord zdarzenia i łańcuch skrótów są zachowane.
Retencja: 35 dni (Starter), 90 dni (Professional), negocjowane minimum 90 dni (Enterprise).
Podstawa prawna: Uzasadniony interes (art. 6 ust. 1 lit. f RODO). Retencja: 90 dni kroczących.
Podstawa prawna: Umowa (powiadomienia o przepływach pracy); uzasadniony interes (ogłoszenia usługowe); zgoda (art. 6 ust. 1 lit. a — komunikacja marketingowa, wycofanie możliwe w dowolnym momencie). Retencja rekordów statusu wysyłki: 90 dni; rekordy zgody marketingowej: do wycofania + 3 lata.
Podstawa prawna: Uzasadniony interes (art. 6 ust. 1 lit. f RODO).
| Element danych | Cel |
|---|---|
| Imię i nazwisko | Spersonalizowana komunikacja |
| Adres e-mail | Odpowiadanie na zapytania |
| Stanowisko / rola | Zrozumienie kontekstu compliance |
| Nazwa organizacji | Identyfikacja organizacji i jej potrzeb |
| Notatki z rozmów | Utrzymanie ciągłości w rozmowach |
Retencja: 24 miesiące od ostatniego kontaktu. Wyślemy prośbę o ponowne potwierdzenie po 18 miesiącach.
| Kategoria | Okres przechowywania |
|---|---|
| Dane konta i użytkownika (aktywny Dzierżawca) | Czas trwania subskrypcji |
| Dane konta i użytkownika (po rozwiązaniu) | 30 dni po rozwiązaniu |
| Dziennik audytu — Starter | 35 dni krocących |
| Dziennik audytu — Professional | 90 dni krocących |
| Dziennik audytu — Enterprise | Negocjowane; minimum 90 dni |
| Dokumentacja rozliczeniowa | 5 lat od końca okresu rozliczeniowego |
| Logi bezpieczeństwa | 90 dni krocących |
| Rekordy statusu wysyłki e-mail | 90 dni |
| Rekordy zgody marketingowej | Do wycofania + 3 lata |
| Rekordy potencjalnych klientów | 24 miesiące od ostatniego kontaktu |
| Rekordy żądań usunięcia danych | 3 lata |
Dostęp do systemów produkcyjnych mają wyłącznie pracownicy z udokumentowaną, specyficzną dla roli potrzebą biznesową. Każdy taki dostęp wymaga MFA i jest rejestrowany w dzienniku audytowym.
Pełna lista ze szczegółowymi informacjami per podmiot jest opublikowana pod adresem /legal/subprocessors. Powiadomimy Dzierżawców co najmniej 30 dni przed dodaniem lub zastąpieniem podmiotu przetwarzającego.
| Podmiot przetwarzający | Cel | Kategorie danych | Region |
|---|---|---|---|
| Cloudflare, Inc. | CDN, WAF, Tunnel, magazyn R2 | Adresy IP i metadane żądań; zaszyfrowane pliki dowodowe i kopie zapasowe | R2: EU; CDN: globalny brzeg |
| Backblaze, Inc. | Zapasowy zaszyfrowany magazyn kopii zapasowych | Wyłącznie archiwa GPG-zaszyfrowane | EU (Amsterdam) |
| Microsoft Corporation (Graph API) | Wychodzące transakcyjne powiadomienia e-mail | Adres e-mail odbiorcy, imię, treść powiadomienia | Dzierżawa M365 EU |
HashiCorp Vault jest hostowany samodzielnie na naszym własnym VPS (region EU) i nie jest podmiotem przetwarzającym będącym osobą trzecią.
Możemy ujawnić dane osobowe, jeżeli jest to wymagane przez nakaz sądu lub obowiązek prawny. Ujawnienie ograniczymy do minimum wymaganego przez prawo.
Dane biznesowe klientów są przechowywane w regionie wybranym przy tworzeniu konta Dzierżawcy:
W przypadku gdy podmioty przetwarzające są zlokalizowane poza UE/EOG, zapewniamy odpowiednie zabezpieczenia na podstawie Rozdziału V RODO, w tym Standardowe Klauzule Umowne (SCK).
Aby skorzystać z któregokolwiek z praw, napisz na adres iod@parakscol.pl. Odpowiemy w ciągu 30 dni kalendarzowych.
| Prawo | Opis | Uwagi |
|---|---|---|
| Dostęp (art. 15) | Żądanie kopii danych osobowych i informacji o sposobie ich przetwarzania | Ustrukturyzowany eksport w formacie nadającym się do odczytu maszynowego |
| Sprostowanie (art. 16) | Żądanie poprawienia niedokładnych danych | Użytkownicy mogą sami aktualizować większość danych w ustawieniach |
| Usunięcie (art. 17) | Żądanie usunięcia danych osobowych | Zob. zastrzeżenie dot. pseudonimizacji dziennika audytu w §2.2 |
| Ograniczenie przetwarzania (art. 18) | Żądanie ograniczenia przetwarzania w trakcie rozstrzygania sporu | — |
| Przenoszenie danych (art. 20) | Otrzymanie danych w formacie JSON lub CSV | Dotyczy danych przetwarzanych na podstawie umowy lub zgody |
| Sprzeciw (art. 21) | Sprzeciw wobec przetwarzania opartego na uzasadnionym interesie | Zaprzestaniemy przetwarzania, chyba że możemy wykazać nadrzędne podstawy |
| Wycofanie zgody (art. 7 ust. 3) | Wycofanie zgody w dowolnym momencie (marketing) | Nie wpływa na zgodność z prawem przetwarzania sprzed wycofania |
| Brak profilowania (art. 22) | Nie stosujemy zautomatyzowanego podejmowania decyzji | — |
Masz prawo wnieść skargę do Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl, e-mail: kancelaria@uodo.gov.pl.
Pełny opis techniczny jest opublikowany pod adresem /legal/security.
| Środek | Implementacja |
|---|---|
| Izolacja dzierżawców | FORCE ROW LEVEL SECURITY PostgreSQL na wszystkich tabelach powiązanych z dzierżawcami |
| Szyfrowanie w spoczynku | Wolumin VPS LUKS; kopie zapasowe GPG; szyfrowanie kopertowe Vault; szyfrowanie R2 |
| Szyfrowanie w transmisji | TLS 1.3 przez Cloudflare; HSTS preload; mTLS Cloudflare Tunnel |
| Uwierzytelnianie | Argon2id; obowiązkowe MFA TOTP; passkeys WebAuthn; SSO OIDC/SAML |
| Kontrola dostępu | RBAC; zasada minimalnych uprawnień; dostęp do produkcji wymaga MFA i jest rejestrowany |
| Rejestrowanie audytu | Odporny na manipulacje łańcuch skrótów SHA-256; rola DB tylko do dołączania |
| Kopie zapasowe | Polityka 3-2-1: R2 (podstawowy) + Backblaze B2 (zapasowy); kwartalne testy przywracania |
| Zarządzanie sekretami | HashiCorp Vault; sekrety nieutrwalane na dysku; krótkotrwałe tokeny AppRole |
Nie prowadzimy zautomatyzowanego podejmowania decyzji ani profilowania w rozumieniu art. 22 RODO, które wywołują skutki prawne lub inne podobnie istotne skutki.
Pełna informacja o plikach cookie jest dostępna pod adresem /legal/cookies. Używamy wyłącznie bezwzględnie koniecznych plików cookie: sessionid i csrftoken. Brak plików cookie śledzenia podmiotów trzecich.
Usługa nie jest skierowana do osób poniżej 18 roku życia. Nie zbieramy świadomie danych osobowych od dzieci. W przypadku odkrycia takiej sytuacji skontaktuj się z nami pod adresem iod@parakscol.pl.
Powiadomimy Administratorów Dzierżawców o istotnych zmianach co najmniej 30 dni przed wejściem zmian w życie — drogą e-mailową oraz przez powiadomienie na pulpicie nawigacyjnym Usługi.
| Cel | Kontakt |
|---|---|
| Zapytania dotyczące prywatności i wnioski o realizację praw | iod@parakscol.pl |
| Administrator danych (adres rejestrowy) | zob. /legal/imprint |
| Inspektor Ochrony Danych | [DO UZUPEŁNIENIA] |
| Organ nadzorczy | Urząd Ochrony Danych Osobowych (UODO) — uodo.gov.pl |