Rola administratora i podmiotu przetwarzającego
Administratorem danych odwiedzających, użytkowników kont, rozliczeń, wsparcia i sprzedaży jest Dawid Sobolewski, świadczący Konfi Cloud jako indywidualny dostawca usługi z siedzibą w Polsce. E-mail kontaktowy: support@getkonfi.com. Konfi Cloud nie jest zarejestrowane do VAT w Polsce; płatne plany sprzedaje Konfi Cloud jako sprzedawca i dostawca usługi, a Stripe obsługuje płatności i oblicza należne podatki przy zakupie. Publiczny adres do korespondencji jest udostępniany na żądanie pod ten adres e-mail.
Dla danych osobowych wgrywanych przez klientów biznesowych do przestrzeni roboczych klient jest zwykle administratorem, a dostawca działa jako podmiot przetwarzający na podstawie umowy powierzenia, chyba że odrębne ustalenia stanowią inaczej.
Kategorie danych osobowych
- Dane konta, takie jak imię i nazwisko, e-mail, identyfikatory uwierzytelniania, status MFA i metadane logowania.
- Dane przestrzeni roboczych, takie jak nazwa firmy, adres przestrzeni, plan, status rozliczeń, członkowie, limity i stan integracji.
- Dane treści klienta wprowadzane do przestrzeni, w tym zamówienia, klienci, produkty, pliki, notatki, historia statusów i kontekst operacyjny.
- Dane rozliczeniowe i płatnicze obsługiwane bezpośrednio lub pośrednio przez Stripe jako operatora płatności, w tym wybór planu, stan subskrypcji, faktury, dane podatkowe i identyfikatory płatności.
- Dane techniczne, takie jak adres IP, urządzenie i przeglądarka, logi żądań, diagnostyka, raporty błędów, logi bezpieczeństwa i identyfikatory cookies lub danych zapisanych w przeglądarce.
- Komunikacja wsparcia i sprzedaży wysłana e-mailem, formularzami, przepływami konta albo kanałami obsługiwanymi przez operatora.
Cele i podstawy prawne
- Tworzenie i utrzymanie kont, sesji, przestrzeni roboczych, onboardingu, uwierzytelniania i MFA - wykonanie umowy albo działania przed zawarciem umowy.
- Udostępnianie funkcji SaaS, limitów, integracji, wsparcia i administracji klienta - wykonanie umowy i prawnie uzasadnione interesy.
- Rozliczenia, podatki, księgowość, przeciwdziałanie nadużyciom, windykacja i audyt - obowiązki prawne oraz prawnie uzasadnione interesy.
- Monitoring bezpieczeństwa, przeciwdziałanie nadużyciom, reakcja na incydenty, monitoring dostępności, logi i diagnostyka - prawnie uzasadnione interesy oraz obowiązki prawne, gdy mają zastosowanie.
- Analityka produktu (Firebase Analytics) oraz opcjonalna komunikacja marketingowa - zgoda.
- Ustalenie, dochodzenie albo obrona roszczeń - prawnie uzasadnione interesy.
Odbiorcy i podmioty przetwarzające
- Google LLC – Firebase Authentication, App Check, Firestore i Firebase Analytics, które przechowują dane konta, przestrzeni roboczych i tenantów oraz dostarczają zagregowanej analityki produktu.
- Google LLC – logowanie przez Google, gdy użytkownik wybierze tę metodę uwierzytelniania.
- Stripe jako operator płatności dla płatnego procesu zakupu, subskrypcji, obsługi płatności, obliczania podatków, faktur i zdarzeń rozliczeniowych.
- Vercel Inc. – hosting aplikacji, dostarczanie treści na edge, logi żądań oraz obsługa domen.
- Resend, Inc. – wysyłka i odbiór e-maili transakcyjnych (linki logowania, powiadomienia rozliczeniowe, korespondencja wsparcia).
- Functional Software, Inc. (Sentry) – śledzenie błędów klienta i serwera.
- Doradcy zawodowi, księgowość, kancelarie, organy publiczne i sądy, gdy wymaga tego prawo albo jest to potrzebne do roszczeń.
- Środowiska uruchomieniowe Konfi i dostawcy integracji wybrani przez klienta, tacy jak Allegro albo mosty do instancji dedykowanej.
- Pełna i aktualna lista podwykonawców, wraz z lokalizacją przetwarzania i zabezpieczeniami transferu, jest publikowana na stronie Podwykonawcy.
Transfery międzynarodowe
Niektórzy dostawcy przetwarzają dane osobowe poza Europejskim Obszarem Gospodarczym, głównie w Stanach Zjednoczonych (Google, Stripe, Resend, Vercel, Sentry). Transfery opierają się na decyzjach Komisji Europejskiej stwierdzających odpowiedni poziom ochrony, gdy mają zastosowanie (w tym EU-US Data Privacy Framework, gdy dostawca jest certyfikowany), oraz na standardowych klauzulach umownych z dodatkowymi środkami bezpieczeństwa w pozostałych przypadkach.
Strona Podwykonawcy wskazuje lokalizację przetwarzania i mechanizm transferu dla każdego dostawcy.
Retencja
- Dane konta i przestrzeni w Firebase Authentication i Firestore są przechowywane, dopóki konto lub przestrzeń są aktywne, i usuwane w ciągu 30 dni od zamknięcia konta, chyba że okno kopii zapasowej albo otwarte roszczenie wymagają dłuższego przechowywania.
- Dokumenty rozliczeniowe i faktury (obsługiwane przez Stripe jako operatora płatności, a także ewentualne kopie po stronie naszego centrum zarządzania) są przechowywane przez 5 lat liczonych od końca roku obrotowego, zgodnie z ustawą o rachunkowości i przepisami VAT.
- Logi żądań i logi bezpieczeństwa/audytu hostowane na Vercel są przechowywane do 30 dni dla potrzeb operacyjnych i bezpieczeństwa, a następnie usuwane, chyba że konkretny incydent wymaga dłuższego przechowywania.
- Diagnostyka błędów i wydajności w Sentry: zdarzenia błędów do 90 dni, zgodnie z domyślną retencją Sentry. Session replay nie jest włączone.
- Zagregowane dane użycia w Firebase Analytics są przechowywane do 14 miesięcy (domyślna retencja danych użytkownika w Google Analytics 4).
- Metadane e-maili transakcyjnych w Resend są przechowywane do 30 dni; dostawca nie przechowuje treści wiadomości w długim okresie.
- Zapisy zgód na cookies i inne zgody są przechowywane przez okres obowiązywania zgody i do 3 lat, aby móc wykazać udzielenie lub cofnięcie zgody.
- Treści przestrzeni klienta (kontrolowane przez klienta) są przechowywane zgodnie z planem klienta, ustawieniami usuwania i umową powierzenia; domyślne usunięcie po zamknięciu następuje po 30 dniach, chyba że klient lub przepisy wymagają inaczej.
Prawa osoby, której dane dotyczą
- Prawo dostępu do danych osobowych.
- Prawo sprostowania nieprawidłowych danych.
- Prawo usunięcia danych, gdy spełnione są warunki prawne.
- Prawo ograniczenia przetwarzania.
- Prawo przenoszenia danych, gdy przetwarzanie opiera się na zgodzie albo umowie i odbywa się w sposób zautomatyzowany.
- Prawo sprzeciwu wobec przetwarzania na podstawie prawnie uzasadnionych interesów.
- Prawo cofnięcia zgody w dowolnym momencie, gdy przetwarzanie opiera się na zgodzie.
- Prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych w Polsce.
Zautomatyzowane podejmowanie decyzji
Konfi Cloud nie używa danych osobowych do zautomatyzowanych decyzji, które wywołują skutki prawne albo podobnie istotne skutki wobec odwiedzających lub użytkowników kont.
Produkt może automatycznie stosować limity planu, kontrole bezpieczeństwa albo ograniczenia wynikające ze stanu rozliczeń. Te kontrole wspierają wykonanie umowy i bezpieczeństwo platformy oraz powinny być opisane w przepływach planu i rozliczeń.
Kontakt
Wnioski dotyczące prywatności należy wysyłać na support@getkonfi.com.
Gdy wniosek dotyczy danych kontrolowanych przez klienta w przestrzeni roboczej, dostawca może skierować osobę do tego klienta albo obsłużyć wniosek zgodnie z umową powierzenia.