Polityka Prywatności
Ostatnia aktualizacja: czerwiec 2026 | Wersja 2.1
1. Administrator danych osobowych
Administratorem Twoich danych osobowych jest ITEON.pl Leszek Szpunar z siedzibą w Warszawie (dalej: 'Administrator').
Administrator nie jest zobowiązany do wyznaczenia Inspektora Ochrony Danych (IOD) na podstawie art. 37 ust. 1 RODO, ponieważ przetwarzanie danych nie stanowi głównej działalności wymagającej regularnego i systematycznego monitorowania osób na dużą skalę.
W sprawach związanych z ochroną danych osobowych prosimy o kontakt:
2. Cele i podstawy prawne przetwarzania
Przetwarzamy dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Poniżej przedstawiamy szczegółowe cele przetwarzania:
| Cel | Dane | Podstawa prawna | Retencja |
|---|---|---|---|
| Formularz kontaktowy | Imię, e-mail, telefon, treść wiadomości, adres IP | Art. 6 ust. 1 lit. b RODO (działania przed zawarciem umowy) oraz lit. f (prawnie uzasadniony interes - udzielenie odpowiedzi) | Do zakończenia korespondencji + 3 lata (okres przedawnienia roszczeń) |
| Newsletter | Adres e-mail | Art. 6 ust. 1 lit. a RODO (zgoda) w połączeniu z art. 10 USUDE i art. 172 Prawa telekomunikacyjnego | Do wycofania zgody |
| Analityka (PostHog) | Dane behawioralne, adres IP (anonimizowany), dane sesji, typ urządzenia | Art. 6 ust. 1 lit. a RODO (zgoda wyrażona przez baner cookies) | 12 miesięcy |
| Analityka ruchu (Google Analytics 4) | Dane behawioralne, adres IP (anonimizowany przez Google), identyfikatory cookies, dane sesji, typ urządzenia | Art. 6 ust. 1 lit. a RODO (zgoda wyrażona przez baner cookies) | 14 miesięcy |
| Analiza zachowań (Microsoft Clarity) | Nagrania sesji (maskowane), mapy cieplne, adres IP, dane przeglądarki | Art. 6 ust. 1 lit. a RODO (zgoda wyrażona przez baner cookies) | Zgodnie z polityką Microsoft (do 12 miesięcy) |
| Monitorowanie błędów (Sentry) | Stack traces, dane przeglądarki, adres IP | Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes - bezpieczeństwo i ciągłość usługi) | 90 dni |
| Panel Klienta (SSO) | Adres e-mail firmowy, dane uwierzytelniające Microsoft Entra | Art. 6 ust. 1 lit. b RODO (wykonanie umowy) | Do usunięcia konta |
| E-commerce / Fakturowanie | Dane firmy, NIP, adres, dane do faktury | Art. 6 ust. 1 lit. b (wykonanie umowy) oraz lit. c (obowiązek prawny - ustawa o rachunkowości) | 5 lat (obowiązek podatkowy) |
| Marketing bezpośredni | Adres e-mail | Art. 6 ust. 1 lit. a RODO (zgoda) w połączeniu z art. 10 USUDE i art. 172 Prawa telekomunikacyjnego | Do wycofania zgody |
| Asystent głosowy AI (rozmowy telefoniczne) | Numer telefonu, transkrypcja rozmowy, podsumowanie i wnioski AI, czas trwania połączenia | Art. 6 ust. 1 lit. a RODO (odrębna, wyraźna zgoda) w połączeniu z art. 172 Prawa telekomunikacyjnego. Asystent przedstawia się jako system automatyczny (AI Act, art. 50) | Treść transkrypcji anonimizowana po 90 dniach |
| Dochodzenie roszczeń | Wszystkie zebrane dane w zakresie niezbędnym | Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes) | Okres przedawnienia roszczeń (3-6 lat) |
3. Odbiorcy danych (Procesory danych)
W celu realizacji usług korzystamy z zaufanych podwykonawców (Podmiotów Przetwarzających), z którymi zawarte zostały umowy powierzenia przetwarzania danych (DPA):
| Podmiot | Kraj | Dane | Podstawa |
|---|---|---|---|
| PostHog Inc. | USA (hosting w EU, Frankfurt) | Analityka produktowa, nagrywanie sesji | DPF + SCCs |
| Google Ireland Limited | Irlandia / USA | Statystyki ruchu i analityka odwiedzin (Google Analytics 4) | DPF + SCCs |
| Microsoft Ireland Operations Ltd. (Clarity) | Irlandia / USA | Nagrania sesji i mapy cieplne (Microsoft Clarity) | SCCs |
| Functional Software Inc. (Sentry) | USA | Śledzenie błędów, monitorowanie wydajności | DPF + SCCs |
| Resend Inc. | USA | Doręczanie wiadomości e-mail transakcyjnych i newslettera | DPF + SCCs |
| Upstash Inc. | USA (infrastruktura AWS EU) | Rate limiting, dane o żądaniach (adres IP) | SCCs |
| mydevil.net (Admin.net.pl Sp. z o.o.) | Polska (EU) | Hosting i infrastruktura serwerowa - całość danych | RODO (przetwarzanie w EOG) |
| Microsoft Corporation (Azure / Entra ID) | Irlandia / USA | Zarządzanie tożsamością (SSO), uwierzytelnianie | DPF + SCCs |
| ElevenLabs Inc. | USA | Asystent głosowy AI: prowadzenie rozmowy, synteza mowy, transkrypcja (za odrębną zgodą) | DPA + SCCs |
| Twilio Ireland Ltd. | Irlandia / USA | Realizacja połączeń telefonicznych (numer telefonu, metadane połączenia) | DPA + SCCs (Twilio Binding Corporate Rules) |
4. Transfer danych do państw trzecich
Niektórzy z naszych partnerów technologicznych (Google, Microsoft, Sentry, Resend, Upstash, ElevenLabs, Twilio) mogą przetwarzać dane w Stanach Zjednoczonych.
Transfery danych do USA opierają się na decyzji wykonawczej Komisji Europejskiej z dnia 10 lipca 2023 r. ustanawiającej EU-US Data Privacy Framework (DPF) jako zapewniający odpowiedni stopień ochrony danych.
Dla podmiotów niecertyfikowanych w ramach DPF stosujemy Standardowe Klauzule Umowne (SCCs) zatwierdzone przez Komisję Europejską, zgodnie z wymogami wyroku TSUE w sprawie Schrems II (C-311/18).
PostHog przechowuje dane analityczne w regionie EU (Frankfurt, Niemcy), co oznacza, że dane nie opuszczają Europejskiego Obszaru Gospodarczego.
mydevil.net przechowuje wszystkie dane w Polsce - brak transferu poza EOG.
Użytkownik ma prawo do uzyskania kopii stosowanych zabezpieczeń (SCCs) - prosimy o kontakt na adres prywatnosc@iteon.pl.
5. Prawa osoby, której dane dotyczą
Na podstawie art. 15-21 RODO przysługują Ci następujące prawa:
Żądania możesz składać drogą elektroniczną na adres: prywatnosc@iteon.pl lub listownie na adres siedziby Administratora. Termin realizacji żądań: 30 dni (art. 12 ust. 3 RODO).
Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, strona: https://uodo.gov.pl
6. Profilowanie i zautomatyzowane podejmowanie decyzji
Serwis NIE podejmuje zautomatyzowanych decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na Użytkownika (art. 22 RODO).
PostHog tworzy profile behawioralne wyłącznie w celach statystycznych i optymalizacji interfejsu Serwisu.
PostHog Session Recording umożliwia nagrywanie sesji użytkowników (ruchy myszy, kliknięcia) wyłącznie w celu identyfikacji i naprawy problemów UX. Nagrywanie odbywa się wyłącznie po wyrażeniu zgody na kategorię 'Analityczne' w banerze cookies. Wszystkie dane wejściowe są maskowane (maskAllInputs: true).
Funkcja Autocapture w PostHog zbiera teksty klikniętych elementów interfejsu w celach analitycznych.
W ramach obsługi zapytań ofertowych w platformie ITEON stosujemy profilowanie w rozumieniu art. 4 pkt 4 RODO: wskaźnik zaangażowania (lead score) oraz automatyczne podsumowania i wnioski z rozmów z asystentem AI. Służą one wyłącznie priorytetyzacji obsługi przez człowieka i nie wywołują skutków prawnych. Przysługuje Ci prawo sprzeciwu (art. 21 RODO).
7. Bezpieczeństwo danych
Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych (art. 32 RODO):
- Szyfrowanie transmisji: TLS 1.2+ (HTTPS) dla wszystkich połączeń
- Content Security Policy (CSP) z dynamicznym nonce - ochrona przed XSS
- Rate limiting (Upstash Redis) - ochrona przed atakami brute-force i DDoS
- Pola honeypot w formularzach - ochrona przed botami i spamem
- Maskowanie danych wejściowych w nagraniach sesji PostHog
- Regularne aktualizacje oprogramowania i zależności
- Dostęp do danych ograniczony wyłącznie do Administratora
- Sentry skonfigurowany z wyłączonym przechowywaniem adresów IP
8. Zmiany Polityki Prywatności
Administrator zastrzega sobie prawo do aktualizacji niniejszej Polityki Prywatności w celu dostosowania jej do zmian w przepisach prawa lub stosowanych technologiach.
O istotnych zmianach powiadomimy drogą elektroniczną (posiadaczy konta, subskrybentów Newslettera) lub poprzez komunikat na stronie Serwisu.
Aktualna wersja Polityki Prywatności jest zawsze dostępna pod adresem: iteon.pl/polityka-prywatnosci
Historia zmian dokumentu dostępna na żądanie.
Zobacz również: Regulamin | Polityka Cookies