Polityka Prywatności

Ostatnia aktualizacja: luty 2026 | Wersja 2.0

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest ITEON.pl Leszek Szpunar z siedzibą w Warszawie (dalej: 'Administrator').

Administrator nie jest zobowiązany do wyznaczenia Inspektora Ochrony Danych (IOD) na podstawie art. 37 ust. 1 RODO, ponieważ przetwarzanie danych nie stanowi głównej działalności wymagającej regularnego i systematycznego monitorowania osób na dużą skalę.

W sprawach związanych z ochroną danych osobowych prosimy o kontakt:

ul. Szamocka 12/136, 01-748 Warszawa

NIP: 815 173 84 17

REGON: 180452188

+48 603 892 927

prywatnosc@iteon.pl

2. Cele i podstawy prawne przetwarzania

Przetwarzamy dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Poniżej przedstawiamy szczegółowe cele przetwarzania:

Cel	Dane	Podstawa prawna	Retencja
Formularz kontaktowy	Imię, e-mail, telefon, treść wiadomości, adres IP	Art. 6 ust. 1 lit. b RODO (działania przed zawarciem umowy) oraz lit. f (prawnie uzasadniony interes - udzielenie odpowiedzi)	Do zakończenia korespondencji + 3 lata (okres przedawnienia roszczeń)
Newsletter	Adres e-mail	Art. 6 ust. 1 lit. a RODO (zgoda) w połączeniu z art. 10 USUDE i art. 172 Prawa telekomunikacyjnego	Do wycofania zgody
Analityka (PostHog)	Dane behawioralne, adres IP (anonimizowany), dane sesji, typ urządzenia	Art. 6 ust. 1 lit. a RODO (zgoda wyrażona przez baner cookies)	12 miesięcy
Monitorowanie błędów (Sentry)	Stack traces, dane przeglądarki, adres IP	Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes - bezpieczeństwo i ciągłość usługi)	90 dni
Panel Klienta (SSO)	Adres e-mail firmowy, dane uwierzytelniające Microsoft Entra	Art. 6 ust. 1 lit. b RODO (wykonanie umowy)	Do usunięcia konta
E-commerce / Fakturowanie	Dane firmy, NIP, adres, dane do faktury	Art. 6 ust. 1 lit. b (wykonanie umowy) oraz lit. c (obowiązek prawny - ustawa o rachunkowości)	5 lat (obowiązek podatkowy)
Marketing bezpośredni	Adres e-mail	Art. 6 ust. 1 lit. a RODO (zgoda) w połączeniu z art. 10 USUDE i art. 172 Prawa telekomunikacyjnego	Do wycofania zgody
Dochodzenie roszczeń	Wszystkie zebrane dane w zakresie niezbędnym	Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes)	Okres przedawnienia roszczeń (3-6 lat)

3. Odbiorcy danych (Procesory danych)

W celu realizacji usług korzystamy z zaufanych podwykonawców (Podmiotów Przetwarzających), z którymi zawarte zostały umowy powierzenia przetwarzania danych (DPA):

Podmiot	Kraj	Dane	Podstawa
PostHog Inc.	USA (hosting w EU, Frankfurt)	Analityka produktowa, nagrywanie sesji	DPF + SCCs
Functional Software Inc. (Sentry)	USA	Śledzenie błędów, monitorowanie wydajności	DPF + SCCs
Resend Inc.	USA	Doręczanie wiadomości e-mail transakcyjnych i newslettera	DPF + SCCs
Upstash Inc.	USA (infrastruktura AWS EU)	Rate limiting, dane o żądaniach (adres IP)	SCCs
mydevil.net (Admin.net.pl Sp. z o.o.)	Polska (EU)	Hosting i infrastruktura serwerowa - całość danych	RODO (przetwarzanie w EOG)
Microsoft Corporation (Azure / Entra ID)	Irlandia / USA	Zarządzanie tożsamością (SSO), uwierzytelnianie	DPF + SCCs

4. Transfer danych do państw trzecich

Niektórzy z naszych partnerów technologicznych (Microsoft, Sentry, Resend, Upstash) mogą przetwarzać dane w Stanach Zjednoczonych.

Transfery danych do USA opierają się na decyzji wykonawczej Komisji Europejskiej z dnia 10 lipca 2023 r. ustanawiającej EU-US Data Privacy Framework (DPF) jako zapewniający odpowiedni stopień ochrony danych.

Dla podmiotów niecertyfikowanych w ramach DPF stosujemy Standardowe Klauzule Umowne (SCCs) zatwierdzone przez Komisję Europejską, zgodnie z wymogami wyroku TSUE w sprawie Schrems II (C-311/18).

PostHog przechowuje dane analityczne w regionie EU (Frankfurt, Niemcy), co oznacza, że dane nie opuszczają Europejskiego Obszaru Gospodarczego.

mydevil.net przechowuje wszystkie dane w Polsce - brak transferu poza EOG.

Użytkownik ma prawo do uzyskania kopii stosowanych zabezpieczeń (SCCs) - prosimy o kontakt na adres prywatnosc@iteon.pl.

5. Prawa osoby, której dane dotyczą

Na podstawie art. 15-21 RODO przysługują Ci następujące prawa:

Prawo dostępu (art. 15 RODO) - Masz prawo uzyskać potwierdzenie, czy przetwarzamy Twoje dane, a także kopię tych danych.

Prawo do sprostowania (art. 16 RODO) - Masz prawo żądać poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.

Prawo do usunięcia (art. 17 RODO) - Masz prawo żądać usunięcia danych ('prawo do bycia zapomnianym'), z wyjątkiem gdy przetwarzanie jest niezbędne do wywiązania się z obowiązku prawnego lub dochodzenia roszczeń.

Prawo do ograniczenia przetwarzania (art. 18 RODO) - Masz prawo żądać ograniczenia przetwarzania danych w określonych przypadkach.

Prawo do przenoszenia danych (art. 20 RODO) - Masz prawo otrzymać swoje dane w ustrukturyzowanym formacie nadającym się do odczytu maszynowego (JSON/CSV).

Prawo do sprzeciwu (art. 21 RODO) - Masz prawo wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie. Sprzeciw wobec marketingu bezpośredniego jest bezwzględny.

Prawo do wycofania zgody (art. 7 ust. 3 RODO) - Zgodę możesz wycofać w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.

Żądania możesz składać drogą elektroniczną na adres: prywatnosc@iteon.pl lub listownie na adres siedziby Administratora. Termin realizacji żądań: 30 dni (art. 12 ust. 3 RODO).

Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, strona: https://uodo.gov.pl

6. Profilowanie i zautomatyzowane podejmowanie decyzji

Serwis NIE podejmuje zautomatyzowanych decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na Użytkownika (art. 22 RODO).

PostHog tworzy profile behawioralne wyłącznie w celach statystycznych i optymalizacji interfejsu Serwisu.

PostHog Session Recording umożliwia nagrywanie sesji użytkowników (ruchy myszy, kliknięcia) wyłącznie w celu identyfikacji i naprawy problemów UX. Nagrywanie odbywa się wyłącznie po wyrażeniu zgody na kategorię 'Analityczne' w banerze cookies. Wszystkie dane wejściowe są maskowane (maskAllInputs: true).

Funkcja Autocapture w PostHog zbiera teksty klikniętych elementów interfejsu w celach analitycznych.

7. Bezpieczeństwo danych

Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych (art. 32 RODO):

Szyfrowanie transmisji: TLS 1.2+ (HTTPS) dla wszystkich połączeń
Content Security Policy (CSP) z dynamicznym nonce - ochrona przed XSS
Rate limiting (Upstash Redis) - ochrona przed atakami brute-force i DDoS
Pola honeypot w formularzach - ochrona przed botami i spamem
Maskowanie danych wejściowych w nagraniach sesji PostHog
Regularne aktualizacje oprogramowania i zależności
Dostęp do danych ograniczony wyłącznie do Administratora
Sentry skonfigurowany z wyłączonym przechowywaniem adresów IP

8. Zmiany Polityki Prywatności

Administrator zastrzega sobie prawo do aktualizacji niniejszej Polityki Prywatności w celu dostosowania jej do zmian w przepisach prawa lub stosowanych technologiach.

O istotnych zmianach powiadomimy drogą elektroniczną (posiadaczy konta, subskrybentów Newslettera) lub poprzez komunikat na stronie Serwisu.

Aktualna wersja Polityki Prywatności jest zawsze dostępna pod adresem: iteon.pl/polityka-prywatnosci

Historia zmian dokumentu dostępna na żądanie.

Zobacz również: Regulamin | Polityka Cookies