Niniejsza polityka opisuje, jakie dane osobowe zbieramy w serwisie nipdata.pl, w jakim celu, na jakiej podstawie prawnej i jakie masz prawa.
W skrócie: Zbieramy minimum danych potrzebnych do świadczenia usługi. Nie sprzedajemy danych. Nie używamy reklamowych plików cookie. Możesz w każdej chwili usunąć swoje konto.
§ 1. Administrator danych
Administratorem Twoich danych osobowych jest:
2SECURE Spółka z ograniczoną odpowiedzialnością
ul. Żelazna 51/53, 00-841 Warszawa
NIP 5273147526, REGON 363633707, KRS 0000601612
E-mail kontaktowy: kontakt@nipdata.pl
§ 2. Jakie dane zbieramy
2.1. Dane podawane przy rejestracji
- Adres e-mail (login do panelu, kontakt rozliczeniowy)
- Hasło (przechowywane jako hash argon2id, niemożliwe do odczytania)
2.2. Dane firmowe (do wystawienia faktury VAT)
- Nazwa firmy, NIP, REGON, KRS
- Adres siedziby (ulica, kod, miasto, kraj)
- Imię i nazwisko osoby kontaktowej
- Telefon (opcjonalnie)
2.3. Dane techniczne (zbierane automatycznie)
- Adres IP — w logach access logu serwera (przechowywane 30 dni)
- User-Agent przeglądarki / klienta API
- Czas i metryki zapytań do API (do monitoringu i rozliczeń)
- Cookies sesyjne (zob. § 7)
2.4. Dane płatnicze
Płatności obsługuje iMoje (ING Bank Śląski S.A.). Numery kart, numery rachunków bankowych ani inne dane wrażliwe nie są przechowywane w naszej infrastrukturze. Otrzymujemy jedynie status transakcji, kwotę i numer faktury.
§ 3. Cele i podstawy prawne przetwarzania
| Cel | Podstawa prawna (RODO) | Okres |
|---|---|---|
| Świadczenie usługi (Konto, API) | art. 6 ust. 1 lit. b — wykonanie umowy | do usunięcia konta |
| Wystawianie faktur VAT | art. 6 ust. 1 lit. c — obowiązek prawny (ustawa o VAT) | 5 lat od końca roku rozliczeniowego |
| Obsługa reklamacji | art. 6 ust. 1 lit. b/c | 3 lata |
| Rozliczenia / dochodzenie roszczeń | art. 6 ust. 1 lit. f — uzasadniony interes | do upływu terminu przedawnienia |
| Logi bezpieczeństwa, fraud detection | art. 6 ust. 1 lit. f — uzasadniony interes | 30 dni |
| Marketing własny (info o nowych funkcjach) | art. 6 ust. 1 lit. f / zgoda | do wycofania zgody |
§ 4. Komu przekazujemy dane
Twoje dane mogą być przekazane następującym podmiotom przetwarzającym (wyłącznie w celu świadczenia usługi):
- Hostingodawca — OVH SAS (Francja, EOG) — serwery, infrastruktura
- iMoje (ING Bank Śląski S.A.) — operator płatności
- Fakturownia Sp. z o.o. — wystawianie i wysyłka faktur VAT
- Postmark (ActiveCampaign LLC, USA) — wysyłka transakcyjnych e-maili (Standard Contractual Clauses)
- Doradcy prawni, podatkowi, biuro rachunkowe — w razie potrzeby
- Organy państwowe — wyłącznie na podstawie obowiązku prawnego
Nie sprzedajemy Twoich danych osobowych ani nie udostępniamy ich do celów marketingowych podmiotom trzecim.
§ 5. Przekazywanie danych poza EOG
Dane są przetwarzane głównie w Polsce i w UE. W przypadku Postmark (USA) korzystamy z mechanizmu Standardowych Klauzul Umownych zatwierdzonych przez Komisję Europejską.
§ 6. Twoje prawa (RODO)
Masz prawo do:
- Dostępu do swoich danych — zażądaj kopii e-mailem
- Sprostowania nieprawidłowych danych — możesz to zrobić samodzielnie w panelu
- Usunięcia („prawo do bycia zapomnianym") — kontakt na kontakt@nipdata.pl
- Ograniczenia przetwarzania
- Przenoszenia danych (eksport JSON na żądanie)
- Sprzeciwu wobec przetwarzania w celu marketingu
- Wycofania zgody w dowolnym momencie (gdy podstawą jest zgoda)
- Wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa)
Wnioski rozpatrujemy w ciągu 30 dni. W przypadkach skomplikowanych — do 90 dni.
§ 7. Pliki cookie
7.1. Co to są cookies
Cookies to małe pliki tekstowe zapisywane przez Twoją przeglądarkę. Pomagają zapamiętać Twoje preferencje i utrzymać Cię zalogowanego.
7.2. Jakich cookies używamy
| Nazwa | Cel | Czas życia | Typ |
|---|---|---|---|
user_session | Sesja zalogowanego użytkownika | 30 dni | Niezbędne |
csrf_token | Ochrona przed CSRF | Sesja | Niezbędne |
nipdata_cookie_consent_v1 | Zapamiętanie Twoich preferencji cookie | 1 rok (localStorage) | Niezbędne |
7.3. Cookies niezbędne
Niezbędne cookies są wymagane do działania serwisu (logowanie, koszyk, ochrona przed atakami) i nie wymagają zgody — ich blokada uniemożliwi korzystanie z usługi.
7.4. Cookies analityczne
Aktualnie nie używamy cookies analitycznych ani narzędzi typu Google Analytics. Jeżeli w przyszłości wprowadzimy taką funkcjonalność (np. Plausible Analytics, Umami), będzie to opt-in — załączysz ją sam w bannerze cookie.
7.5. Cookies marketingowe
Nie używamy cookies marketingowych ani retargetingowych. Nie współpracujemy z sieciami reklamowymi.
7.6. Zarządzanie cookies
Możesz w każdej chwili zmienić swoje preferencje klikając „Ustawienia cookies" w stopce strony lub wyczyścić preferencje w przeglądarce (zob. instrukcje dla Chrome, Firefox, Safari).
§ 8. Bezpieczeństwo danych
- Wszystkie połączenia zabezpieczone są certyfikatem TLS 1.3 (HTTPS).
- Hasła są hashowane algorytmem argon2id z solą per-user.
- Dostęp do bazy danych ograniczony do wewnętrznej sieci serwera.
- Klucze API są wysyłane w nagłówku Authorization Bearer i nigdy nie pojawiają się w URL ani logach.
- Dostęp administracyjny do infrastruktury wymaga 2FA i odbywa się wyłącznie z zaufanych adresów IP.
- Regularne kopie zapasowe bazy danych (codzienne, przechowywane 30 dni).
§ 9. Dane firmowe pozyskiwane przez API
Dane firmowe (NIP, nazwa, adres, KRS, status VAT itp.) zwracane przez API nie są danymi osobowymi w rozumieniu RODO — pochodzą z publicznie dostępnych rejestrów państwowych (GUS, KRS, CEIDG, VIES, Biała Lista MF).
W przypadku jednoosobowych działalności gospodarczych (CEIDG) dane mogą zawierać imię i nazwisko przedsiębiorcy — są one publicznie udostępniane przez Ministerstwo Rozwoju w oficjalnym rejestrze i przetwarzane w celach prawnie uzasadnionych przez naszych Klientów (art. 6 ust. 1 lit. f RODO).
§ 10. Zmiany polityki
Zastrzegamy sobie prawo do aktualizacji niniejszej polityki. O istotnych zmianach poinformujemy e-mailem na adres podany przy rejestracji, z 14-dniowym wyprzedzeniem.
§ 11. Kontakt
W sprawach związanych z przetwarzaniem danych osobowych skontaktuj się z nami:
2SECURE Sp. z o.o.
ul. Żelazna 51/53, 00-841 Warszawa
E-mail: kontakt@nipdata.pl
Niniejsza polityka jest zgodna z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO/GDPR) oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych.