Polityka prywatności
Ostatnia aktualizacja: 17 czerwca 2026 · Wersja 1.0 · Informacja RODO (GDPR)
1. Dwie role: administrator vs podmiot przetwarzający
Niniejsza Polityka wyjaśnia, jak EpicCRM postępuje z danymi osobowymi w dwóch sytuacjach:
- Jako administrator — w odniesieniu do danych odwiedzających stronę, posiadaczy kont i Użytkowników (np. rejestracja, rozliczenia, wsparcie). Tej sytuacji dotyczy ta Polityka.
- Jako podmiot przetwarzający — w odniesieniu do danych, które Ty (Klient) wprowadzasz do Usługi o swoich kontaktach. Wtedy to Ty jesteś administratorem, a my przetwarzamy dane na Twoje polecenie na podstawie Umowy powierzenia (DPA).
2. Administrator danych
Administratorem danych opisanych w pkt 1 (pierwszy podpunkt) jest Web Systems, przedsiębiorca wpisany do CEIDG, z siedzibą przy ul. Dąbrowskiego 249/23, 93-231 Łódź, NIP 7292462454.
Kontakt w sprawach danych: [email protected]. Nie powołaliśmy odrębnego Inspektora Ochrony Danych; sprawy prywatności obsługujemy pod tym adresem.
3. Jakie dane zbieramy
| Kategoria | Przykłady |
|---|---|
| Konto i tożsamość | Imię i nazwisko, e-mail, hasło (zahaszowane), nazwa organizacji, rola, plan. |
| Rozliczenia | Subskrypcja, miejsca, plan, metadane płatności. Dane kart obsługuje Stripe — nie przechowujemy pełnych numerów kart. |
| Dane techniczne i o korzystaniu | Logi, adres IP, dane przeglądarki/urządzenia, identyfikatory sesji, działania w aplikacji. |
| Wsparcie i komunikacja | Wiadomości do nas, zgłoszenia, korespondencja e-mail. |
| Marketing (opcjonalnie) | Jeśli wyrazisz zgodę, Twój e-mail może trafić na naszą listę e-mail marketingu (Mailcraft). |
| Tokeny integracji | Po podłączeniu kalendarza zewnętrznego (Google/Apple/CalDAV) przechowujemy tokeny lub dane dostępowe szyfrowane w spoczynku, wyłącznie do importu Twoich wydarzeń. |
4. Cele i podstawy prawne (art. 6 RODO)
| Cel | Podstawa prawna |
|---|---|
| Świadczenie Usługi, obsługa konta i Organizacji | Wykonanie umowy — art. 6 ust. 1 lit. b |
| Rozliczenia, fakturowanie, ewidencja podatkowa | Umowa — lit. b; obowiązek prawny — lit. c |
| Bezpieczeństwo, zapobieganie nadużyciom, rozwój usługi, analityka zbiorcza | Prawnie uzasadniony interes — lit. f |
| Wsparcie i obsługa zapytań | Umowa / uzasadniony interes — lit. b/f |
| Wiadomości marketingowe (newsletter) | Zgoda — lit. a; można ją wycofać w każdej chwili |
| Podłączanie kalendarzy zewnętrznych | Zgoda / umowa — lit. a/b; inicjowane przez Ciebie |
| Zgodność z prawem, dochodzenie/obrona roszczeń | Obowiązek prawny / uzasadniony interes — lit. c/f |
5. Odbiorcy i podmioty przetwarzające
Dane udostępniamy wyłącznie w zakresie niezbędnym do działania Usługi, sprawdzonym dostawcom działającym na podstawie umowy. Główne podmioty przetwarzające:
| Dostawca | Cel | Lokalizacja |
|---|---|---|
| Nasz dostawca hostingu (serwery Hetzner) | Hosting aplikacji i bazy danych | UE (Niemcy) |
| Stripe | Obsługa płatności | UE / USA (SCC) |
| Cloudflare | CDN, DNS, bezpieczeństwo strony | UE / globalnie (SCC) |
| Google (Calendar API) | Import Twoich wydarzeń — tylko po podłączeniu | UE / USA (SCC) |
| Apple / inne serwery CalDAV | Import Twoich wydarzeń — tylko po podłączeniu | Zależnie od dostawcy |
| Mailcraft (e-mail marketing) | Wysyłka newsletterów — tylko po zgodzie | UE |
| Dostawca poczty/SMTP | E-maile transakcyjne (zaproszenia, reset hasła, powiadomienia) | UE |
Aktualną listę podmiotów przetwarzających udostępniamy na żądanie: [email protected]. Dane możemy ujawnić również, gdy wymaga tego prawo.
6. Przekazywanie poza EOG
Nasza infrastruktura znajduje się w Unii Europejskiej. Gdy dostawca przetwarza dane poza Europejskim Obszarem Gospodarczym (np. niektóre operacje Stripe, Google lub Cloudflare w USA), przekazanie zabezpieczają Standardowe Klauzule Umowne Komisji Europejskiej i/lub mechanizmy adekwatności.
7. Okres przechowywania
- Dane konta — przez czas aktywności konta i usuwane lub anonimizowane w rozsądnym terminie po jego zamknięciu (zwykle do 90 dni), o ile dłuższy okres nie wynika z prawa.
- Dane rozliczeniowe/podatkowe — przez okres wymagany przepisami podatkowymi i o rachunkowości (w Polsce zwykle 5 lat).
- Korespondencja wsparcia — tak długo, jak to potrzebne do obsługi sprawy i ewentualnych roszczeń.
- Marketing — do czasu wycofania zgody lub wypisania się.
- Tokeny integracji — do czasu odłączenia integracji lub usunięcia konta.
8. Twoje prawa (art. 15–22 RODO)
Z zastrzeżeniem warunków RODO masz prawo do: dostępu do danych; sprostowania; usunięcia („prawo do bycia zapomnianym”); ograniczenia przetwarzania; przenoszenia danych; sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie; oraz wycofania zgody w dowolnym momencie (bez wpływu na wcześniejsze przetwarzanie). Masz też prawo nie podlegać decyzjom opartym wyłącznie na automatyzacji wywołującym skutki prawne — nie podejmujemy takich decyzji.
Aby skorzystać z praw, napisz na [email protected]. Możemy poprosić o potwierdzenie tożsamości. Jeśli żądanie dotyczy danych przetwarzanych w imieniu Klienta (jako podmiot przetwarzający), skierujemy Cię do tego Klienta (administratora).
9. Pliki cookies
Nasza strona i aplikacja używają cookies i podobnych technologii. Szczegóły, kategorie i sposób zarządzania znajdziesz w Polityce cookies.
10. Bezpieczeństwo
Stosujemy odpowiednie środki techniczne i organizacyjne, w tym szyfrowanie w transmisji (HTTPS), szyfrowanie w spoczynku wrażliwych sekretów (np. tokenów kalendarzy), haszowanie haseł, kontrolę dostępu i izolację danych per organizacja. Żadna metoda przesyłu ani przechowywania nie jest w 100% bezpieczna, ale dbamy o ochronę danych i — gdy wymaga tego prawo — powiadamiamy o naruszeniach Ciebie oraz organ nadzorczy.
11. Dzieci
Usługa jest przeznaczona do użytku biznesowego i nie jest kierowana do dzieci. Nie zbieramy świadomie danych osób poniżej 16 roku życia.
12. Zmiany
Możemy aktualizować tę Politykę. Aktualna wersja jest zawsze tu publikowana wraz z datą; o istotnych zmianach poinformujemy.
13. Kontakt i skargi
ul. Dąbrowskiego 249/23, 93-231 Łódź · NIP 7292462454
E-mail: [email protected]
Masz prawo wnieść skargę do organu nadzorczego. W Polsce jest nim Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa — uodo.gov.pl.
