Polityka Prywatności

1. Administrator danych

Administratorem danych osobowych jest Workin'Flows Adrian Krawczyk, NIP 9721365392, e-mail: adi@workinflows.pl.

2. Jakie dane przetwarzamy

1. Adres e-mail — rejestracja konta, korespondencja, powiadomienia transakcyjne.
2. Adres IP — rate limiting (1 darmowa próbka / 24h), bezpieczeństwo, logi serwera.
3. Dane OAuth — identyfikator konta Google lub Allegro (do logowania). Nie przechowujemy haseł.
4. Dane transakcyjne — identyfikator sesji Stripe, kwota, pakiet. Dane kart płatniczych przetwarza wyłącznie Stripe Inc.
5. Materiały produktowe — zdjęcia i opisy produktów przesłane w celu generowania ofert. Przechowywane 24h (darmowa próbka) lub do usunięcia konta.

3. Podstawa prawna

• Art. 6 ust. 1 lit. b RODO — wykonanie umowy (realizacja usługi generowania ofert).
• Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (bezpieczeństwo, zapobieganie nadużyciom, analityka).
• Art. 6 ust. 1 lit. c RODO — obowiązek prawny (rachunkowość, fakturowanie, Ordynacja podatkowa).

4. Odbiorcy danych

• Google Cloud Platform (Google LLC, USA) — hosting, Cloud SQL, Vertex AI. Standard Contractual Clauses.
• Stripe Inc. (USA) — obsługa płatności. Certyfikat PCI DSS Level 1.
• Resend Inc. (USA) — transakcyjne wiadomości e-mail.
• Cloudflare Inc. (USA) — CDN, ochrona DDoS.

Każdy podmiot przetwarzający posiada umowę powierzenia przetwarzania danych (DPA) lub stosuje Standard Contractual Clauses.

5. Okres przechowywania

• Dane konta — do momentu usunięcia konta przez Użytkownika.
• Dane transakcyjne (faktury, ledger) — 5 lat od końca roku podatkowego (Ordynacja podatkowa).
• Materiały produktowe (darmowa próbka) — 24 godziny.
• Logi serwera (IP, user-agent) — 90 dni.

6. Prawa Użytkownika

Przysługuje Ci prawo do:

• dostępu do swoich danych (art. 15 RODO),
• sprostowania danych (art. 16 RODO),
• usunięcia danych — "prawo do bycia zapomnianym" (art. 17 RODO),
• ograniczenia przetwarzania (art. 18 RODO),
• przenoszenia danych (art. 20 RODO),
• sprzeciwu wobec przetwarzania (art. 21 RODO),
• wniesienia skargi do Prezesa UODO (ul. Stawki 2, 00-193 Warszawa).

Żądania kieruj na adi@workinflows.pl. Odpowiedź w ciągu 30 dni.

7. Pliki cookies

1. postik_sess — cookie sesyjne (httpOnly, Secure, SameSite=Lax). Niezbędne do działania zalogowanego konta. Czas życia: 30-90 dni w zależności od metody logowania.

Serwis nie używa cookies reklamowych ani analitycznych firm trzecich. Nie profilujemy Użytkowników.

8. Bezpieczeństwo

Stosujemy szyfrowanie TLS, szyfrowanie danych w spoczynku (Cloud SQL, KMS envelope encryption), haszowanie tokenów sesyjnych (sha256), ograniczenie dostępu do infrastruktury (Tailscale VPN, IAM).

9. Zmiany polityki

O istotnych zmianach informujemy e-mailem z 14-dniowym wyprzedzeniem. Aktualna wersja dostępna pod adresem postik.pl/prywatnosc.