Polityka prywatności i plików cookies serwisu terazstrona.pl
Wersja: 1.0 Data wejścia w życie: 2026-04-21 Administrator danych: Smart Services Grzegorz Krygier, NIP PL8341820524
Wstęp
Szanowny Użytkowniku,
poniższa Polityka prywatności opisuje w sposób przejrzysty, jakie dane osobowe zbieramy w związku z korzystaniem z serwisu terazstrona.pl, w jakich celach je przetwarzamy, jak długo je przechowujemy oraz jakie przysługują Ci prawa. Dokument został przygotowany zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (RODO) oraz ustawą z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000).
W razie wątpliwości co do treści Polityki lub zakresu Twoich praw, zachęcamy do kontaktu na adres rodo@solvi.online. Odpowiedź udzielimy w terminie do 30 dni od otrzymania wiadomości (art. 12 ust. 3 RODO).
1. Administrator danych osobowych
Administratorem Twoich danych osobowych jest:
Smart Services Grzegorz Krygier os. Noakowskiego 3/1, 99-400 Łowicz NIP: PL8341820524 Forma prawna: jednoosobowa działalność gospodarcza (CEIDG) Email kontaktowy: greg@solvi.online Email w sprawach ochrony danych: rodo@solvi.online Telefon: +48 795 532 182
Smart Services nie wyznacza Inspektora Ochrony Danych (IOD) — zakres i skala przetwarzania nie mieszczą się w przesłankach art. 37 ust. 1 RODO. Wszelkie sprawy związane z ochroną danych prowadzi osobiście właściciel: Grzegorz Krygier.
2. Zakres przetwarzanych danych
W ramach serwisu terazstrona.pl możemy przetwarzać następujące kategorie danych:
2.1. Dane kontaktowe (formularze, czat, email)
- imię, nazwisko (lub imię i nazwa firmy),
- adres e-mail,
- numer telefonu (opcjonalnie),
- nazwa firmy, NIP, adres (jeśli zamawiasz usługę jako przedsiębiorca),
- treść wiadomości oraz załączone materiały (briefy, logo, zdjęcia),
- preferowany sposób kontaktu.
2.2. Dane transakcyjne (zamówienia, płatności)
- dane rozliczeniowe (imię, nazwisko lub firma, NIP, adres do faktury),
- numer zamówienia, wybrany tier usługi, kwota,
- status płatności, metadane transakcji Stripe (ID sesji, ID PaymentIntent),
- historia faktur VAT (wystawiane przez Smart Services),
- dla Tier 2 rataly: ID subskrypcji Stripe, historia rat.
2.3. Dane identyfikacyjne konta solvi
- dane dostępowe (email + hash hasła lub magic link) zarządzane przez Supabase Auth,
- preferencje konta (język, powiadomienia, zgoda marketingowa),
- dane zawartości mini-CMS klienta (tekst, zdjęcia — nie są "danymi osobowymi" w rozumieniu RODO, chyba że klient umieszcza w nich dane osobowe swoich użytkowników).
2.4. Dane analityczne i techniczne
- adres IP (maskowany do /24 w logach),
- typ i wersja przeglądarki, system operacyjny, rozdzielczość ekranu,
- strona odsyłająca (referrer),
- język przeglądarki, strefa czasowa,
- zachowanie w serwisie (kliknięcia, scroll depth, czas na stronie) — wyłącznie za zgodą wyrażoną w banerze cookies (szczegóły: rozdział 8).
2.5. Dane z plików cookies
- pliki niezbędne (session, CSRF token, cookie zgody),
- pliki analityczne i marketingowe (Google Analytics 4, Meta Pixel, Umami) — wyłącznie po wyrażeniu zgody w banerze.
2.6. Dane z komunikatora e-mail (jeśli piszesz do nas)
- adres e-mail nadawcy, treść wiadomości, załączniki,
- metadane emaila (data wysłania, nagłówki techniczne).
3. Cele i podstawy prawne przetwarzania
Twoje dane przetwarzamy wyłącznie w poniższych celach i wyłącznie na wymienionych podstawach prawnych:
| Cel przetwarzania | Podstawa prawna (RODO) | Okres przetwarzania |
|---|---|---|
| Odpowiedź na zapytanie z formularza kontaktowego | art. 6 ust. 1 lit. b — działania przed zawarciem umowy | 2 lata od ostatniego kontaktu |
| Zawarcie i realizacja umowy o stworzenie strony | art. 6 ust. 1 lit. b — wykonanie umowy | Czas trwania umowy + okresy wymagane ustawowo |
| Wystawienie faktury, rozliczenia podatkowe, księgowe | art. 6 ust. 1 lit. c — obowiązek prawny (ustawa o VAT, ustawa o rachunkowości) | 5 lat od końca roku podatkowego (art. 74 ust. 2 ust. o rachunkowości) |
| Obsługa reklamacji i roszczeń | art. 6 ust. 1 lit. c — obowiązek prawny + art. 6 ust. 1 lit. f — uzasadniony interes | 6 lat od zakończenia umowy (termin przedawnienia roszczeń cywilnoprawnych) |
| Statystyki ruchu i optymalizacja serwisu | art. 6 ust. 1 lit. f — uzasadniony interes (poprawa usługi, bezpieczeństwo) | Patrz rozdział 8 (cookies) |
| Analityka z GA4 / Meta Pixel / Umami | art. 6 ust. 1 lit. a — dobrowolna zgoda (baner cookies) | Do wycofania zgody lub maksymalnie 14 mies. (GA4), 90 dni (Meta Pixel), TTL polityki Umami |
| Marketing bezpośredni (newsletter, upsells w panelu) | art. 6 ust. 1 lit. a — dobrowolna zgoda (opt-in w panelu) + art. 10 ust. o świadczeniu usług drogą elektroniczną | Do wycofania zgody |
| Ochrona przed nadużyciami, bezpieczeństwo IT | art. 6 ust. 1 lit. f — uzasadniony interes (ochrona przed DDoS, SQL injection, spam) | 90 dni dla surowych logów, statystyki agregowane dłużej |
4. Okres przechowywania danych — szczegółowo
| Kategoria danych | Okres |
|---|---|
| Intake / formularz kontaktowy | 2 lata od ostatniego kontaktu, następnie usunięcie |
| Dane księgowe i podatkowe (faktury, dowody wpłat) | 5 lat od końca roku podatkowego (art. 74 ust. 2 ust. o rachunkowości) |
| Dane klienta po zakończeniu umowy | 6 lat (okres przedawnienia roszczeń, art. 118 KC) |
| Dane konta solvi | Do zamknięcia konta przez użytkownika; dane księgowe retained na warunkach powyżej |
| Logi techniczne (access logs, IP) | 90 dni (zbiorczo w Supabase + Vercel Observability) |
| Statystyki Umami (self-hosted) | Zagregowane, bez identyfikacji indywidualnej — bezterminowo |
| Cookies sesyjne | Do zamknięcia przeglądarki |
| Cookies analityczne / marketingowe | TTL zgodny z polityką konkretnego dostawcy (zazwyczaj 1-24 mies.); możliwość wycofania zgody w każdej chwili |
| Zgoda marketingowa (opt-in) | Do wycofania + 3 lata (dowód udzielenia zgody per art. 7 ust. 1 RODO) |
Po upływie wskazanych okresów dane są nieodwracalnie usuwane lub anonimizowane.
5. Odbiorcy danych (processors) — pełna lista 13 podmiotów przetwarzających
Twoje dane mogą być powierzane podmiotom wspierającym działanie serwisu. Ze wszystkimi poniższymi dostawcami Smart Services zawarł umowy powierzenia przetwarzania danych (art. 28 RODO) lub korzysta z ich standardowych warunków zawierających SCC. Wykaz jest wyczerpujący — nie korzystamy z innych podmiotów przetwarzających bez uprzedniej aktualizacji niniejszej Polityki.
| # | Processor | Rola | Lokalizacja serwerów | Transfer poza EOG | Mechanizm zabezpieczenia |
|---|---|---|---|---|---|
| 1 | Google Ireland Limited (Google Analytics 4) | Analityka terazstrona.pl: statystyki odwiedzin, konwersji, ścieżek użytkownika | Irlandia + USA | TAK | Standardowe Klauzule Umowne (SCC) decyzji KE 2021/914 + certyfikacja Data Privacy Framework (DPF) |
| 2 | Meta Platforms Ireland Limited (Meta Pixel) | Pomiar skuteczności reklam Facebook / Instagram | Irlandia + USA | TAK | SCC + DPF |
| 3 | Smart Services Grzegorz Krygier / Umami (self-hosted) | Privacy-first analytics strony oraz stron klientów | EU (Supabase Frankfurt, DE) | NIE | Dane pozostają w EOG; brak cookies |
| 4 | Vercel Inc. | Hosting i dostarczanie treści serwisu (CDN, edge functions) | USA + AWS EU-West-1 (Irlandia) | TAK | SCC + DPF |
| 5 | Vercel Inc. (Vercel Analytics) | Analityka first-party terazstrona.pl: zliczanie odwiedzin, wydajność stron (privacy-friendly, bez cookies, bez cross-site tracking) | USA | TAK | SCC + DPF |
| 6 | Supabase Inc. | Baza danych PostgreSQL + Auth + Storage | EU Frankfurt (DE) | NIE | Dane w EOG; umowa DPA Supabase |
| 7 | GitHub, Inc. (Microsoft) | Repozytorium kodu źródłowego (nie zawiera danych osobowych klientów) | USA | TAK | SCC + DPF |
| 8 | Anthropic PBC (Claude) | Usługi generatywnej AI do wsparcia tworzenia treści (pomocnicze) | USA | TAK | SCC |
| 9 | Google LLC (Gemini API) | Generatywna AI + research rynkowy (dane publiczne) | USA | TAK | SCC + DPF |
| 10 | Perplexity AI, Inc. | Research rynkowy (dane publiczne) | USA | TAK | SCC |
| 11 | ForwardEmail (Forward Email LLC) | Routing firmowego emaila, IMAP, SMTP | USA | TAK | SCC + DPF |
| 12 | cyber_Folks S.A. (Cyberfolks) | Rejestrator domeny terazstrona.pl | Polska | NIE | Dane w EOG |
| 13 | Stripe Payments Europe, Limited / Stripe, Inc. | Procesor płatności (karty, BLIK, przelewy, rataly) | Irlandia + USA | TAK | SCC + DPF |
Kategorie dostawców pomocniczych
Dodatkowo Twoje dane mogą być powierzane — wyłącznie w zakresie niezbędnym do prowadzenia działalności gospodarczej i obsługi obowiązków prawnych — podmiotom takim jak:
- Biuro rachunkowe (dane z faktur, rozliczenia podatkowe) — na podstawie umowy powierzenia, wyłącznie na żądanie organów skarbowych,
- Doradcy prawni i podatkowi (dane w zakresie obsługi reklamacji lub roszczeń) — w modelu wyraźnie adresowanej sprawy,
- Bank obsługujący konto firmowe — dane rozliczeniowe związane z przepływami pieniężnymi,
- Firmy kurierskie / pocztowe — jeśli wystąpi potrzeba fizycznej przesyłki (np. oryginałów dokumentów na wniosek klienta).
Zastrzeżenia
- NIE sprzedajemy Twoich danych stronom trzecim.
- NIE profilujemy Cię w sposób wywołujący skutki prawne (art. 22 RODO).
- NIE przekazujemy danych do celów marketingowych podmiotom niezwiązanym ze Smart Services.
- Dane klientów z mini-CMS (treści stron klientów) są przetwarzane wyłącznie w celu ich publikacji zgodnie z umową — nie analizujemy ich dla własnych celów reklamowych.
6. Transfer danych poza Europejski Obszar Gospodarczy (EOG)
Niektórzy z wymienionych powyżej dostawców mają siedziby lub serwery poza EOG — głównie w Stanach Zjednoczonych (Vercel, GitHub, Google, Meta, Anthropic, Stripe, ForwardEmail, Perplexity).
W każdym takim przypadku transfer odbywa się w oparciu o co najmniej jeden z mechanizmów zabezpieczających przewidzianych w rozdziale V RODO:
- Standardowe Klauzule Umowne (SCC) — zgodnie z Decyzją Wykonawczą Komisji (UE) 2021/914 z 4 czerwca 2021 r.,
- Data Privacy Framework (DPF) — program zatwierdzony decyzją Komisji (UE) 2023/1795 z 10 lipca 2023 r. (dotyczy dostawców certyfikowanych, m.in. Google, Meta, Microsoft/GitHub, Stripe, Vercel).
Wszystkie umowy DPA / SCC są przez nas przechowywane i dostępne dla organów nadzorczych na żądanie. W razie pytań możesz poprosić o kopię właściwej klauzuli SCC — pisz na rodo@solvi.online.
Urzędowe teksty mechanizmów:
7. Twoje prawa (RODO art. 15-22)
W związku z przetwarzaniem Twoich danych osobowych przysługują Ci następujące prawa:
- Prawo dostępu (art. 15 RODO) — możesz zażądać informacji, czy przetwarzamy Twoje dane, oraz otrzymać ich kopię.
- Prawo sprostowania (art. 16 RODO) — możesz żądać korekty nieprawidłowych lub niekompletnych danych.
- Prawo usunięcia ("prawo do bycia zapomnianym", art. 17 RODO) — możesz żądać usunięcia danych, z zastrzeżeniem obowiązków księgowych i prawnych.
- Prawo ograniczenia przetwarzania (art. 18 RODO) — możesz żądać czasowego zablokowania przetwarzania Twoich danych (np. gdy kwestionujesz ich prawidłowość).
- Prawo do przenoszenia danych (art. 20 RODO) — możesz otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie (JSON / CSV).
- Prawo sprzeciwu (art. 21 RODO) — wobec przetwarzania na podstawie uzasadnionego interesu (art. 6 ust. 1 lit. f) lub w celach marketingowych.
- Prawo wycofania zgody (art. 7 ust. 3 RODO) — w dowolnym momencie, bez wpływu na legalność wcześniejszego przetwarzania. Dotyczy m.in. cookies analitycznych i newslettera.
- Prawo wniesienia skargi do organu nadzorczego — Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl/).
Jak skorzystać z praw
Wyślij email na rodo@solvi.online z opisem żądania. Odpowiedź otrzymasz:
- niezwłocznie, najpóźniej w ciągu 30 dni od otrzymania żądania (art. 12 ust. 3 RODO),
- termin może zostać przedłużony o kolejne 2 miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań — poinformujemy Cię o tym.
Realizacja wniosków jest bezpłatna, chyba że są one wyraźnie nieuzasadnione lub nadmierne (art. 12 ust. 5 RODO).
W przypadku wątpliwości co do tożsamości osoby zgłaszającej wniosek możemy poprosić o dodatkowe informacje w celu jej weryfikacji (art. 12 ust. 6 RODO).
8. Pliki cookies i mechanizm Consent Mode v2
8.1. Co to są pliki cookies
Pliki cookies to niewielkie pliki tekstowe zapisywane w Twojej przeglądarce podczas odwiedzania strony. Używamy ich aby zapewnić poprawne działanie serwisu oraz — za Twoją zgodą — mierzyć jego popularność i skuteczność reklam.
8.2. Rodzaje cookies w terazstrona.pl
| Typ | Cel | Czy wymagana zgoda? | Dostawca |
|---|---|---|---|
| Niezbędne (session, CSRF, cookie preferencji zgody) | Poprawne działanie strony, bezpieczeństwo, zapamiętanie Twojego wyboru w banerze | NIE — na podstawie art. 6 ust. 1 lit. f RODO | Smart Services |
| Analityczne GA4 | Statystyki ruchu, lejka konwersji | TAK | Google Ireland Limited |
| Marketingowe Meta Pixel | Pomiar skuteczności reklam FB/Instagram | TAK | Meta Platforms Ireland Limited |
| Analityczne Umami | Agregowane statystyki odwiedzin (bez identyfikacji) | NIE — bez cookies na danych osobowych | Umami self-hosted (Smart Services) |
8.3. Consent Mode v2 — zasada domyślnej odmowy
Serwis stosuje mechanizm Google Consent Mode v2. Zasada działania:
- Domyślnie wszystkie niepodstawowe pliki cookies są zablokowane (denied-by-default) — żadne tagi analityczne ani marketingowe nie uruchamiają się przed Twoją wyraźną zgodą.
- Baner cookies pojawia się przy pierwszej wizycie. Dopiero po kliknięciu „Akceptuj wszystkie" lub zaznaczeniu wybranych kategorii i kliknięciu „Zapisz preferencje" odpowiednie tagi zostają odblokowane.
- Jeśli klikniesz „Odrzuć wszystkie", serwis działa w trybie w pełni cookieless — żadne zewnętrzne skrypty śledzące nie są ładowane.
- Twój wybór jest zapisywany lokalnie w przeglądarce (klucz
cookie-consentw localStorage) i respektowany przy każdej kolejnej wizycie — baner nie pojawia się ponownie. - Brak zgody na cookies analityczne lub marketingowe nie wpływa na dostępność żadnych treści serwisu.
Kategorie cookies stosowane w serwisie:
| Kategoria | Narzędzia | Wymagana zgoda |
|---|---|---|
| Niezbędne | Sesja, CSRF, preferencja zgody cookies | NIE — art. 6 ust. 1 lit. f RODO |
| Analityczne | Google Analytics 4, Umami self-hosted | TAK |
| Marketingowe | Meta Pixel, Google Ads remarketing | TAK |
Podmioty przetwarzające dane po wyrażeniu zgody:
- Google Ireland Limited / Google LLC — Google Analytics 4 (analytics_storage), Google Ads (ad_storage, ad_user_data, ad_personalization). Transfer do USA: SCC + Data Privacy Framework.
- Meta Platforms Ireland Limited — Meta Pixel (ad_storage). Transfer do USA: SCC + DPF.
- Smart Services Grzegorz Krygier — Umami self-hosted (analityka agregowana, bez cookies, bez transferu poza EOG). Umami nie wymaga zgody cookie, ale jest wymieniony dla przejrzystości.
8.4. Czas przechowywania cookies
- Cookies niezbędne (session): do zamknięcia przeglądarki,
- Cookie zgody ("consent-state"): 12 miesięcy,
- GA4 (_ga, ga*): do 14 miesięcy (domyślne ustawienie),
- Meta Pixel (_fbp, _fbc): do 90 dni,
- Umami: brak cookies w konfiguracji self-hosted używanej przez Smart Services.
8.5. Jak zarządzać cookies i wycofać zgodę
Zgodę możesz zmienić lub wycofać w dowolnym momencie — bez wpływu na legalność wcześniejszego przetwarzania (art. 7 ust. 3 RODO):
- Poprzez panel w serwisie — przycisk „Ustawienia cookies" widoczny w lewym dolnym rogu strony (każda podstrona). Kliknięcie wyczyszcza poprzednią zgodę i pokazuje baner ponownie.
- Przez wyczyszczenie danych przeglądarki — usuń klucz
cookie-consentz localStorage (DevTools → Application → Local Storage → terazstrona.pl → usuń wpis) — baner pojawi się ponownie przy następnej wizycie. - W ustawieniach przeglądarki — ustawienia → prywatność → zarządzanie cookies. Instrukcje dla popularnych przeglądarek: https://www.aboutcookies.org/.
Czas ważności zgody: zgoda jest ważna do momentu jej wycofania lub wyczyszczenia danych przeglądarki — maksymalnie 12 miesięcy zgodnie ze standardem IAB TCF v2.2. Po upływie 12 miesięcy baner zostanie ponownie wyświetlony.
9. Bezpieczeństwo danych
Smart Services stosuje środki techniczne i organizacyjne zapewniające ochronę danych (art. 32 RODO):
- Szyfrowanie w tranzycie (TLS 1.2+) dla wszystkich połączeń HTTP(S) i SMTP.
- Szyfrowanie at-rest w bazach Supabase (AES-256).
- Uwierzytelnianie dwuskładnikowe (2FA) dla konta właściciela do Vercel, GitHub, Stripe, Supabase.
- Regularne kopie zapasowe Supabase (point-in-time recovery do 7 dni).
- Monitoring bezpieczeństwa przez Sentry (obserwowalność błędów aplikacji, bez zbierania danych osobowych).
- Minimalizacja dostępu — tylko właściciel ma uprawnienia administracyjne; narzędzia AI (Claude, Gemini) nie mają stałego dostępu do bazy, korzystamy z nich ad-hoc w środowisku deweloperskim.
- Plan reagowania na naruszenia — w przypadku naruszenia bezpieczeństwa danych zgłoszenie do UODO w ciągu 72 godzin (art. 33 RODO), a w razie wysokiego ryzyka dla osób — bezpośrednie powiadomienie zainteresowanych (art. 34 RODO).
10. Dobrowolność podania danych
Podanie danych osobowych jest dobrowolne, jednak w niektórych przypadkach niezbędne:
- Do odpowiedzi na zapytanie — brak adresu email uniemożliwia kontakt.
- Do zawarcia umowy — wymagane są dane do wystawienia faktury (imię i nazwisko lub nazwa firmy, NIP, adres).
- Do korzystania z konta solvi — wymagany jest adres email (identyfikator logowania).
W przypadku cookies analitycznych i marketingowych podanie zgody jest w pełni dobrowolne i odwołalne.
11. Zautomatyzowane podejmowanie decyzji i profilowanie
W ramach serwisu terazstrona.pl nie stosujemy zautomatyzowanego podejmowania decyzji wywołującego skutki prawne wobec osób fizycznych ani innego istotnego wpływu (w rozumieniu art. 22 RODO).
Narzędzia analityczne i marketingowe (GA4, Meta Pixel) mogą stosować agregowane statystyki oraz remarketing na podstawie odwiedzin, ale nie podejmują wobec Ciebie decyzji w sposób zautomatyzowany.
12. Zmiana polityki prywatności
Niniejsza Polityka może ulec aktualizacji w przypadku:
- zmiany procesów biznesowych (np. dodanie nowego processora),
- zmiany przepisów prawa (RODO, ustawa o świadczeniu usług drogą elektroniczną),
- wprowadzenia nowych funkcji w serwisie wymagających dodatkowego przetwarzania.
O każdej istotnej zmianie poinformujemy:
- przez komunikat w serwisie terazstrona.pl na 30 dni przed wejściem zmiany w życie,
- przez email na adresy użytkowników posiadających aktywne konto solvi (jeśli zmiana ich dotyczy).
Historia wersji niniejszej Polityki jest przechowywana w repozytorium kodu serwisu (public) — w razie pytań prosimy o kontakt na rodo@solvi.online.
13. Kontakt
W sprawach dotyczących Twoich danych osobowych oraz niniejszej Polityki prosimy kierować zapytania:
- Email (dedykowany RODO): rodo@solvi.online
- Email (ogólny): greg@solvi.online
- Telefon: +48 795 532 182
- Adres korespondencyjny: Smart Services Grzegorz Krygier, os. Noakowskiego 3/1, 99-400 Łowicz.
Wersja dokumentu: 1.0 (2026-04-21) Administrator: Smart Services Grzegorz Krygier, NIP PL8341820524