Polityka prywatności

Ostatnia aktualizacja: 10 marca 2026 r.

1. Administrator danych osobowych

  1. Administratorem Twoich danych osobowych jest Jan Kordas, osoba fizyczna prowadząca jednoosobową działalność gospodarczą wpisaną do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), ul. Piątkowska 92C/13D, 60-649 Poznań, NIP: 9721377254, REGON: 544241308 (dalej: „Administrator”).
  2. Dane kontaktowe Administratora: kontakt@ksefalert.pl.
  3. Z uwagi na niewielką skalę przetwarzania danych, Administrator nie ma obowiązku wyznaczania Inspektora Ochrony Danych (IOD/DPO) zgodnie z art. 37 RODO. We wszelkich sprawach dotyczących ochrony danych osobowych możesz kontaktować się bezpośrednio z Administratorem pod adresem email podanym powyżej.

2. Jakie dane zbieramy

W ramach korzystania z Serwisu zbieramy następujące kategorie danych osobowych:

  • Dane konta – adres email (wymagany), imię i nazwisko (opcjonalnie), numer telefonu (opcjonalnie).
  • Token KSeF – token autoryzacyjny wygenerowany w Krajowym Systemie e-Faktur, przechowywany w postaci zaszyfrowanej algorytmem AES-256-GCM. Nigdy nie przechowujemy tokenu w postaci jawnej.
  • NIP firmy – numer identyfikacji podatkowej firmy podłączonej do Serwisu.
  • Metadane faktur – numer KSeF, numer faktury, NIP i nazwa sprzedawcy, kwota brutto/netto/VAT, data wystawienia, typ faktury. Są to dane pobierane z systemu KSeF Ministerstwa Finansów.
  • Dane płatności – przetwarzane wyłącznie przez operatora Stripe, Inc. Administrator nie przechowuje danych kart płatniczych. W bazie danych przechowywany jest jedynie identyfikator klienta Stripe (Stripe Customer ID).
  • Dane techniczne – logi powiadomień (typ, status, data wysyłki), statystyki użycia (liczba wysłanych emaili/SMS w danym miesiącu).

3. Cele i podstawy prawne przetwarzania

Twoje dane przetwarzamy w następujących celach i na następujących podstawach prawnych:

Cel przetwarzaniaPodstawa prawna (RODO)
Świadczenie usługi monitorowania KSeF i wysyłanie powiadomieńArt. 6 ust. 1 lit. b – wykonanie umowy
Obsługa konta użytkownikaArt. 6 ust. 1 lit. b – wykonanie umowy
Realizacja płatności za plany subskrypcyjneArt. 6 ust. 1 lit. b – wykonanie umowy
Komunikacja z użytkownikiem (informacje o usłudze, zmiany regulaminu)Art. 6 ust. 1 lit. f – uzasadniony interes Administratora
Zapewnienie bezpieczeństwa serwisu i zapobieganie nadużyciomArt. 6 ust. 1 lit. f – uzasadniony interes Administratora
Rozpatrywanie reklamacji i obsługa roszczeńArt. 6 ust. 1 lit. b (umowa) oraz Art. 6 ust. 1 lit. f (uzasadniony interes)
Wypełnianie obowiązków prawnych (np. przepisy podatkowe)Art. 6 ust. 1 lit. c – obowiązek prawny

4. Odbiorcy danych (podmioty przetwarzające)

Twoje dane osobowe mogą być przekazywane następującym kategoriom odbiorców, wyłącznie w zakresie niezbędnym do świadczenia Usług:

PodmiotSiedzibaCelPrzekazywane dane
Supabase, Inc.USA (serwery w UE – Irlandia)Hosting bazy danych, autentykacja użytkownikówEmail, hasło (zaszyfrowane), dane profilu, wszystkie dane przechowywane w bazie
Stripe, Inc.USAObsługa płatności, zarządzanie subskrypcjamiAdres email, dane karty płatniczej (przetwarzane wyłącznie przez Stripe)
Brevo (Sendinblue), SAFrancja (UE)Wysyłka powiadomień email o nowych fakturach (dostawca podstawowy)Adres email odbiorcy, treść powiadomienia (metadane faktury)
Resend, Inc.USAWysyłka powiadomień email o nowych fakturach (dostawca zapasowy)Adres email odbiorcy, treść powiadomienia (metadane faktury)
SMSplanet.pl (VERCOM S.A.)PolskaWysyłka powiadomień SMS o nowych fakturachNumer telefonu, treść powiadomienia SMS

Ponadto dane mogą być udostępnione Ministerstwu Finansów (API KSeF) w zakresie tokenu autoryzacyjnego i NIP niezbędnych do pobrania metadanych faktur z Krajowego Systemu e-Faktur. Ministerstwo Finansów jest odrębnym administratorem danych.

5. Transfer danych poza Europejski Obszar Gospodarczy (EOG)

  1. Część podmiotów przetwarzających (Stripe, Resend) ma siedzibę w Stanach Zjednoczonych. Podstawowy dostawca usługi email (Brevo) ma siedzibę we Francji i przetwarza dane w ramach EOG. Transfer danych do USA odbywa się na podstawie:
    • Decyzji wykonawczej Komisji Europejskiej (C(2023) 4745) z dnia 10 lipca 2023 r. w sprawie odpowiedniego poziomu ochrony danych osobowych w ramach EU-US Data Privacy Framework (DPF) – w odniesieniu do podmiotów certyfikowanych w ramach DPF.
    • Standardowych klauzul umownych (SCC) przyjętych przez Komisję Europejską (Decyzja 2021/914) – jako dodatkowe zabezpieczenie.
  2. Baza danych Serwisu (Supabase) jest hostowana na serwerach w Unii Europejskiej (Irlandia), co oznacza, że główne dane użytkowników nie opuszczają EOG.

6. Okresy przechowywania danych

Dane osobowe przechowujemy przez następujące okresy:

Kategoria danychOkres przechowywania
Dane konta (email, imię, telefon)Do momentu usunięcia konta + 30 dni (okres techniczny usunięcia)
Token KSeF (zaszyfrowany)Do momentu odłączenia firmy z Serwisu lub usunięcia konta
Metadane fakturPrzez czas trwania konta + 30 dni po usunięciu
Logi powiadomień (email/SMS)90 dni od daty wysyłki
Statystyki użycia12 miesięcy od daty wpisu
Dane rozliczeniowe (Stripe Customer ID)5 lat od końca roku, w którym nastąpiła ostatnia transakcja (obowiązek podatkowy)

7. Twoje prawa (RODO Art. 15–22)

Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) przysługują Ci następujące prawa:

  • Prawo dostępu do danych (art. 15) – możesz żądać informacji o przetwarzanych danych oraz otrzymać ich kopię.
  • Prawo do sprostowania (art. 16) – możesz poprawić swoje dane w ustawieniach konta lub zgłosić korektę Administratorowi.
  • Prawo do usunięcia („prawo do bycia zapomnianym”) (art. 17) – możesz żądać trwałego usunięcia wszystkich danych. Możesz to zrobić samodzielnie poprzez funkcję „Usuń konto” w ustawieniach Serwisu.
  • Prawo do ograniczenia przetwarzania (art. 18) – możesz żądać ograniczenia przetwarzania danych w określonych przypadkach.
  • Prawo do przenoszenia danych (art. 20) – możesz żądać eksportu swoich danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (JSON). Możesz to zrobić samodzielnie poprzez funkcję „Pobierz moje dane” w ustawieniach Serwisu.
  • Prawo do sprzeciwu (art. 21) – możesz w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych na podstawie uzasadnionego interesu (art. 6 ust. 1 lit. f).
  • Prawo do cofnięcia zgody (art. 7 ust. 3) – w zakresie, w jakim przetwarzanie odbywa się na podstawie zgody, możesz ją cofnąć w dowolnym momencie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

W celu realizacji powyższych praw prosimy o kontakt na adres: kontakt@ksefalert.pl. Administrator udzieli odpowiedzi bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania (art. 12 ust. 3 RODO).

Prawo do skargi: Jeżeli uważasz, że przetwarzanie Twoich danych narusza przepisy RODO, masz prawo wnieść skargę do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

8. Pliki cookies

  1. Serwis wykorzystuje wyłącznie pliki cookies niezbędne do prawidłowego działania (tzw. cookies techniczne/sesyjne). Nie stosujemy cookies marketingowych, analitycznych ani śledzących.
  2. Szczegółowa lista wykorzystywanych cookies:
    NazwaCelWygaśnięcieTyp
    sb-*-auth-tokenSesja uwierzytelniania Supabase AuthSesja / do wylogowaniaNiezbędny
    sb-*-auth-token-code-verifierWeryfikacja PKCE dla bezpieczeństwa logowaniaSesjaNiezbędny
  3. Cookies niezbędne są zwolnione z wymogu uzyskania zgody użytkownika na podstawie art. 5 ust. 3 Dyrektywy 2002/58/WE (ePrivacy Directive) oraz Art. 173 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, ponieważ są konieczne do świadczenia usługi żądanej przez użytkownika.
  4. Użytkownik może zarządzać plikami cookies poprzez ustawienia swojej przeglądarki internetowej. Wyłączenie cookies niezbędnych może uniemożliwić korzystanie z Serwisu (w szczególności logowanie).

9. Bezpieczeństwo danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych (art. 32 RODO), w tym:

  • Szyfrowanie tokenów KSeF algorytmem AES-256-GCM z unikalnym wektorem inicjalizacyjnym (IV) dla każdego tokenu.
  • Transmisja danych wyłącznie przez połączenia zabezpieczone protokołem SSL/TLS (HTTPS).
  • Hasła użytkowników przechowywane w postaci nieodwracalnego skrótu (hash) przez Supabase Auth.
  • Kontrola dostępu do bazy danych – dostęp wyłącznie przez zabezpieczone API.
  • Regularne aktualizacje oprogramowania i zależności.
  • Kaskadowe usuwanie danych powiązanych przy usunięciu konta użytkownika.

10. Dane podmiotów trzecich (kontrahenci z faktur)

  1. W ramach monitorowania KSeF Serwis przetwarza metadane faktur, które mogą zawierać dane podmiotów trzecich (NIP i nazwa sprzedawcy/wystawcy faktury). Dane te pochodzą z systemu KSeF Ministerstwa Finansów.
  2. Podstawą prawną przetwarzania tych danych jest art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora i Użytkownika – zapewnienie przejrzystości informacji o fakturach kosztowych).
  3. Dane kontrahentów nie są udostępniane osobom trzecim ani wykorzystywane w celach marketingowych. Są wyświetlane wyłącznie Użytkownikowi, którego konto KSeF dotyczy.

11. Zautomatyzowane podejmowanie decyzji i profilowanie

Serwis nie stosuje zautomatyzowanego podejmowania decyzji ani profilowania w rozumieniu art. 22 RODO. Wszystkie powiadomienia są generowane automatycznie na podstawie prostych reguł (nowa faktura = powiadomienie), bez analizy zachowania ani preferencji Użytkownika.

12. Obowiązek podania danych

  1. Podanie adresu email jest wymogiem umownym niezbędnym do założenia konta i korzystania z Serwisu. Brak podania adresu email uniemożliwia rejestrację i świadczenie Usług.
  2. Podanie imienia i nazwiska oraz numeru telefonu jest dobrowolne. Brak tych danych nie uniemożliwia korzystania z Serwisu, jednak może ograniczyć niektóre funkcjonalności (np. powiadomienia SMS wymagają podania numeru telefonu).
  3. Podanie tokenu KSeF jest dobrowolne, lecz niezbędne do korzystania z podstawowej funkcjonalności Serwisu (monitorowanie faktur).

13. Zmiany polityki prywatności

  1. Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności w przypadku zmian w przepisach prawa, zmiany zakresu przetwarzania danych lub zmiany formy prawnej działalności.
  2. O istotnych zmianach Użytkownicy zostaną poinformowani drogą mailową.
  3. Aktualna wersja Polityki Prywatności jest zawsze dostępna na stronie ksefalert.pl/privacy.

Kontakt w sprawach ochrony danych

We wszelkich sprawach związanych z przetwarzaniem danych osobowych prosimy o kontakt na adres: kontakt@ksefalert.pl lub za pośrednictwem strony kontaktowej.