3.1. Dane Użytkowników Platformy

Podczas rejestracji i korzystania z Platformy zbieramy:

• Dane identyfikacyjne: imię, nazwisko, adres e-mail
• Dane firmowe: nazwa firmy, NIP, adres
• Dane logowania: hasło (w formie zaszyfrowanej), tokeny sesji
• Dane techniczne: adres IP, dane przeglądarki, system operacyjny
• Dane dotyczące subskrypcji i płatności

3.2. Dane z Połączonych Platform E-commerce

Z systemów e-commerce (WooCommerce, Magento, Shoper, Shopify, IdoSell, RedCart, PrestaShop, SkyShop):

• Dane transakcyjne: numer zamówienia, data, status, wartość zamówienia
• Dane produktowe: ID produktu, nazwa, cena, kategoria, stan magazynowy, warianty
• Zagregowane dane statystyczne dotyczące klientów (liczba nowych/powracających klientów)
• Informacje o metodach płatności i dostawy (bez danych uwierzytelniających)
• Kody kuponów rabatowych i informacje o promocjach

Z platformy Allegro:

• Dane ofert i produktów
• Dane transakcyjne i zamówień
• Dane o kosztach, opłatach, prowizjach i bonusach
• Informacje o kategoriach i cenach

3.3. Dane z Platform Reklamowych

Google Ads:

• Statystyki kampanii: wyświetlenia, kliknięcia, konwersje
• Koszty reklam i dane o wydajności kampanii
• Frazy wyszukiwania i dane o grupach reklam

Meta Ads (Facebook, Instagram):

• Statystyki kampanii reklamowych
• Dane o zaangażowaniu i zasięgu
• Koszty i wyniki konwersji

TikTok Ads:

• Dane kampanii reklamowych
• Statystyki odtworzeń i zaangażowania
• Informacje o kosztach i konwersjach

Criteo i Tradetracker:

• Dane o prowizjach afiliacyjnych
• Statystyki kampanii remarketingowych

3.4. Dane z Google Analytics

• Dane o sesjach użytkowników (zagregowane, anonimowe)
• Zdarzenia e-commerce
• Ścieżki nawigacji i źródła ruchu

3.5. Dane NIE Zbierane przez Platformę

Wszystkie dane dotyczące klientów końcowych prezentowane są wyłącznie w formie zagregowanej i anonimowej (np. „liczba nowych klientów: 150″, „średnia wartość zamówienia: 250 zł”).

4.1. Świadczenie Usługi Analitycznej

Cel: Agregacja, analiza i wizualizacja danych e-commerce w celu umożliwienia użytkownikom monitorowania wyników biznesowych.

Podstawa prawna:

• Art. 6 ust. 1 lit. b) RODO – wykonanie umowy (świadczenie usługi DataOrganizer)
• Art. 6 ust. 1 lit. f) RODO – uzasadniony interes prawny polegający na zapewnieniu funkcjonalności Platformy

4.2. Zarządzanie Kontem Użytkownika

Cel: Utworzenie i zarządzanie kontem użytkownika, uwierzytelnianie, komunikacja.

Podstawa prawna: Art. 6 ust. 1 lit. b) RODO – wykonanie umowy.

4.3. Rozliczenia i Płatności

Cel: Obsługa subskrypcji, fakturowanie, realizacja płatności.

Podstawa prawna:

• Art. 6 ust. 1 lit. b) RODO – wykonanie umowy
• Art. 6 ust. 1 lit. c) RODO – obowiązek prawny (przepisy podatkowe i księgowe)

4.4. Wsparcie Techniczne

Cel: Udzielanie pomocy technicznej, rozwiązywanie problemów, komunikacja z użytkownikami.

Podstawa prawna: Art. 6 ust. 1 lit. b) i f) RODO.

4.5. Bezpieczeństwo i Wykrywanie Nadużyć

Cel: Zapewnienie bezpieczeństwa Platformy, wykrywanie i zapobieganie nadużyciom.

Podstawa prawna: Art. 6 ust. 1 lit. f) RODO – uzasadniony interes prawny (bezpieczeństwo systemów).

4.6. Analiza i Doskonalenie Usługi

Cel: Analiza sposobu korzystania z Platformy, rozwój funkcjonalności, optymalizacja wydajności.

Podstawa prawna: Art. 6 ust. 1 lit. f) RODO – uzasadniony interes prawny.

4.7. Marketing (z Państwa Zgodą)

Cel: Wysyłka newslettera, informacji o nowych funkcjach, ofert promocyjnych.

Podstawa prawna: Art. 6 ust. 1 lit. a) RODO – dobrowolna zgoda (którą można w każdej chwili wycofać).

5.1. Dane Użytkowników Platformy

Czas trwania umowy: Dane przechowywane są przez cały okres korzystania z Platformy.

Po zakończeniu umowy:

• Dane niezbędne do rozliczeń: 5 lat (zgodnie z przepisami podatkowymi)
• Dane komunikacji z wsparciem: 3 lata
• Pozostałe dane: 30 dni od dezaktywacji konta

5.2. Dane z Połączonych Platform

• Podczas aktywnej integracji: dane synchronizowane i przechowywane na bieżąco
• Po odłączeniu integracji: dane usuwane automatycznie w ciągu 30 dni
• Użytkownik może zażądać natychmiastowego usunięcia danych
• Kopie zapasowe: usuwane automatycznie po upływie 90 dni od ich utworzenia

5.3. Dane Analityczne (Zanonimizowane)

Zagregowane, zanonimizowane statystyki mogą być przechowywane przez okres do 7 lat w celach analitycznych i doskonalenia Platformy.

6.1. Główna Infrastruktura

Google Cloud Platform (GCP) – Region Europa:

• Dane przechowywane w BigQuery (region: europe-central2, Warszawa lub europe-west1, Belgia)
• Serwery aplikacji: region europejski GCP
• Kopie zapasowe: region europejski GCP

6.2. Zgodność z Wymogami RODO

Wszystkie główne dane przechowywane są na terenie Unii Europejskiej w infrastrukturze zgodnej z certyfikacjami: ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 2/SOC 3.

6.3. Przekazywanie Danych poza EOG

W ograniczonym zakresie dane mogą być przekazywane do Stanów Zjednoczonych za pośrednictwem Google Cloud Platform na podstawie Standardowych Klauzul Umownych zatwierdzonych przez Komisję Europejską oraz Data Privacy Framework.

Lista państw z decyzją o adekwatności: commission.europa.eu

7.1. Podmioty Przetwarzające

• Dostawcy infrastruktury chmurowej: Google Cloud Platform
• Dostawcy usług technicznych: CDN, bezpieczeństwo, backup i odzyskiwanie danych
• Dostawcy usług płatniczych: operatorzy płatności (w zakresie niezbędnym do obsługi subskrypcji)
• Dostawcy usług komunikacyjnych: e-mail, systemy helpdesk

7.2. Podmioty Uprawnione z Mocy Prawa

Dane mogą być udostępniane organom państwowym, gdy jest to wymagane przepisami prawa (np. organy podatkowe, organy ścigania).

7.3. Źródła Danych

7.4. Umowy Powierzenia Przetwarzania

Z wszystkimi podmiotami przetwarzającymi dane w naszym imieniu zawieramy umowy powierzenia przetwarzania danych osobowych zgodnie z art. 28 RODO.

8.1. Środki Techniczne

Szyfrowanie:

• Transmisja danych: TLS 1.3
• Przechowywanie danych: AES-256
• Hasła użytkowników: bcrypt (nie przechowujemy haseł w formie jawnej)

Kontrola dostępu:

• Uwierzytelnianie dwuskładnikowe (2FA) dostępne dla użytkowników
• Zasada najmniejszych uprawnień dla pracowników
• Logi dostępu i audyt działań

Zabezpieczenia infrastruktury:

• Firewall aplikacyjny (WAF)
• Monitoring bezpieczeństwa 24/7
• Regularne testy penetracyjne
• Automatyczne kopie zapasowe (co 6 godzin)

8.2. Środki Organizacyjne

• Polityka bezpieczeństwa informacji
• Regularne szkolenia pracowników z zakresu ochrony danych
• Procedury reagowania na incydenty
• Ograniczony dostęp do danych osobowych (na zasadzie „need to know”)
• Umowy o zachowaniu poufności z pracownikami

8.3. Certyfikacje i Audyty

Infrastruktura oparta jest na Google Cloud Platform posiadającym certyfikaty: ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 2 Type II.

9.1. Prawo Dostępu (art. 15 RODO)

• Potwierdzenie, czy przetwarzamy Państwa dane osobowe
• Kopia przetwarzanych danych osobowych
• Informacje o celach przetwarzania, kategoriach danych, odbiorcach

Jak skorzystać: contact@dataorganizer.io

9.2. Prawo do Sprostowania (art. 16 RODO)

Możecie Państwo żądać poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych bezpośrednio w ustawieniach konta lub pisząc na contact@dataorganizer.io.

9.3. Prawo do Usunięcia – „Prawo do Bycia Zapomnianym” (art. 17 RODO)

Możecie Państwo zażądać usunięcia danych gdy: dane nie są już niezbędne do celów przetwarzania, wycofano zgodę, wniesiono sprzeciw lub dane przetwarzane są niezgodnie z prawem.

9.4. Prawo do Ograniczenia Przetwarzania (art. 18 RODO)

Możecie Państwo zażądać ograniczenia przetwarzania danych w określonych sytuacjach (np. podczas weryfikacji prawidłowości danych).

9.5. Prawo do Przenoszenia Danych (art. 20 RODO)

Macie Państwo prawo otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie poprzez funkcję eksportu w Platformie.

9.6. Prawo Sprzeciwu (art. 21 RODO)

Możecie Państwo wnieść sprzeciw wobec przetwarzania danych z przyczyn związanych z Państwa szczególną sytuacją lub wobec przetwarzania w celach marketingu bezpośredniego (w każdym czasie, bezwarunkowo).

9.7. Prawo do Cofnięcia Zgody (art. 7 ust. 3 RODO)

Jeśli przetwarzanie odbywa się na podstawie zgody, możecie ją Państwo w każdej chwili wycofać bez wpływu na zgodność z prawem wcześniejszego przetwarzania.

9.8. Prawo do Skargi (art. 77 RODO)

9.9. Realizacja Praw

Czas realizacji: Do 30 dni od otrzymania żądania (możliwe przedłużenie o kolejne 60 dni z powiadomieniem). Realizacja praw jest co do zasady bezpłatna.

10.1. Czym Są Pliki Cookies?

Pliki cookies to małe pliki tekstowe wysyłane przez serwer i przechowywane na urządzeniu użytkownika, umożliwiające rozpoznanie przeglądarki podczas kolejnych wizyt.

10.2. Jakie Cookies Używamy?

Cookies niezbędne (nie wymagają zgody):

• Uwierzytelnianie i zarządzanie sesją
• Bezpieczeństwo (ochrona CSRF)
• Podstawowa funkcjonalność Platformy

Cookies statystyczne (wymagają zgody):

• Google Analytics (pomiar ruchu, statystyki użytkowania)
• Analiza wydajności Platformy

Cookies preferencyjne (wymagają zgody):

• Zapamiętywanie ustawień użytkownika
• Język interfejsu, preferencje wyświetlania

Cookies marketingowe (wymagają zgody):

• Śledzenie konwersji z kampanii reklamowych
• Remarketing, personalizacja treści marketingowych

10.3. Podstawa Prawna

• Cookies niezbędne: art. 6 ust. 1 lit. f) RODO (uzasadniony interes prawny)
• Pozostałe cookies: art. 6 ust. 1 lit. a) RODO (zgoda użytkownika)

10.4. Zarządzanie Cookies

Po wejściu na stronę wyświetla się panel, w którym możecie zaakceptować wszystkie cookies, odrzucić wszystkie (poza niezbędnymi) lub dostosować ustawienia dla poszczególnych kategorii. Ustawienia można zmienić w dowolnym momencie klikając ikonę w lewym dolnym rogu strony.

10.5. Czas Przechowywania

• Cookies sesyjne: do zamknięcia przeglądarki
• Cookies stałe: zgodnie z datą wygaśnięcia (maksymalnie 24 miesiące)

12.1. Integracja Shopify

Zakres danych: dane zamówień (wartość, status, data), dane produktów (ID, nazwa, cena, warianty, kategorie), zagregowane statystyki klientów (bez danych osobowych klientów końcowych).

Autoryzacja: OAuth 2.0 przez właściciela sklepu. Usunięcie danych: po odinstalowaniu aplikacji lub na żądanie – w ciągu 30 dni. Zgodność: Shopify API Terms of Service oraz GDPR Requirements.

12.2. Integracja WooCommerce

Dane transakcyjne i produktowe poprzez WooCommerce REST API. Autoryzacja: klucze API generowane w panelu WooCommerce przez właściciela sklepu.

12.3. Integracja Google Ads i Google Analytics

Dane kampanii reklamowych i statystyki ruchu (zagregowane, anonimowe). Autoryzacja: OAuth 2.0. Zgodność z Google Ads API Terms oraz Google Analytics Terms of Service.

12.4. Integracja Meta Ads

Statystyki kampanii Facebook i Instagram. Autoryzacja: Facebook Business Manager OAuth. Zgodność z Meta Platform Terms oraz Business Tools Terms.

12.5. Pozostałe Integracje

Podobne zasady dotyczą integracji z: Magento, Shoper, IdoSell, RedCart, PrestaShop, SkyShop, Allegro, TikTok Ads, Criteo, Tradetracker.

13.1. Prawo Mieszkańców Kalifornii (CCPA)

Jeśli jesteście mieszkańcami Kalifornii, przysługują Wam dodatkowe prawa zgodnie z California Consumer Privacy Act:

• Prawo do informacji o zbieranych danych
• Prawo do usunięcia danych
• Prawo do rezygnacji z „sprzedaży” danych (nie sprzedajemy danych)
• Prawo do niedyskryminacji

Kontakt: contact@dataorganizer.io z tematem „CCPA Request”

13.2. Prawo Mieszkańców Wielkiej Brytanii (UK GDPR)

Stosujemy standardy ochrony danych zgodne z UK GDPR. Organ nadzorczy: Information Commissioner’s Office (ICO), ico.org.uk.

15.1. Aktualizacje

Zastrzegamy sobie prawo do aktualizacji niniejszej Polityki Prywatności w celu odzwierciedlenia zmian w przepisach prawa, funkcjonalności Platformy lub praktykach przetwarzania danych.

15.2. Powiadomienia

O istotnych zmianach poinformujemy poprzez powiadomienie e-mail (z 30-dniowym wyprzedzeniem), komunikat w Platformie oraz zaktualizowaną datę „Ostatnia aktualizacja” na górze dokumentu.

15.3. Akceptacja Zmian

Dalsze korzystanie z Platformy po wprowadzeniu zmian oznacza akceptację zaktualizowanej Polityki. W przypadku istotnych zmian możemy wymagać ponownej zgody.

17.1. Język

Polityka Prywatności dostępna jest w języku polskim i angielskim. W przypadku rozbieżności wersja polska ma charakter wiążący.

17.2. Prawo Właściwe

Niniejsza Polityka oraz wszelkie kwestie z nią związane podlegają prawu polskiemu.

17.3. Rozdzielność Postanowień

Jeśli którekolwiek z postanowień Polityki zostanie uznane za nieważne lub niewykonalne, pozostałe postanowienia pozostają w pełnej mocy.

17.4. Powiązane Dokumenty

Niniejsza Polityka Prywatności powinna być czytana łącznie z:

• Regulaminem Platformy DataOrganizer
• Warunkami Świadczenia Usług (Terms of Service)