Polityka prywatności
Niniejsza Polityka prywatności opisuje zasady przetwarzania danych osobowych osób korzystających z serwisu voltsteering.com (dalej: Serwis) oraz aplikacji Voltsteering (dalej: Platforma). Dokument jest zgodny z rozporządzeniem RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych.
1. Administrator danych osobowych
Administratorem Twoich danych osobowych jest Voltimer Sp. z o.o.z siedzibą w Radomiu, Polska (dalej: Administrator). Voltsteering jest produktem (platformą SaaS) operowanym bezpośrednio przez Voltimer Sp. z o.o.
Dane rejestrowe Administratora:
KRS: 0001155063 (Sąd Rejonowy Lublin-Wschód w Lublinie z siedzibą w Świdniku, VI Wydział Gospodarczy Krajowego Rejestru Sądowego)
NIP: 7963035094
REGON: 540881258
Kapitał zakładowy: 30 000,00 zł (w pełni opłacony)
Adres: ul. Henryka Sienkiewicza 36, lok. 5, 26-610 Radom, Polska
Kontakt z Administratorem: privacy@voltimer.com.pl.
2. Zakres zbieranych danych
Przetwarzamy dane w zależności od sposobu korzystania z Serwisu:
- Zapis na waitlistę — adres e-mail, data zapisu, źródło (landing page, kampania), adres IP i identyfikator przeglądarki.
- Rejestracja konta — imię, nazwisko, adres e-mail, hasło (w formie zahaszowanej przez Clerk), metadane konta (data założenia, ostatniego logowania, urządzenia, adresy IP).
- Korzystanie z Platformy — dane projektowe wprowadzone przez użytkownika, dokumenty wgrane do systemu, historia interakcji z asystentami AI, logi systemowe.
- Płatności — dane rozliczeniowe (nazwa firmy, NIP, adres) oraz tokenizowane dane kart płatniczych przetwarzane przez Krajowy Integrator Płatności S.A. (Tpay). Nie przechowujemy pełnych numerów kart — Tpay zwraca jedynie token cyklicznej płatności dla automatycznego odnawiania subskrypcji.
3. Cele i podstawy prawne przetwarzania
Dane przetwarzamy w następujących celach i na następujących podstawach prawnych:
- Świadczenie usług — art. 6 ust. 1 lit. b RODO (wykonanie umowy).
- Zapis na waitlistę i marketing — art. 6 ust. 1 lit. a RODO (zgoda), którą możesz wycofać w każdej chwili.
- Rozliczenia i księgowość — art. 6 ust. 1 lit. c RODO (obowiązek prawny).
- Bezpieczeństwo Platformy, prewencja nadużyć — art. 6 ust. 1 lit. f RODO (uzasadniony interes).
- Analityka i rozwój produktu — art. 6 ust. 1 lit. f RODO (uzasadniony interes) lub zgoda.
4. Odbiorcy danych (procesorzy)
Korzystamy z zewnętrznych usługodawców (tzw. procesorów), którym powierzamy przetwarzanie danych:
- Clerk (uwierzytelnianie, zarządzanie kontami) — USA, SCC (Standardowe Klauzule Umowne).
- Vercel (hosting aplikacji) — USA/UE, SCC.
- Supabase (baza danych) — region Frankfurt (UE).
- Cloudflare R2 (przechowywanie dokumentów) — region UE.
- Upstash (kolejki, cache) — region UE.
- Anthropic (asystenci AI, Claude API) — USA, SCC, zero-retention.
- Resend (e-maile transakcyjne) — USA/UE, SCC.
- Sentry (monitoring błędów) — UE/USA, SCC.
- PostHog (product analytics) — region UE.
- Tpay (Krajowy Integrator Płatności S.A.) (płatności online: BLIK, karty, przelewy) — Poznań, Polska. NIP 9542750172. Licencjonowana krajowa instytucja płatnicza pod nadzorem KNF. PCI-DSS Level 1.
- Ministerstwo Finansów (KSeF) (Krajowy System e-Faktur — wysyłka faktur VAT) — Polska. Faktury wystawiane natywnie przez Voltsteering, wysyłane przez API KSeF.
Z każdym procesorem zawarliśmy Data Processing Agreement (DPA). Dane są szyfrowane w tranzycie (TLS 1.3) i w spoczynku (AES-256).
5. Transfer do państw trzecich
Niektóre z naszych procesorów (Clerk, Anthropic, Resend) mają infrastrukturę w USA. Transfer odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską lub programu Data Privacy Framework (DPF). Stosujemy dodatkowe środki techniczne (szyfrowanie, pseudonimizacja) dla zwiększenia bezpieczeństwa transferu.
6. Okres przechowywania danych
- Dane waitlisty — do momentu wycofania zgody, maksymalnie 24 miesiące.
- Dane konta użytkownika — przez okres trwania umowy + 12 miesięcy po jej zakończeniu.
- Dane rozliczeniowe — 5 lat od zakończenia roku podatkowego (obowiązek ustawowy).
- Logi systemowe — 90 dni.
- Dane wgrane do Platformy (dokumenty projektowe) — przez okres trwania umowy, zwrot/usunięcie w ciągu 30 dni po zakończeniu.
7. Twoje prawa
W związku z przetwarzaniem danych przysługują Ci następujące prawa:
- Prawo dostępu — możesz zażądać kopii swoich danych.
- Prawo do sprostowania — poprawa nieprawidłowych danych.
- Prawo do usunięcia („prawo do bycia zapomnianym") — usunięcie danych z naszych systemów.
- Prawo do ograniczenia przetwarzania.
- Prawo do przenoszenia danych — eksport w powszechnie używanym formacie (JSON).
- Prawo do sprzeciwu wobec przetwarzania opartego o uzasadniony interes.
- Prawo do wycofania zgody — w każdej chwili, bez wpływu na przetwarzanie przed wycofaniem.
- Prawo do skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO, ul. Stawki 2, 00-193 Warszawa).
Aby skorzystać z praw, napisz na privacy@voltimer.com.pl. Odpowiadamy w ciągu 30 dni.
8. Pliki cookies i podobne technologie
Serwis używa plików cookies, localStorage i sessionStorage do zapewnienia podstawowych funkcji oraz — za Twoją zgodą — analityki. Przy pierwszej wizycie pokazujemy panel zgody (tzw. cookie banner), w którym możesz zaakceptować wszystkie, tylko niezbędne, lub dostosować wybór kategorii. Zgodę możesz zmienić w każdej chwili przez link „Ustawienia cookies" w stopce strony.
8.1. Kategorie wykorzystywanych cookies
a) Niezbędne (zawsze aktywne, bez możliwości wyłączenia)
Podstawa prawna: art. 6 ust. 1 lit. b) RODO (wykonanie umowy) oraz f) (prawnie uzasadniony interes — bezpieczeństwo).
| Nazwa | Cel | Okres przechowywania |
|---|---|---|
__session, __client_uat, __clerk_* | Sesja użytkownika, uwierzytelnianie (Clerk) | do 7 dni / do wylogowania |
vs_cookie_consent | Zapis Twojego wyboru w banerze cookies | 1 rok |
voltsteering-theme (localStorage) | Preferencja motywu (Jasny / Siwy / Ciemny) | bezterminowo (do czyszczenia przez usera) |
voltsteering-projects-view (localStorage) | Preferencja widoku projektów (Karty / Lista / Kanban / Gantt) | bezterminowo |
NEXT_LOCALE | Wybrany język (PL / EN) | 1 rok |
voltsteering-tester-greeting-* | Stan toastu podziękowania dla testera | sesja + 48h dismiss cooldown |
b) Analityka (opt-in — zgoda wymagana)
Podstawa prawna: art. 6 ust. 1 lit. a) RODO (zgoda). Dane anonimowe, bez identyfikacji osobowej.
| Nazwa | Cel | Dostawca | Okres |
|---|---|---|---|
| Vercel Analytics | Anonimowe statystyki odsłon i wydajności (Core Web Vitals) | Vercel Inc., USA (DPF / SCC) | 90 dni |
c) Marketing (opt-in — zgoda wymagana)
Aktualnie nie używamy cookies marketingowych. Zgoda jest zbierana na zapas — jeśli w przyszłości uruchomimy remarketing (np. piksel Meta / LinkedIn), już od pierwszego dnia będziemy respektować Twój wcześniejszy wybór. Jeśli kategorię włączysz teraz, nie ma to żadnego skutku do momentu wdrożenia narzędzi marketingowych.
8.2. Jak wycofać zgodę
- Kliknij „Ustawienia cookies" w stopce strony — otworzy się panel z togglami
- Zmień ustawienia w przeglądarce (usuwanie cookies, blokowanie localStorage)
- Napisz do nas na info@voltimer.com.pl — zrealizujemy w 7 dni
Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Niezbędne cookies pozostają aktywne — bez nich Serwis nie funkcjonuje (np. nie da się zalogować).
9. Automatyczne decyzje i profilowanie
Asystenci AI Platformy (Claude API Anthropic) wspomagają użytkowników w pracy (generowanie dokumentów, analiza zgodności, rekomendacje). Decyzje końcowe zawsze podejmuje człowiek — nie stosujemy w pełni zautomatyzowanych decyzji wywołujących skutki prawne wobec osób fizycznych. Anthropic nie trenuje modeli na Twoich danych (zero-retention policy).
10. Bezpieczeństwo
Stosujemy środki techniczne i organizacyjne adekwatne do ryzyka:
- Szyfrowanie w tranzycie (TLS 1.3) i w spoczynku (AES-256).
- Izolacja danych między tenantami (Row Level Security w Postgres).
- Kontrola dostępu, MFA dla administratorów.
- Codzienne backupy, point-in-time recovery.
- Audit log wszystkich operacji na danych.
- Regularne audyty bezpieczeństwa i pentestingi (planowane po MVP).
11. Zmiany polityki
Zastrzegamy sobie prawo do zmiany niniejszej Polityki prywatności. O istotnych zmianach poinformujemy Cię drogą elektroniczną na co najmniej 30 dni przed ich wejściem w życie.
12. Kontakt
W sprawach związanych z ochroną danych:
E-mail: privacy@voltimer.com.pl
Adres korespondencyjny: Voltimer Sp. z o.o., ul. Henryka Sienkiewicza 36 lok. 5, 26-610 Radom, Polska.