Polityka Prywatności

Ostatnia aktualizacja: 5 kwietnia 2026 r.

I. Administrator danych osobowych

Administratorem Twoich danych osobowych jest Przemysław Razik IT SERVICES, NIP: 6412401697, REGON: 54180804500000, jednoosobowa działalność gospodarcza zarejestrowana w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) (dalej: „Administrator").Dane kontaktowe Administratora:— Adres siedziby: ul. Skowronków 20, 43-190 Mikołów— Adres e-mail: kontakt@twojafirma.pro— Telefon: +48 534 008 282

II. Jakie dane zbieramy

1. Dane podawane przy rejestracji i konfiguracji konta: adres e-mail (wymagany), hasło (przechowywane wyłącznie w formie zaszyfrowanej — bcrypt, 12 rund), imię i nazwisko (opcjonalnie), nazwa firmy, NIP, telefon, adres siedziby (opcjonalnie), zdjęcie profilowe i logo firmy (opcjonalnie).
2. Dane wprowadzane w trakcie korzystania z Serwisu: dane klientów (imiona, adresy, telefony, e-maile, typ klienta, notatki), dane pracowników (imiona, nazwiska, e-maile, telefony, stanowiska, stawki godzinowe, wynagrodzenia netto, typ umowy, statusy zatrudnienia), dane wniosków o wolne pracowników, dane zespołów, dane zleceń, dane finansowe (przychody, koszty z numerami faktur), dane rezerwacji online, dane opinii i ocen, ustawienia powiadomień i godzin pracy, cenniki usług, wyceny dla klientów (PDF).
3. Dane zbierane automatycznie: adres IP, typ przeglądarki i systemu operacyjnego (user agent), czas dostępu, współrzędne geograficzne klientów (geokodowanie adresów via Nominatim/OpenStreetMap), wiele lokalizacji na klienta z opcjonalnymi strefami geofence.
4. Dane śledzenia pracy i geolokalizacji pracowników (moduł Geolokalizacja — opcjonalny): meldunki GPS (JobCheckIn) — współrzędne geograficzne i znacznik czasu, walidacja geofence, strefy geofence (GeofenceSite), źródło meldunku, zatwierdzenie godzin, zdjęcia z realizacji zleceń (JobPhoto), notatki z wymeldowania, ustawienia modułu. Moduł domyślnie jest wyłączony. Pracodawca aktywujący moduł jest zobowiązany do poinformowania pracowników zgodnie z art. 13 RODO i art. 22² Kodeksu pracy.
5. Dzienniki bezpieczeństwa i audytu: dziennik logowań (LoginLog), ostatnie logowanie i aktywność, dziennik działań administratora (AdminLog), wersja tokenu (tokenVersion).
6. Dane subskrypcji powiadomień push: endpoint URL dostawcy przeglądarki oraz klucze kryptograficzne p256dh i auth, wykorzystywane wyłącznie do doręczania powiadomień z Serwisu.
7. Komunikacja zespołowa (Announcements): ogłoszenia tekstowe pracodawcy do pracowników z rejestrem odczytu.
8. Dane płatności i rozliczeń: identyfikatory transakcji Tpay, kwoty transakcji, statusy. Nie przechowujemy numerów kart płatniczych ani danych logowania do bankowości. Dodatkowo przechowujemy saldo kredytowe Użytkownika (PLN).

III. Cele i podstawy prawne przetwarzania danych

Twoje dane osobowe przetwarzamy w następujących celach: 1) Świadczenie usług — umożliwienie korzystania z funkcjonalności Serwisu (art. 6 ust. 1 lit. b RODO). 2) Realizacja płatności i rozliczeń za subskrypcje (art. 6 ust. 1 lit. b RODO). 3) Bezpieczeństwo — ochrona konta i danych przed nieuprawnionym dostępem (art. 6 ust. 1 lit. f RODO). 4) Komunikacja — odpowiadanie na zapytania i zgłoszenia (art. 6 ust. 1 lit. f RODO). 5) Doskonalenie Serwisu (art. 6 ust. 1 lit. f RODO). 6) Ustalenie, dochodzenie lub obrona przed roszczeniami (art. 6 ust. 1 lit. f RODO). 7) Obsługa subkont pracowników (art. 6 ust. 1 lit. b i f RODO). 8) Zarządzanie wnioskami o wolne (art. 6 ust. 1 lit. b i f RODO). 9) Integracja z Google Calendar — po wyrażeniu zgody (art. 6 ust. 1 lit. a RODO). 10) Monitorowanie czasu i miejsca pracy pracowników — moduł Geolokalizacja (art. 6 ust. 1 lit. b i f RODO; art. 22² Kodeksu pracy). 11) Rejestrowanie zdarzeń bezpieczeństwa — LoginLog i AdminLog (art. 6 ust. 1 lit. f RODO). 12) Doręczanie powiadomień push (art. 6 ust. 1 lit. a RODO). 13) Komunikacja zespołowa — Announcements (art. 6 ust. 1 lit. f RODO).

IV. Okres przechowywania danych

Dane konta przechowywane są przez cały okres korzystania z Serwisu. Po usunięciu konta dane są trwale usuwane z bazy danych, z wyjątkiem danych wymaganych przepisami prawa (np. dane rozliczeniowe — 5 lat zgodnie z Ordynacją podatkową). Kopie zapasowe wykonywane co 24h, przechowywane przez 14 dni. Tokeny resetowania hasła wygasają po 1 godzinie. Linki do formularzy opinii wygasają po 30 dniach. Dziennik logowań (LoginLog) — 12 miesięcy. Dziennik działań administratora (AdminLog) — 24 miesiące. Meldunki GPS pracowników — nie dłużej niż 12 miesięcy od zakończenia zlecenia (do 3 lat przy obowiązku ewidencji czasu pracy). Zdjęcia z realizacji zleceń — do 24 miesięcy od daty przesłania. Subskrypcje powiadomień push — do cofnięcia zgody. Ogłoszenia zespołowe — nie dłużej niż 6 miesięcy od utworzenia.

V. Udostępnianie danych

Nie sprzedajemy i nie udostępniamy danych osobowych osobom trzecim w celach marketingowych. Dane mogą być przekazywane wyłącznie następującym kategoriom odbiorców: Hostinger sp. z o.o. (hosting, bazy danych, kopie zapasowe, serwer SMTP), Tpay / Krajowy Integrator Płatności S.A. (obsługa płatności), Nominatim / OpenStreetMap Foundation (geokodowanie adresów), Google LLC — Google Calendar API (opcjonalna synchronizacja za zgodą), Google LLC — Google Analytics 4 (analiza ruchu za zgodą), dostawcy usług push (Google FCM, Mozilla autopush, Apple APNs), organy państwowe na podstawie przepisów prawa.
Dane przechowywane przez Administratora znajdują się na terenie EOG na serwerach Hostinger w UE. Wyjątki dotyczą opcjonalnych integracji: Google Calendar API i GA4 mogą przetwarzać dane w USA na podstawie SCC i EU-US Data Privacy Framework. Z podmiotami przetwarzającymi dane zawierane są umowy DPA zgodnie z art. 28 RODO.

VI. Prawa Użytkownika

Zgodnie z RODO przysługują Ci następujące prawa: 1) Prawo dostępu do swoich danych (art. 15 RODO) — realizowane przez funkcję „Eksportuj dane" w ustawieniach profilu. 2) Prawo do sprostowania danych (art. 16 RODO) — edycja danych w ustawieniach profilu. 3) Prawo do usunięcia danych — „prawo do bycia zapomnianym" (art. 17 RODO) — funkcja „Usuń konto" z kaskadowym usunięciem wszystkich powiązanych danych. 4) Prawo do ograniczenia przetwarzania (art. 18 RODO). 5) Prawo do przenoszenia danych (art. 20 RODO) — eksport w formacie JSON. 6) Prawo do sprzeciwu wobec przetwarzania (art. 21 RODO). 7) Prawo do cofnięcia zgody (art. 7 ust. 3 RODO). 8) Prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
Kontakt: e-mail kontakt@twojafirma.pro, telefon +48 534 008 282, adres: ul. Skowronków 20, 43-190 Mikołów.

VII. Bezpieczeństwo danych

Stosujemy następujące środki techniczne i organizacyjne: hasła przechowywane w formie zaszyfrowanej (bcrypt, 12 rund solenia), połączenia szyfrowane protokołem HTTPS/TLS, tokeny uwierzytelniające (JWT) wygasają po 7 dniach, tokeny resetowania hasła wygasają po 1 godzinie, ograniczenia liczby prób logowania (rate limiting): 5 prób na 15 minut dla logowania, 3 próby na 15 minut dla rejestracji i resetowania hasła, automatyczne kopie zapasowe bazy danych co 24 godziny (przechowywane 14 dni), kontrola dostępu oparta na rolach (RBAC) i poziomach subskrypcji, monitoring dostępności systemu co 5 minut.

VIII. Pliki cookies i przechowywanie lokalne

A. Cookies niezbędne do działania Serwisu: tf_token — httpOnly cookie z tokenem JWT (14 dni), tf_csrf — token ochrony przed CSRF, tf_cookie_consent — decyzja o zgodzie na cookies analityczne (1 rok). localStorage: tf_user — podstawowe dane profilu do wyświetlenia w interfejsie (usuwane przy wylogowaniu).
B. Cookies analityczne i reklamowe (Google Analytics 4): Serwis korzysta z GA4 dostarczanego przez Google LLC. Pliki cookies GA4 po wyrażeniu zgody: _ga (identyfikator użytkownika, 2 lata), _ga_ID (cookie sesyjne, 2 lata), _gid (identyfikator sesji, 24h), _gclxxxx (identyfikator Google Ads, 90 dni). Cookies analityczne i reklamowe są domyślnie zablokowane — ustawiane wyłącznie po wyraźnej zgodzie (Google Consent Mode v2).
C. Śledzenie między domenami: Serwis wykorzystuje cross-domain tracking GA4 pomiędzy twojafirma.pro a app.twojafirma.pro.

IX. Integracja z Google Calendar

Serwis oferuje opcjonalną integrację z Google Calendar, dostępną we wszystkich planach. 1. Zakres danych: Po wyrażeniu zgody przez Użytkownika za pośrednictwem protokołu OAuth 2.0, Serwis uzyskuje dostęp do zakresów: calendar (odczyt listy kalendarzy) i calendar.events (tworzenie, odczyt i aktualizacja wydarzeń). 2. Cel wykorzystania: dwukierunkowa synchronizacja zleceń, import wydarzeń z Google Calendar jako zleceń, eksport zleceń do Google Calendar. Synchronizacja obejmuje: tytuł zlecenia, datę, godzinę, czas trwania, adres oraz notatki. 3. Przechowywanie danych: Tokeny OAuth 2.0 przechowywane w bazie danych. Dane wydarzeń nie są przechowywane trwale — pobierane w czasie rzeczywistym. Identyfikatory eventId zapisywane przy zleceniach. 4. Udostępnianie danych: Dane z Google Calendar nie są udostępniane podmiotom trzecim, nie są wykorzystywane do reklam ani sprzedawane. 5. Cofnięcie zgody: Użytkownik może rozłączyć integrację w ustawieniach kalendarza lub cofnąć dostęp w ustawieniach konta Google (myaccount.google.com/permissions). Po rozłączeniu tokeny są natychmiast usuwane. 6. Korzystanie z danych Google API jest zgodne z Google API Services User Data Policy, w tym z wymaganiami Limited Use.

X. Zautomatyzowane podejmowanie decyzji

Administrator nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym nie stosuje profilowania w rozumieniu art. 22 RODO.

XI. Informacja o wymogu podania danych

Podanie danych osobowych (adres e-mail, hasło) jest dobrowolne, lecz niezbędne do rejestracji konta i korzystania z Serwisu. Brak podania wymaganych danych uniemożliwi utworzenie konta. Podanie pozostałych danych (imię, nazwisko, dane firmowe) jest dobrowolne i służy pełniejszemu wykorzystaniu funkcjonalności Serwisu.

XII. Przetwarzanie danych pracowników (subkonta)

Użytkownik (pracodawca) może tworzyć subkonta dostępowe dla swoich pracowników. Pracodawca działa jako samodzielny administrator danych osobowych swoich pracowników, a Usługodawca pełni rolę podmiotu przetwarzającego (art. 28 RODO). Zakres przetwarzanych danych pracownika: dane identyfikacyjne (imię, nazwisko, e-mail, telefon, stanowisko, zdjęcie profilowe), dane zatrudnienia (typ umowy, stawki, status studenta/bezrobotnego), dane logowania do subkonta (e-mail, zaszyfrowane hasło, dzienniki logowań), dane pracy (przydzielone zlecenia, godziny pracy, wnioski o wolne), dane modułu Geolokalizacja — jeżeli pracodawca aktywował moduł: współrzędne GPS meldunków, walidacja geofence, zdjęcia z realizacji zleceń, notatki z wymeldowania, komunikaty skierowane do pracownika i rejestr ich odczytu. Obowiązki pracodawcy: poinformowanie pracownika o przetwarzaniu danych (art. 13 RODO), uzyskanie podstawy prawnej, umożliwienie realizacji praw RODO. Prawa pracownika: żądania dotyczące danych mogą być kierowane do pracodawcy lub do Administratora Serwisu (kontakt@twojafirma.pro). Zakres dostępu w subkoncie: domyślnie pracownik widzi wyłącznie przydzielone zlecenia, profil, kalendarz, dokumenty onboardingu i wnioski o wolne. Dostęp do danych klientów i finansów zależy od przypisanej roli i uprawnień skonfigurowanych przez pracodawcę.

XIII. Naruszenia ochrony danych

W przypadku wykrycia naruszenia ochrony danych osobowych Administrator: 1) Dokumentuje naruszenie w wewnętrznym rejestrze. 2) Zgłasza naruszenie Prezesowi Urzędu Ochrony Danych Osobowych w terminie 72 godzin od jego stwierdzenia, jeżeli naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych (art. 33 RODO). 3) Zawiadamia bez zbędnej zwłoki Użytkowników, których dane dotyczą, jeżeli naruszenie może powodować wysokie ryzyko naruszenia ich praw lub wolności (art. 34 RODO). Zgłoszenia podejrzeń naruszenia bezpieczeństwa można kierować na adres kontakt@twojafirma.pro.

XIV. Zmiany Polityki Prywatności

Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności. O zmianach Użytkownik zostanie powiadomiony za pośrednictwem Serwisu oraz drogą elektroniczną co najmniej 14 dni przed ich wejściem w życie. Data wejścia w życie: 5 kwietnia 2026 r.

I. Administrator danych osobowych