Polityka Prywatności
Ostatnia aktualizacja: 1 marca 2025 r. | Wersja 1.0
1. Administrator danych osobowych
Administratorem Twoich danych osobowych jest właściciel serwisu QRKontakt, prowadzący jednoosobową działalność gospodarczą, z siedzibą w Polsce, dostępny pod adresem e-mail: kontakt@qrkontakt.com.
Serwis dostępny jest pod adresem: qrkontakt.com
2. Inspektor ochrony danych
Ze względu na skalę przetwarzania danych administrator nie jest zobowiązany do wyznaczenia Inspektora Ochrony Danych (IOD). W sprawach dotyczących ochrony danych osobowych możesz kontaktować się bezpośrednio z administratorem pod adresem: privacy@qrkontakt.com.
3. Jakie dane osobowe zbieramy
3.1. Dane rejestracyjne
Przy rejestracji konta zbieramy:
- Adres e-mail
- Imię i nazwisko
- Hasło (przechowywane wyłącznie w formie zaszyfrowanego skrótu bcrypt)
3.2. Dane z logowania przez OAuth (Google / Apple)
- Adres e-mail potwierdzony przez dostawcę
- Imię i nazwisko z profilu
- Zaszyfrowany token dostępowy (szyfrowanie sodium_crypto_secretbox)
3.3. Dane z formularza kontaktowego
- Imię nadawcy
- Adres e-mail nadawcy
- Numer telefonu (opcjonalnie)
- Treść wiadomości
- Załączniki (pliki przesyłane przez nadawcę)
3.4. Dane dotyczące naklejek QR
- 16-znakowy kod QR przypisany do konta użytkownika
- Dane skanowania: znacznik czasu + pseudonimizowany skrót adresu IP (SHA-256 z APP_SECRET) — nigdy surowy adres IP
3.5. Dane płatnicze
- Dane transakcji (kwota, data, status) przechowywane po naszej stronie
- Dane kart płatniczych i rachunków bankowych są przetwarzane wyłącznie przez Stripe Inc. i PayNow (mBank S.A.) — nie przechowujemy ich na naszych serwerach
3.6. Dane adresowe (wysyłka)
- Imię i nazwisko odbiorcy
- Adres dostawy (ulica, kod pocztowy, miasto, kraj)
- Numer telefonu kontaktowego (dla kuriera)
3.7. Dane techniczne
- Sesje użytkownika przechowywane w Redis (ciasteczka sesyjne)
- Hashe IP do ograniczania liczby żądań (rate limiting) — bez surowych adresów IP
- Logi błędów (Sentry) — pseudonimizowane identyfikatory, bez danych PII
- Subskrypcje push: endpoint przeglądarki VAPID (powiadomienia web push)
- Kody referralowe: 8-znakowy kod powiązany z kontem użytkownika
4. Podstawy prawne i cele przetwarzania
| Cel przetwarzania | Podstawa prawna (art. 6 RODO) |
|---|---|
| Prowadzenie konta użytkownika | art. 6 ust. 1 lit. b — wykonanie umowy |
| Realizacja zamówień i płatności | art. 6 ust. 1 lit. b — wykonanie umowy |
| Obsługa formularza kontaktowego (anonimowe wiadomości) | art. 6 ust. 1 lit. b — wykonanie umowy / lit. f — prawnie uzasadniony interes |
| Wysyłka naklejek QR | art. 6 ust. 1 lit. b — wykonanie umowy |
| Powiadomienia push (web push) | art. 6 ust. 1 lit. a — zgoda |
| Marketing e-mailowy | art. 6 ust. 1 lit. a — zgoda |
| Bezpieczeństwo i zapobieganie nadużyciom (rate limiting) | art. 6 ust. 1 lit. f — prawnie uzasadniony interes |
| Obowiązki podatkowe i księgowe | art. 6 ust. 1 lit. c — obowiązek prawny |
| Dochodzenie lub obrona roszczeń | art. 6 ust. 1 lit. f — prawnie uzasadniony interes |
5. Okresy przechowywania danych
- Konto użytkownika:Przez czas trwania umowy (aktywne konto) + 3 lata po jej zakończeniu (przedawnienie roszczeń)
- Dane transakcyjne:5 lat od końca roku podatkowego (obowiązek podatkowy / art. 74 ustawy o rachunkowości)
- Wiadomości z formularza kontaktowego:12 miesięcy od daty wysłania, chyba że użytkownik zażąda wcześniejszego usunięcia
- Dane skanowania QR:12 miesięcy od daty skanu
- Sesje i ciasteczka:30 dni (ciasteczko remember_me), sesja przeglądarki (ciasteczko sesji)
- Subskrypcje push:Do momentu cofnięcia zgody lub odinstalowania przez przeglądarkę
- Logi rate limiting:24 godziny
6. Odbiorcy danych i przekazywanie danych
Twoje dane mogą być przekazywane następującym podmiotom zewnętrznym (wyłącznie w zakresie niezbędnym do świadczenia usługi):
Stripe Inc.
Obsługa płatności kartą. Dane chronione zgodnie z PCI-DSS. Siedziba: USA — dane przekazywane na podstawie standardowych klauzul umownych (SCC). Polityka prywatności Stripe
mBank S.A. (PayNow)
Obsługa płatności BLIK i przelewów online. Siedziba: Polska (podmiot krajowy). Polityka prywatności PayNow
Furgonetka.pl (Apaczka S.A.)
Usługi kurierskie i dostawa naklejek. Imię, nazwisko i adres dostawy są przekazywane do organizacji przesyłki. Siedziba: Polska.
Google LLC (Google OAuth)
Logowanie przez Google. Siedziba: USA — dane przekazywane na podstawie SCC. Polityka prywatności Google
Apple Inc. (Sign in with Apple)
Logowanie przez Apple. Siedziba: USA — dane przekazywane na podstawie SCC. Polityka prywatności Apple
Sentry (Functional Software, Inc.)
Monitoring błędów aplikacji (jeśli skonfigurowany). Dane są pseudonimizowane. Siedziba: USA — dane przekazywane na podstawie SCC.
Dostawca hostingu
Infrastruktura serwerowa i baza danych na terenie Unii Europejskiej.
Administrator nie sprzedaje ani nie udostępnia danych osobowych stronom trzecim w celach marketingowych.
7. Twoje prawa
Na podstawie RODO przysługują Ci następujące prawa:
Prawo dostępu (art. 15)
Możesz uzyskać informację o tym, jakie Twoje dane przetwarzamy i otrzymać ich kopię.
Prawo do sprostowania (art. 16)
Możesz żądać poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
Prawo do usunięcia (art. 17)
Możesz żądać usunięcia danych ("prawo do bycia zapomnianym"), gdy nie są już potrzebne lub cofnęłeś/aś zgodę.
Prawo do ograniczenia (art. 18)
Możesz żądać wstrzymania przetwarzania Twoich danych w określonych okolicznościach.
Prawo do przenoszenia (art. 20)
Możesz otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie (CSV/JSON).
Prawo do sprzeciwu (art. 21)
Możesz sprzeciwić się przetwarzaniu opartemu na prawnie uzasadnionym interesie.
Prawo do cofnięcia zgody
W każdej chwili możesz cofnąć udzieloną zgodę bez wpływu na zgodność z prawem wcześniejszego przetwarzania.
Prawo do skargi do UODO
Możesz złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).
Aby skorzystać z powyższych praw, skontaktuj się z nami: privacy@qrkontakt.com. Odpowiemy bez zbędnej zwłoki, nie później niż w ciągu 30 dni.
8. Pliki cookies
Używamy następujących kategorii plików cookies:
8.1. Cookies niezbędne (bez zgody)
| Nazwa | Cel | Czas życia |
|---|---|---|
| PHPSESSID | Sesja użytkownika (logowanie) | Sesja przeglądarki |
| REMEMBERME | Opcja "Zapamiętaj mnie" | 30 dni |
| _csrf_token | Ochrona przed atakami CSRF | Sesja przeglądarki |
8.2. Cookies funkcjonalne (za zgodą)
| Nazwa | Cel | Czas życia |
|---|---|---|
| cookie_consent | Przechowuje Twój wybór dot. cookies (localStorage) | Trwały (localStorage) |
Możesz zarządzać plikami cookies w ustawieniach swojej przeglądarki. Zablokowanie cookies niezbędnych może uniemożliwić korzystanie z serwisu.
9. Bezpieczeństwo danych
Stosujemy następujące środki techniczne i organizacyjne w celu ochrony Twoich danych:
- ✓Szyfrowanie połączenia (TLS 1.2+) dla całego serwisu
- ✓Hasła przechowywane wyłącznie jako skrót bcrypt (koszt 13)
- ✓Tokeny OAuth szyfrowane algorytmem XSalsa20-Poly1305 (libsodium)
- ✓Adresy IP nigdy nie są przechowywane w postaci jawnej — wyłącznie pseudonimizowane skróty SHA-256
- ✓Separacja baz Redis (cache, sesje, rate limiting) w izolowanych bazach danych
- ✓Nagłówki bezpieczeństwa HTTP (CSP, HSTS, X-Frame-Options, X-Content-Type-Options)
- ✓Ochrona CSRF dla wszystkich formularzy
- ✓Rate limiting żądań w celu przeciwdziałania atakom brute-force
- ✓Dane kart płatniczych przetwarzane wyłącznie przez certyfikowane podmioty (PCI-DSS)
10. Kontakt
W sprawach dotyczących ochrony danych osobowych możesz się z nami skontaktować:
- E-mail: privacy@qrkontakt.com
- Ogólny kontakt: kontakt@qrkontakt.com
- Strona internetowa: qrkontakt.com
11. Zmiany polityki prywatności
Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności. O istotnych zmianach poinformujemy Cię drogą e-mailową lub poprzez wyraźne powiadomienie w serwisie co najmniej 14 dni przed ich wejściem w życie.
Aktualna wersja Polityki Prywatności jest zawsze dostępna pod adresem qrkontakt.com/privacy.