Polityka prywatności taxmachine.pl
Polityka prywatności serwisu taxmachine.pl — jakie dane zbieramy, w jakim celu, przez jaki czas oraz jakie prawa przysługują osobom, których dane dotyczą (RODO).
Opublikowano
Niniejsza Polityka prywatności określa zasady przetwarzania danych osobowych przez NEONET CONSULTING S.C. w związku z prowadzeniem serwisu taxmachine.pl i Sklepu sklep.taxmachine.pl.
1. Administrator danych osobowych
Administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO jest:
NEONET CONSULTING S.C. Sebastian Moździoch, Małgorzata Moździoch ul. Gajowa 31, Częstochowa NIP: 573-24-07-471, REGON: 151541003
Kontakt w sprawach ochrony danych osobowych:
- e-mail: pomoc@taxmachine.pl
- pisemnie: na adres siedziby
Z uwagi na charakter i skalę przetwarzania Administrator nie ma obowiązku powołania Inspektora Ochrony Danych (art. 37 RODO). Wszelkie pytania w sprawach RODO prosimy kierować na podany wyżej adres e-mail.
2. Jakie dane przetwarzamy i w jakim celu
2.1. Zakup licencji (Klienci Sklepu)
| Dane | Cel | Podstawa prawna |
|---|---|---|
| Imię, nazwisko, adres e-mail, adres rozliczeniowy, NIP (jeśli firma) | Wykonanie umowy sprzedaży i wystawienie faktury | art. 6 ust. 1 lit. b RODO (wykonanie umowy) + art. 6 ust. 1 lit. c RODO (obowiązek podatkowy) |
| Numer telefonu (opcjonalnie) | Kontakt w sprawie zamówienia | art. 6 ust. 1 lit. b RODO |
| Dane przelewu bankowego (imię i nazwisko wpłacającego, numer rachunku nadawcy, tytuł przelewu) | Identyfikacja wpłaty i powiązanie jej z zamówieniem | art. 6 ust. 1 lit. b RODO (wykonanie umowy) — dane pochodzą z wyciągu bankowego Sprzedawcy |
| Dane do faktury | Wystawienie faktury VAT i jej archiwizacja | art. 6 ust. 1 lit. c RODO (obowiązek z ustawy o VAT i ustawy o rachunkowości) |
2.2. Korzystanie z programu (po aktywacji licencji)
| Dane | Cel | Podstawa prawna |
|---|---|---|
| Klucz licencyjny, identyfikator instalacji, liczba aktywnych stanowisk, daty aktywacji/reaktywacji | Weryfikacja ważności licencji i zwalczanie nadużyć | art. 6 ust. 1 lit. b RODO (wykonanie umowy) + art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora — ochrona przed nieuprawnionym korzystaniem z licencji) |
| Adres IP, wersja programu, system operacyjny — przy aktywacji i automatycznej aktualizacji | Aktywacja licencji, dostarczenie aktualizacji, diagnostyka | art. 6 ust. 1 lit. b RODO + art. 6 ust. 1 lit. f RODO |
Program nie wysyła do Administratora treści dokumentów księgowych, faktur, deklaracji ani innych danych finansowych Klienta. Wszystkie te dane pozostają w bazie danych po stronie Klienta (lokalnej SQLite lub serwerze MariaDB/MySQL Klienta).
2.3. Usługa „Kopie w chmurze"
| Dane | Cel | Podstawa prawna |
|---|---|---|
| Zaszyfrowane (AES-256) bloby z bazą danych Klienta | Wykonanie usługi tworzenia kopii zapasowej | art. 6 ust. 1 lit. b RODO |
| Metadane techniczne (rozmiar, data, hash) | Identyfikacja i odtworzenie kopii | art. 6 ust. 1 lit. b RODO |
Hasło szyfrowania znane jest wyłącznie Klientowi — Administrator nigdy nie widzi zawartości plików kopii. Dane są dla nas „czarną skrzynką", którą tylko Klient może otworzyć.
2.4. Konto użytkownika w serwisie
| Dane | Cel | Podstawa prawna |
|---|---|---|
| Imię, nazwisko, e-mail, hash hasła, historia zamówień | Prowadzenie konta i obsługa subskrypcji | art. 6 ust. 1 lit. b RODO |
2.5. Formularze kontaktowe i zgłoszenia problemów
| Dane | Cel | Podstawa prawna |
|---|---|---|
| Imię, nazwisko, e-mail, treść wiadomości, opcjonalnie telefon, dane techniczne (wersja programu, system operacyjny, baza danych, kolumna gdzie wystąpił błąd), opcjonalnie załączniki (zrzuty ekranu, logi) | Obsługa zgłoszenia / odpowiedź na pytanie | art. 6 ust. 1 lit. b RODO (gdy zgłoszenie dotyczy umowy) lub art. 6 ust. 1 lit. f RODO (uzasadniony interes — obsługa komunikacji) |
| Adres IP zgłaszającego, znacznik czasu | Ochrona przed nadużyciami (rate-limiting, anti-spam) | art. 6 ust. 1 lit. f RODO |
| Token Cloudflare Turnstile (potwierdzenie że formularz wysłał człowiek) | Ochrona przed botami/spamem | art. 6 ust. 1 lit. f RODO |
2.6. Newsletter / mailingi marketingowe
Administrator nie prowadzi obecnie regularnego newslettera. Jeżeli w przyszłości taka usługa zostanie uruchomiona, zapisanie się będzie wymagało wyraźnej zgody (art. 6 ust. 1 lit. a RODO + art. 10 ustawy o świadczeniu usług drogą elektroniczną).
2.7. Dane techniczne — automatyczne
Podczas wizyty w serwisie automatycznie zapisywane są w logach systemowych:
- adres IP urządzenia końcowego,
- typ i wersja przeglądarki,
- system operacyjny,
- data i godzina zapytania,
- adres URL strony, z której nastąpiło wejście (Referer),
- adresy URL stron oglądanych w serwisie.
Cel: zapewnienie bezpieczeństwa serwisu, statystyki zbiorcze, diagnostyka błędów.
Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora — bezpieczeństwo i prawidłowe działanie serwisu).
3. Komu udostępniamy dane
Administrator przetwarza dane głównie we własnej infrastrukturze (serwery utrzymywane bezpośrednio przez NEONET CONSULTING). W zakresie ograniczonym do określonych usług dane mogą być przekazywane następującym kategoriom odbiorców:
- Bank Administratora — w zakresie obsługi przelewów przychodzących od Klientów (Sprzedawca otrzymuje wyciągi bankowe, na podstawie których identyfikuje wpłaty). Przetwarzanie przez bank odbywa się na podstawie ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe oraz umowy rachunku bankowego — Administrator nie ma wpływu na zakres tego przetwarzania.
- Google Ireland Limited / Google LLC — w zakresie dostawy usługi poczty elektronicznej (Google Workspace / Gmail) wykorzystywanej do wysyłki transakcyjnych wiadomości e-mail (potwierdzenia zamówień, klucze licencyjne, faktury, odpowiedzi na zgłoszenia problemów). Działa na podstawie umowy powierzenia przetwarzania (DPA Google Workspace, art. 28 RODO).
- Biuro księgowe / podmiot świadczący usługi księgowe Administratora — w zakresie obsługi faktur i ewidencji podatkowej. Działa na podstawie umowy powierzenia przetwarzania.
- Cloudflare, Inc. — w zakresie usługi ochrony przed botami (Turnstile, captcha) na formularzach kontaktowych i zgłoszeniach problemów oraz ochrony przed DDoS. Cloudflare przetwarza dane na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską oraz uczestniczy w EU-U.S. Data Privacy Framework.
- Organy państwowe — na ich uzasadnione żądanie, na podstawie przepisów prawa (sąd, prokuratura, organ podatkowy itp.).
Administrator nie sprzedaje danych osobowych ani nie udostępnia ich w celach marketingowych podmiotom trzecim.
4. Płatności
Sprzedawca akceptuje wyłącznie płatności przelewem bankowym na rachunek wskazany na fakturze pro forma. Nie korzystamy z zewnętrznych operatorów płatności (PayU, Przelewy24, Stripe itp.) — Administrator nie otrzymuje numerów kart kredytowych ani danych logowania do bankowości elektronicznej Klienta.
W ramach przelewu bankowego Administrator otrzymuje od banku informacje standardowo widoczne w wyciągu bankowym: imię i nazwisko (lub nazwę firmy) wpłacającego, numer rachunku nadawcy, kwotę, datę i tytuł przelewu. Dane te są wykorzystywane wyłącznie do identyfikacji wpłaty i powiązania jej z zamówieniem.
Bank Administratora jest niezależnym administratorem tych danych w zakresie świadczenia usług bankowych — szczegóły przetwarzania określa polityka prywatności banku.
5. Przekazywanie danych poza EOG
Administrator przetwarza dane na własnych serwerach zlokalizowanych w Polsce. Wyjątki dotyczące przekazania poza EOG:
- Google (Google Workspace / Gmail) — używamy Gmail jako dostawcy poczty wychodzącej (SMTP) do wysyłki transakcyjnych wiadomości e-mail. Google jest podmiotem amerykańskim; dane mogą być przetwarzane na serwerach w EOG i w USA. Podstawa przekazania: standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską oraz uczestnictwo Google w EU-U.S. Data Privacy Framework (decyzja Komisji 2023/1795).
- Cloudflare, Inc. (anti-bot / DDoS) — siedziba w USA, dane przetwarzane głównie w infrastrukturze EOG. Również SCC + Data Privacy Framework.
Inne przekazania poza EOG nie są dokonywane bez wcześniejszej informacji.
6. Okres przechowywania danych
| Kategoria danych | Okres |
|---|---|
| Dane do faktur | 5 lat od końca roku, w którym wystawiono fakturę (obowiązek z ustawy o rachunkowości i ordynacji podatkowej) |
| Dane zamówień (poza fakturami) | Do końca okresu obowiązywania subskrypcji + 6 lat (okres przedawnienia roszczeń z umowy) |
| Konto Klienta | Do usunięcia konta przez Klienta lub do 2 lat po ostatniej aktywności |
| Logi systemowe serwera | 90 dni (rotacja) |
| Korespondencja w zgłoszeniach problemów | 3 lata od zamknięcia zgłoszenia |
| Klucze licencyjne (rejestr aktywacji) | Do 5 lat po wygaśnięciu wszystkich subskrypcji Klienta |
| Kopie w chmurze (zaszyfrowane bloby) | Przez okres aktywnej usługi + 30 dni karencji po jej zakończeniu (na wypadek pomyłki, potem trwale usuwane) |
Po upływie okresów dane są trwale usuwane lub zanonimizowane.
7. Prawa osób, których dane dotyczą
Każda osoba, której dane przetwarzamy, ma prawo do:
- dostępu do danych (art. 15 RODO) — uzyskania informacji jakie dane przetwarzamy oraz kopii tych danych,
- sprostowania danych (art. 16 RODO) — poprawienia danych nieprawidłowych lub niekompletnych,
- usunięcia danych („prawo do bycia zapomnianym", art. 17 RODO) — w zakresie, w jakim nie jesteśmy obowiązani je przechowywać z mocy prawa (np. faktur),
- ograniczenia przetwarzania (art. 18 RODO),
- przenoszenia danych (art. 20 RODO) — otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego,
- sprzeciwu wobec przetwarzania (art. 21 RODO) — gdy podstawą jest uzasadniony interes Administratora,
- wycofania zgody w dowolnym momencie (gdy podstawą jest zgoda) — bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem,
- wniesienia skargi do organu nadzorczego — Prezes Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.
W celu realizacji praw prosimy o kontakt: pomoc@taxmachine.pl lub pisemnie na adres siedziby. Odpowiadamy bez zbędnej zwłoki, nie później niż w 30 dni (z możliwością przedłużenia o kolejne 60 dni w skomplikowanych sprawach — art. 12 ust. 3 RODO).
8. Czy podanie danych jest obowiązkowe?
Podanie danych jest dobrowolne, lecz w przypadku zamówień — niezbędne do zawarcia i wykonania umowy. Brak podania danych do faktury uniemożliwia jej wystawienie i tym samym sprzedaż.
W przypadku formularzy kontaktowych podanie e-maila i treści wiadomości jest niezbędne do udzielenia odpowiedzi. Pozostałe dane (telefon, dane techniczne) są opcjonalne i przyspieszają obsługę zgłoszenia.
9. Profilowanie i decyzje zautomatyzowane
Administrator nie podejmuje zautomatyzowanych decyzji, które wywoływałyby skutki prawne wobec osoby, której dane dotyczą, ani istotnie na nią wpływały (w rozumieniu art. 22 RODO).
Nie stosujemy profilowania w celach marketingowych.
10. Bezpieczeństwo danych
Stosujemy środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych odpowiednią do zagrożeń:
- Szyfrowanie transmisji — wszystkie strony serwisu objęte są protokołem HTTPS (TLS 1.2 lub nowszy).
- Szyfrowanie składowania danych w usłudze „Kopie w chmurze" — AES-256 po stronie klienta; hasło Klienta nigdy nie opuszcza jego komputera.
- Hasła użytkowników przechowywane są jako kryptograficzne skróty (bcrypt/argon2), nigdy w postaci czytelnej.
- Backup baz danych — automatyczne kopie z retencją.
- Aktualizacje oprogramowania systemowego i bibliotek (Node.js, PostgreSQL, system operacyjny, Cloudflare).
- Ograniczony dostęp do danych — tylko upoważnieni pracownicy Administratora.
- Logowanie i audyt dostępu do danych Klientów.
11. Pliki cookie i podobne technologie
Szczegółowe informacje o plikach cookie wykorzystywanych w serwisie — ich rodzajach, celach, okresach przechowywania i sposobie zarządzania w przeglądarce — opisaliśmy w osobnej sekcji niżej.
11.1. Co to są cookies
Pliki cookie ("ciasteczka") to małe pliki tekstowe zapisywane w przeglądarce użytkownika podczas korzystania ze stron WWW. Pozwalają one na zapamiętanie preferencji użytkownika i prawidłowe działanie strony.
11.2. Cookies wykorzystywane w serwisie
| Cookie | Cel | Czas |
|---|---|---|
| Sesyjne (techniczne) | Utrzymanie sesji zalogowanego użytkownika, koszyk zakupów, akceptacja regulaminu | Do zakończenia sesji przeglądarki |
| Preferencje (techniczne) | Wybór trybu jasny/ciemny, preferencje wyświetlania, akceptacja banera cookie | Do 12 miesięcy |
Cloudflare Turnstile (__cf_bm, cf_clearance) | Ochrona przed botami i atakami DDoS | Do 30 minut (__cf_bm) / 30 dni (cf_clearance) |
Obecnie nie stosujemy cookies marketingowych, śledzących ani analitycznych zewnętrznych dostawców (Google Analytics, Facebook Pixel itp.). Jeżeli sytuacja się zmieni, wymagana będzie wyraźna zgoda użytkownika przed ich aktywacją.
11.3. Zarządzanie cookies
Użytkownik może w każdej chwili samodzielnie ustawić w swojej przeglądarce sposób obsługi cookies — zablokować je, ograniczyć do określonych witryn lub usunąć już zapisane. Instrukcje znajdują się w pomocy każdej przeglądarki (Chrome, Firefox, Edge, Safari).
Zablokowanie cookies technicznych może spowodować, że niektóre funkcje serwisu (np. koszyk, sesja zalogowanego użytkownika) będą działać nieprawidłowo.
12. Zmiany Polityki prywatności
Administrator może zaktualizować Politykę prywatności w przypadku zmiany przepisów, technologii lub zakresu świadczonych usług. Aktualna wersja publikowana jest pod adresem https://taxmachine.pl/polityka-prywatnosci z informacją o dacie ostatniej aktualizacji w nagłówku.
W przypadku zmian istotnych z punktu widzenia osób, których dane dotyczą (np. nowe kategorie odbiorców danych, zmiana okresu przechowywania), Administrator informuje o tym z odpowiednim wyprzedzeniem — pocztą elektroniczną na zarejestrowane konta lub poprzez ogłoszenie na stronie głównej serwisu.
13. Pytania
W razie pytań dotyczących tej Polityki prywatności lub przetwarzania Twoich danych prosimy o kontakt:
- e-mail: pomoc@taxmachine.pl
- pisemnie: NEONET CONSULTING S.C., ul. Gajowa 31, Częstochowa