Polityka Prywatności

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest:

Serwis: ksef-monitor.pl

Administrator nie wyznaczył Inspektora Ochrony Danych (IOD), ponieważ nie zachodzą przesłanki obligatoryjnego wyznaczenia IOD określone w art. 37 RODO. We wszelkich sprawach dotyczących przetwarzania danych osobowych można kontaktować się bezpośrednio z Administratorem pod adresem e-mail wskazanym powyżej.

2. Zakres zastosowania

Niniejsza Polityka Prywatności opisuje zasady przetwarzania danych osobowych w związku z korzystaniem z serwisu ksef-monitor.pl („Usługa"), w tym w szczególności:

• rejestrację i utrzymanie konta,
• integrację z KSeF w celu monitorowania dokumentów,
• wysyłkę powiadomień e-mail/SMS/PUSH,
• obsługę płatności i rozliczeń.

3. Cele i podstawy prawne przetwarzania

Twoje dane osobowe przetwarzamy w następujących celach i na następujących podstawach prawnych:

3.1. Wykonanie umowy (art. 6 ust. 1 lit. b RODO)

• świadczenie Usługi ksef-monitor.pl (monitorowanie faktur i zdarzeń w KSeF),
• założenie i obsługa konta użytkownika,
• autoryzacja i utrzymanie połączenia z KSeF po stronie Użytkownika,
• wysyłka komunikatów transakcyjnych (np. link do logowania, powiadomienia o wykryciu dokumentu, powiadomienia o dostępności/awariach KSeF).

3.2. Obowiązek prawny (art. 6 ust. 1 lit. c RODO)

• wypełnianie obowiązków rachunkowych i podatkowych Administratora (np. dokumentowanie sprzedaży Usługi),
• udzielanie informacji uprawnionym organom, jeśli obowiązek wynika z przepisów.

3.3. Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO)

• zapewnienie bezpieczeństwa Usługi i przeciwdziałanie nadużyciom (np. rate-limiting, wykrywanie prób ataku),
• diagnostyka błędów i poprawa stabilności działania,
• dochodzenie roszczeń lub obrona przed roszczeniami.

3.4. Zgoda (art. 6 ust. 1 lit. a RODO)

• stosowanie analitycznych plików cookies (Google Analytics za pośrednictwem Google Tag Manager) - w celu analizy ruchu i poprawy jakości Usługi,
• stosowanie marketingowych plików cookies (Google Ads, Meta Pixel) - w celu pomiaru skuteczności kampanii reklamowych i personalizacji reklam,
• wysyłka informacji marketingowych, jeżeli wyrazisz na to zgodę.

Zgoda na cookies analityczne i marketingowe wyrażana jest za pomocą banera cookies wyświetlanego przy pierwszej wizycie. Ustawienia cookies możesz zmienić w dowolnym momencie, klikając link „Zarządzaj cookies" w stopce serwisu.

Zgodę możesz wycofać w dowolnym momencie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania przed jej wycofaniem.

4. Kategorie przetwarzanych danych

W zależności od sposobu korzystania z Usługi przetwarzamy następujące kategorie danych:

4.1. Dane konta i kontaktowe

• adres e-mail (wymagany do rejestracji i logowania),
• imię i nazwisko,
• nazwa firmy,
• NIP (wymagany do monitorowania dokumentów w KSeF).

4.2. Dane dotyczące dokumentów z KSeF

Usługa może przetwarzać dane pochodzące z KSeF, w szczególności:

• dane dokumentów w formacie XML (np. numery, daty, kwoty, dane sprzedawcy i nabywcy),
• wygenerowane lub zapisane kopie dokumentów w formacie PDF (jeżeli funkcja zapisu/przechowywania jest wykorzystywana w Usłudze).

Dane te pochodzą bezpośrednio z Krajowego Systemu e-Faktur i mogą zawierać również dane osób trzecich wskazanych w dokumentach (np. dane kontrahentów).

4.3. Dane uwierzytelniające i dostępowe

• certyfikat KSeF (publiczny),
• klucz prywatny KSeF (przechowywany w postaci zaszyfrowanej),
• dane niezbędne do utrzymania sesji i autoryzacji.

Nie przechowujemy haseł - logowanie odbywa się poprzez jednorazowy link („magic link") wysyłany na e-mail.

4.4. Dane techniczne i eksploatacyjne

• adres IP, typ przeglądarki, system operacyjny,
• identyfikatory i tokeny niezbędne do realizacji powiadomień PUSH (np. endpoint web-push),
• zdarzenia systemowe i logi błędów (z mechanizmami ograniczania danych identyfikujących, o ile możliwe).

5. Obowiązek podania danych

Podanie danych osobowych jest dobrowolne, ale niezbędne do korzystania z Usługi:

• adres e-mail - wymagany do rejestracji i logowania (bez niego nie możesz utworzyć Konta),
• NIP - wymagany do monitorowania dokumentów w KSeF (bez niego Usługa nie może być świadczona),
• certyfikat i klucz KSeF - wymagane do autoryzacji połączenia z KSeF (bez nich synchronizacja nie jest możliwa),
• dane rozliczeniowe (nazwa firmy, adres) - wymagane do wystawienia faktury w przypadku wykupienia Planu.

Niepodanie danych niezbędnych skutkuje brakiem możliwości korzystania z odpowiedniej funkcji Usługi.

6. Źródło danych

• dane konta podajesz samodzielnie podczas rejestracji i korzystania z Usługi,
• dane dokumentów i zdarzeń pochodzą z KSeF i są przetwarzane w zakresie niezbędnym do realizacji Usługi.

7. Odbiorcy danych (podwykonawcy)

Twoje dane mogą być przekazywane następującym kategoriom odbiorców - wyłącznie w zakresie niezbędnym do realizacji Usługi:

• KSeF / Ministerstwo Finansów - autoryzacja i pobieranie dokumentów/zdarzeń (Polska).
• PayPro S.A. (Przelewy24) - obsługa płatności. Administrator nie przechowuje danych kart płatniczych (Polska).
• Resend, Inc. - wysyłka e-maili transakcyjnych (np. magic link, powiadomienia) (USA - transfer na podstawie SCC).
• SMSAPI - wysyłka powiadomień SMS (lokalizacja przetwarzania zależna od dostawcy i konfiguracji).
• Cloudflare (R2) - przechowywanie plików (np. XML/PDF) w obiektowym storage (lokalizacja przetwarzania zależna od konfiguracji oraz warunków dostawcy).
• OVH - utrzymanie infrastruktury aplikacji i baz danych (lokalizacja zależna od dostawcy).
• Google LLC (Google Analytics 4 + Google Ads) - analiza ruchu na stronie oraz pomiar skuteczności kampanii reklamowych. Dane przetwarzane na podstawie zgody (art. 6 ust. 1 lit. a RODO) wyrażonej za pomocą banera cookies. Google działa jako podmiot przetwarzający na podstawie Warunków przetwarzania danych Google Ads (USA - patrz pkt 8.4).
• Meta Platforms Ireland Ltd (Meta Pixel + Conversions API) - pomiar konwersji i skuteczności kampanii reklamowych na platformach Meta (Facebook, Instagram). Dane przetwarzane na podstawie zgody (art. 6 ust. 1 lit. a RODO). Meta działa jako współadministrator w zakresie gromadzenia danych ze zdarzeń (USA - patrz pkt 8.5).

Administrator nie sprzedaje danych osobowych podmiotom trzecim.

8. Przekazywanie danych do państw trzecich (poza EOG)

8.1. Resend (USA)

W związku z korzystaniem z Resend, Inc. Twoje dane (adres e-mail oraz treść wiadomości transakcyjnych) mogą być przekazywane do Stanów Zjednoczonych.

Transfer odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO).

8.2. Web Push (VAPID) - możliwy transfer zależny od przeglądarki

Powiadomienia PUSH dla aplikacji webowej są realizowane w standardzie Web Push (VAPID) i mogą wymagać udziału usług push dostawców przeglądarek/systemów operacyjnych (np. dostawcy przeglądarki). W takim przypadku przekazywane mogą być techniczne identyfikatory (np. endpoint/token powiadomień) oraz treść powiadomienia - zależnie od konfiguracji i urządzenia.

8.3. Cloudflare

Cloudflare jest dostawcą globalnym. Lokalizacja przetwarzania danych w ramach Cloudflare (w tym R2) zależy od ustawień, warunków świadczenia usług oraz infrastruktury dostawcy. W razie transferu poza EOG, podstawą mogą być SCC lub inne mechanizmy zgodne z RODO udostępnione przez dostawcę.

8.4. Google LLC (USA)

W związku z korzystaniem z Google Analytics 4 (za pośrednictwem Google Tag Manager) oraz Google Ads dane dotyczące aktywności w serwisie (identyfikatory cookies, adresy IP w formie zanonimizowanej, zdarzenia) mogą być przekazywane do Stanów Zjednoczonych.

Transfer odbywa się na podstawie decyzji adekwatności w ramach EU-US Data Privacy Framework (DPF) oraz Standardowych Klauzul Umownych (SCC).

8.5. Meta Platforms, Inc. (USA)

W związku z korzystaniem z Meta Pixel oraz Meta Conversions API dane dotyczące zdarzeń w serwisie (zahaszowane adresy e-mail, identyfikatory cookies, adresy IP) mogą być przekazywane do Stanów Zjednoczonych.

Transfer odbywa się na podstawie decyzji adekwatności w ramach EU-US Data Privacy Framework (DPF) oraz Standardowych Klauzul Umownych (SCC).

9. Okres przechowywania danych

9.1. Dane konta, integracji i dokumentów (XML/PDF)

Dane przechowujemy przez czas utrzymywania konta. Usunięcie konta skutkuje rozpoczęciem procesu usunięcia danych powiązanych z kontem z systemów produkcyjnych.

9.2. Kopie zapasowe i logi techniczne

Z przyczyn technicznych i bezpieczeństwa kopie zapasowe oraz logi mogą być przechowywane przez ograniczony czas po usunięciu konta (np. w cyklu kopii zapasowych), a następnie nadpisywane lub usuwane.

9.3. Dane rozliczeniowe

Dane związane z rozliczeniami i dokumentacją księgową przechowujemy przez okres wymagany przepisami (co do zasady 5 lat, licząc od końca roku, w którym powstał obowiązek podatkowy).

10. Prawa użytkownika

Zgodnie z RODO przysługują Ci m.in. prawa:

• dostępu do danych (art. 15),
• sprostowania danych (art. 16),
• usunięcia danych (art. 17),
• ograniczenia przetwarzania (art. 18),
• przenoszenia danych (art. 20),
• sprzeciwu (art. 21),
• wycofania zgody (jeżeli przetwarzanie odbywa się na podstawie zgody).

Masz także prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl), jeżeli uznasz, że przetwarzanie narusza RODO.

W sprawie realizacji praw napisz na: kontakt@ksef-monitor.pl. Odpowiemy bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania żądania (art. 12 ust. 3 RODO). W przypadkach szczególnie skomplikowanych termin może zostać przedłużony o kolejne dwa miesiące, o czym zostaniesz poinformowany.

11. Pliki cookies

Serwis ksef-monitor.pl korzysta z plików cookies i podobnych technologii zgodnie z przepisami ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej (Dz.U. 2024 poz. 1221). Cookies analityczne i marketingowe są stosowane wyłącznie po uzyskaniu Twojej uprzedniej zgody za pomocą banera cookies.

11.1. Niezbędne (zawsze aktywne)

Cookies wymagane do prawidłowego działania serwisu. Nie wymagają zgody.

11.2. Analityczne (wymagają zgody)

Cookies służące do analizy ruchu i sposobu korzystania z serwisu.

11.3. Marketingowe (wymagają zgody)

Cookies służące do pomiaru skuteczności kampanii reklamowych i personalizacji reklam.

11.4. Zarządzanie cookies

Przy pierwszej wizycie w serwisie wyświetlamy baner cookies, w którym możesz wybrać kategorie plików cookies, na które wyrażasz zgodę. Swoje preferencje możesz zmienić w dowolnym momencie, klikając link „Zarządzaj cookies" w stopce serwisu.

Możesz także zablokować lub usunąć cookies w ustawieniach przeglądarki. Blokada cookies niezbędnych może uniemożliwić korzystanie z Usługi.

12. Bezpieczeństwo danych

Stosujemy środki techniczne i organizacyjne adekwatne do ryzyka, w tym w szczególności:

• szyfrowanie transmisji danych (TLS/HTTPS),
• szyfrowanie danych uwierzytelniających (w tym kluczy prywatnych) w spoczynku,
• brak haseł (logowanie przez magic link),
• mechanizmy ochrony przed nadużyciami (np. rate limiting),
• minimalizację danych w logach i narzędziach diagnostycznych, w miarę możliwości,
• regularne kopie zapasowe systemów.

13. Zautomatyzowane podejmowanie decyzji

Nie podejmujemy decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałoby wobec Ciebie skutki prawne lub w podobny sposób istotnie na Ciebie wpływało.

14. Zmiany Polityki Prywatności

Możemy aktualizować niniejszą Politykę Prywatności, w szczególności w razie zmian funkcjonalności Usługi lub dostawców. O istotnych zmianach poinformujemy e-mailem lub komunikatem w serwisie.

Aktualna wersja jest dostępna pod adresem: ksef-monitor.pl/polityka-prywatnosci

15. Kontakt

W sprawach dotyczących prywatności i ochrony danych skontaktujesz się z nami: