Polityka Prywatności
Obowiązuje od: 26 marca 2026 r.
§ 1. Administrator danych
- Administratorem Twoich danych osobowych jest: Marcin Kowalczuk, Podsośnina 584, 23-412, gm. Łukowa, pow. biłgorajski, woj. lubelskie, NIP: 9182153517 (dalej: „Administrator”).
- Kontakt z Administratorem: kontakt@zlobkowydetektyw.pl.
- Administrator nie wyznaczył Inspektora Ochrony Danych. We wszystkich sprawach dotyczących przetwarzania danych osobowych można kontaktować się bezpośrednio z Administratorem pod adresem e-mail wskazanym powyżej.
§ 2. Jakie dane zbieramy
W ramach Serwisu zbieramy i przetwarzamy następujące dane osobowe:
| Dane | Źródło | Cel przetwarzania | Podstawa RODO | Retencja |
|---|---|---|---|---|
| Adres e-mail | Checkout, quiz, waitlist | Konto, komunikacja, identyfikacja | Art. 6.1.b (umowa) | Do usunięcia konta |
| Hasło (hash bcrypt) | Rejestracja automatyczna | Uwierzytelnienie | Art. 6.1.b (umowa) | Do usunięcia konta |
| Typ pakietu | Stripe checkout | Kontrola dostępu do produktów | Art. 6.1.b (umowa) | Do usunięcia konta |
| Zgoda marketingowa + timestamp | Checkout, quiz, ustawienia | Wysyłka informacji handlowych | Art. 6.1.a (zgoda) | Do wycofania zgody |
| Odpowiedzi quizowe | Formularz quiz | Wynik quizu, personalizacja oferty | Art. 6.1.a (zgoda) | Na żądanie użytkownika |
| Adres e-mail | Formularz pobrania checklisty (lead magnet) | Dostarczenie bezpłatnego materiału, komunikacja marketingowa (za zgodą) | Art. 6.1.a (zgoda) / Art. 6.1.b (umowa) | Do wycofania zgody / na żądanie użytkownika |
| Dane żłobków (nazwa, koszty, oceny) | Wprowadzone przez użytkownika | Funkcjonalność oceny i porównywania | Art. 6.1.b (umowa) | Do usunięcia konta |
| Priorytety ocen | Ustawienia aplikacji | Personalizacja rankingu | Art. 6.1.b (umowa) | Do usunięcia konta |
| Recenzje produktów | Formularz recenzji | Publikacja opinii (za zgodą) | Art. 6.1.a (zgoda) | Do usunięcia konta |
| Adres IP | Automatycznie | Bezpieczeństwo, rate limiting, audyt zgód | Art. 6.1.f (interes) | Do przedawnienia roszczeń |
| Data akceptacji regulaminu | Checkout | Dowód akceptacji warunków | Art. 6.1.c (obowiązek) | 5 lat |
Hasła przechowywane są wyłącznie w postaci hashy kryptograficznych (bcrypt, 12 rund salt). Administrator nie zna haseł Użytkowników i nie jest w stanie ich odczytać.
§ 3. Pliki cookies i localStorage
Serwis wykorzystuje następujące pliki cookies i mechanizmy przechowywania danych w przeglądarce:
| Nazwa | Cel | Czas życia | Typ | Szczegóły |
|---|---|---|---|---|
| token | Sesja użytkownika (JWT z identyfikatorem) | 7 dni | Niezbędne | httpOnly, Secure, SameSite=Lax |
| admin-token | Sesja panelu administracyjnego | 30 dni | Niezbędne | httpOnly, Secure, SameSite=Strict |
| site-password | Bramka dostępu (środowisko preview) | 30 dni | Niezbędne | httpOnly, Secure, SameSite=Lax |
| ph_phc_* | PostHog – anonimowa analityka stron | Ustawiane przez PostHog | Analityczne | Tylko po akceptacji cookie banner |
| _fbp | Meta Pixel – identyfikacja przeglądarki na potrzeby reklam | 3 miesiące | Marketingowe | Tylko po akceptacji cookie banner |
| _fbc | Meta Pixel – śledzenie kliknięć z reklam Facebook/Instagram | 2 lata | Marketingowe | Tylko po akceptacji cookie banner |
| cookie-consent (localStorage) | Zapamiętanie wyboru cookies | Do ręcznego wyczyszczenia | Niezbędne | Przechowywane lokalnie w przeglądarce |
- Pliki cookies analityczne (PostHog) i marketingowe (Meta Pixel) są ustawiane wyłącznie po wyrażeniu zgody przez Użytkownika za pośrednictwem cookie bannera wyświetlanego przy pierwszej wizycie.
- Użytkownik może w dowolnym momencie zmienić ustawienia cookies w przeglądarce lub wycofać zgodę poprzez wyczyszczenie danych przeglądarki.
- PostHog nie rejestruje sesji użytkownika (session recording jest wyłączony). Zbierane są wyłącznie anonimowe dane o odsłonach stron.
Meta Pixel (Facebook Pixel)
Na naszej stronie stosujemy narzędzie Meta Pixel (dawniej Facebook Pixel), dostarczane przez Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irlandia.
Cel przetwarzania:
- mierzenie skuteczności kampanii reklamowych prowadzonych w serwisach Meta (Facebook, Instagram)
- optymalizacja wyświetlania reklam
- tworzenie grup odbiorców na potrzeby remarketingu (wyświetlanie reklam osobom, które odwiedziły naszą stronę)
- analiza zachowań użytkowników na stronie (odwiedzone podstrony, dokonane zakupy, zapisy na listę)
Zakres przetwarzanych danych:
- adres IP (zanonimizowany)
- identyfikator przeglądarki i urządzenia
- informacje o odwiedzanych stronach i wykonanych działaniach (np. wyświetlenie strony produktu, dokonanie zakupu, zapis na checklistę)
- dane dotyczące czasu i źródła wizyty
Podstawa prawna: Twoja zgoda (art. 6 ust. 1 lit. a RODO). Meta Pixel uruchamia się wyłącznie po wyrażeniu zgody na cookies marketingowe w bannerze cookies. Zgodę możesz wycofać w dowolnym momencie, czyszcząc pliki cookies w przeglądarce – przy kolejnej wizycie banner pojawi się ponownie.
Transfer danych do państw trzecich: Meta Platforms może przekazywać dane do USA. Transfer odbywa się na podstawie EU-US Data Privacy Framework.
Okres przechowywania: Dane gromadzone przez Meta Pixel są przechowywane i przetwarzane przez Meta Platforms przez okres do 2 lat.
Więcej informacji: Polityka prywatności Meta Platforms: facebook.com/privacy/policy
§ 4. Cele przetwarzania danych
Dane osobowe przetwarzamy w następujących celach:
- Realizacja umowy (Art. 6 ust. 1 lit. b RODO) – obsługa zakupu, utworzenie i utrzymanie konta, dostarczenie produktów cyfrowych (E-book, Aplikacja), obsługa płatności.
- Zgoda (Art. 6 ust. 1 lit. a RODO) – wysyłka informacji marketingowych, publikacja recenzji, przetwarzanie wyników quizu, dostarczenie bezpłatnych materiałów (checklista / lead magnet).
- Uzasadniony interes administratora (Art. 6 ust. 1 lit. f RODO) – ochrona przed nadużyciami (rate limiting, blokada konta po nieudanych logowaniach), analityka (PostHog), dochodzenie roszczeń.
- Obowiązek prawny (Art. 6 ust. 1 lit. c RODO) – przechowywanie dokumentacji podatkowej, archiwizacja dowodów akceptacji regulaminu.
§ 5. Podmioty przetwarzające dane
W celu świadczenia usług korzystamy z następujących podmiotów przetwarzających:
| Dostawca | Przekazywane dane | Lokalizacja | Cel | Polityka prywatności |
|---|---|---|---|---|
| Stripe, Inc. | E-mail, kwota, metoda płatności | USA (SCCs) | Obsługa płatności | stripe.com/privacy |
| Railsware (Mailtrap) | E-mail odbiorcy, treść wiadomości | EU | Wysyłka e-maili | mailtrap.io/privacy |
| Vercel, Inc. | Dane w tranzycie (HTTP) | EU (Frankfurt) | Hosting aplikacji | vercel.com/legal/privacy-policy |
| Neon, Inc. | Wszystkie dane z bazy | EU | Baza danych | neon.tech/privacy |
| Upstash, Inc. | Adresy IP, liczniki | EU | Rate limiting | upstash.com/trust/privacy |
| PostHog, Inc. | Anonimowe dane odsłon | EU (eu.i.posthog.com) | Analityka | posthog.com/privacy |
| Meta Platforms Ireland Ltd. | Identyfikator przeglądarki, dane o odsłonach i konwersjach | Irlandia / USA (DPF) | Marketing, remarketing, analityka reklam | facebook.com/privacy/policy |
| Google LLC | Adres IP przeglądarki | USA | Czcionki webowe | policies.google.com/privacy |
- Transfer danych do USA (Stripe, Meta Platforms, Google Fonts) odbywa się na podstawie Standardowych Klauzul Umownych (SCCs) lub decyzji o adekwatności ochrony (EU-US Data Privacy Framework).
- Hosting na Vercel jest skonfigurowany w regionie EU (Frankfurt, Niemcy) – dane nie opuszczają Europejskiego Obszaru Gospodarczego.
§ 6. Okres przechowywania danych
- Dane związane z kontem Użytkownika – do momentu usunięcia konta lub żądania usunięcia danych.
- Dane quizowe, waitlist i lead magnet – do momentu usunięcia na żądanie Użytkownika lub wycofania zgody.
- Zgody marketingowe i logi zgód (w tym adres IP) – przez okres niezbędny do wykazania zgodności z przepisami, nie dłużej niż do przedawnienia roszczeń.
- Dane podatkowe (dowody zakupu, akceptacja regulaminu) – 5 lat zgodnie z przepisami prawa podatkowego.
- Logi wysłanych e-maili i aktywności administracyjnej – przez okres niezbędny do celów operacyjnych i audytowych, nie dłużej niż do przedawnienia roszczeń.
- Wygasłe tokeny (auto-login, reset hasła) – logicznie nieważne po upływie terminu; usuwane periodycznie.
§ 7. Prawa użytkownika
Jako Użytkownik masz następujące prawa wynikające z RODO:
- Prawo dostępu do danych (Art. 15 RODO) – możesz uzyskać informację o przetwarzanych danych, wysyłając żądanie na adres: kontakt@zlobkowydetektyw.pl.
- Prawo do sprostowania (Art. 16 RODO) – jeśli Twoje dane są nieprawidłowe, skontaktuj się z nami w celu ich poprawienia.
- Prawo do usunięcia danych (Art. 17 RODO) – możesz zażądać usunięcia konta i powiązanych danych, wysyłając żądanie na adres: kontakt@zlobkowydetektyw.pl. Usunięcie konta jest nieodwracalne.
- Prawo do przenoszenia danych (Art. 20 RODO) – możesz zażądać eksportu swoich danych w formacie CSV/JSON.
- Prawo do wycofania zgody (Art. 7 ust. 3 RODO) – zgodę na komunikację marketingową możesz wycofać w dowolnym momencie: w ustawieniach konta, poprzez link „wypisz się” w każdym e-mailu, lub wysyłając żądanie na adres: kontakt@zlobkowydetektyw.pl.
- Prawo do wniesienia skargi – masz prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.
Żądania realizujemy w terminie 30 dni od dnia otrzymania. W uzasadnionych przypadkach termin może zostać przedłużony o kolejne 60 dni, o czym Użytkownik zostanie poinformowany.
§ 8. Komunikacja marketingowa
- Komunikację marketingową wysyłamy wyłącznie za wyraźną zgodą Użytkownika (opt-in).
- Zgoda jest zbierana: na etapie zakupu (checkbox w formularzu checkout), w formularzu quizu, w formularzu pobrania checklisty (lead magnet), w ustawieniach konta.
- Każdy e-mail marketingowy zawiera link umożliwiający natychmiastowe wypisanie się.
- Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
- Historia zmian zgody (udzielenie/wycofanie, data, adres IP, źródło) jest przechowywana w celach audytowych.
§ 9. Bezpieczeństwo danych
Stosujemy następujące środki techniczne i organizacyjne w celu ochrony danych:
- Hasła przechowywane wyłącznie w postaci hashy kryptograficznych (bcrypt, 12 rund salt).
- Szyfrowanie transmisji – HTTPS (TLS) wymuszony na wszystkich połączeniach.
- Tokeny jednorazowe (auto-login, reset hasła) przechowywane jako hash SHA-256 – plaintext nie jest zapisywany.
- Ograniczanie liczby żądań (rate limiting) – 3–60 żądań/minutę w zależności od endpointu, z wykorzystaniem Redis (Upstash).
- Blokada konta po 5 nieudanych próbach logowania na 15 minut.
- Nagłówki bezpieczeństwa HTTP: Content-Security-Policy, X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin.
- Panel administracyjny zabezpieczony ograniczeniem dostępu po adresie IP (CIDR allowlist).
- Sanityzacja danych wejściowych (ochrona przed XSS) – usuwanie tagów HTML z danych wprowadzanych przez użytkowników.
- Weryfikacja podpisów webhooków Stripe (ochrona przed fałszywymi zdarzeniami płatności).
- Pliki cookies z flagami httpOnly, Secure i SameSite.
§ 10. Kontakt
- We wszelkich sprawach dotyczących ochrony danych osobowych prosimy o kontakt: kontakt@zlobkowydetektyw.pl.
- Administrator danych: Marcin Kowalczuk, Podsośnina 584, 23-412, gm. Łukowa, pow. biłgorajski, woj. lubelskie, NIP: 9182153517.
- Organ nadzorczy: Prezes Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl.
Polityka prywatności wchodzi w życie z dniem 26 marca 2026 r.