# Polityka prywatności

Ostatnia aktualizacja: 2026-07-13
Wersja HTML (kanoniczna): https://szbihub.pl/prywatnosc/

---

## 1. Administrator danych i kontakt

1. Administratorem danych osobowych opisanych w niniejszej polityce (z wyjątkiem danych, dla których działamy jako podmiot przetwarzający - patrz pkt 2.3 i pkt 10) jest Supremeware Ltd, spółka zarejestrowana w Anglii i Walii pod numerem 09922936, z siedzibą: University Of Warwick Enterprise Park, Wellesbourne, Warwick, United Kingdom, CV35 9EF (dalej: "my", "Administrator").
2. Kontakt we wszystkich sprawach dotyczących danych osobowych: [kontakt@szbihub.pl](mailto:kontakt@szbihub.pl).
3. Przedstawiciel w Unii Europejskiej (art. 27 RODO): {{PRZEDSTAWICIEL_UE_NAZWA_I_ADRES}}. TODO-CONTENT: wymóg ustanowienia przedstawiciela dla Supremeware Ltd (spółka spoza UE bez jednostki organizacyjnej w UE, oferująca usługi podmiotom w UE - art. 3 ust. 2 RODO) jest w trakcie potwierdzania przez radcę; pole uzupełni założyciel po zawarciu umowy z przedstawicielem. Do tego czasu sekcji nie publikować z pustym polem.
4. Nie wyznaczyliśmy inspektora ochrony danych (IOD/DPO); według naszej wstępnej oceny nie spełniamy przesłanek obowiązku z art. 37 RODO. TODO-CONTENT: ocena do potwierdzenia przez radcę (skala przetwarzania danych w ramach usługi B2B).

## 2. Kogo i czego dotyczy ta polityka

1. Polityka obejmuje trzy grupy osób:
   1. **Odwiedzający stronę publiczną** szbihub.pl (w tym korzystający z narzędzi typu kalkulator kwalifikacji i formularzy kontaktowych);
   2. **Partnerzy i ich użytkownicy** - osoby zakładające i używające kont na platformie SZBIhub po stronie partnera (firmy IT);
   3. **Osoby kontaktujące się z nami** - e-mail, formularz wsparcia, zgłoszenia.
2. Dla powyższych grup działamy jako administrator.
3. **Dane wprowadzane do środowisk organizacji klienckich** (rejestry SZBI, dokumenty, dane pracowników organizacji, incydenty, dane szkoleniowe) przetwarzamy wyłącznie jako podmiot przetwarzający, na zlecenie - zgodnie z umową powierzenia (DPA) i łańcuchem opisanym w pkt 10. W tym zakresie administratorem jest organizacja kliencka (lub odpowiednio partner), a niniejsza polityka ma charakter wyłącznie informacyjny.

## 3. Jakie dane przetwarzamy, po co i na jakiej podstawie

| Cel                                                                                                                                                                                     | Zakres danych                                                                                                                                                                                                                                                                              | Podstawa prawna (RODO)                                                                                        | Uwagi                                                                                                                                                                                                                                                                                                                           |
| --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Strona publiczna - statystyki odwiedzin                                                                                                                                                 | Obecnie NIE zbieramy żadnych statystyk odwiedzin strony. Możemy w przyszłości uruchomić analitykę Plausible (self-host, UE) działającą bez cookies i bez identyfikatorów użytkownika, z adresami IP nieprzechowywanymi w statystykach - przed jej uruchomieniem zaktualizujemy tę politykę | art. 6 ust. 1 lit. f (uzasadniony interes: pomiar działania strony) - dotyczy dopiero przyszłego uruchomienia | Strona statyczna nie zapisuje danych w urządzeniu do celów śledzenia - patrz Polityka cookies; opis zgodny ze stanem faktycznym (D-R2-9)                                                                                                                                                                                        |
| Logi techniczne infrastruktury www i aplikacji                                                                                                                                          | Adres IP, znaczniki czasu, żądane zasoby, identyfikatory błędów                                                                                                                                                                                                                            | art. 6 ust. 1 lit. f (bezpieczeństwo, diagnostyka, obrona przed nadużyciami)                                  | Retencja krótka - patrz pkt 6                                                                                                                                                                                                                                                                                                   |
| Formularz rejestracji konta partnerskiego (NFR) i prowadzenie konta                                                                                                                     | E-mail firmowy, nazwa firmy, NIP, imię i nazwisko, rola, hasło (w postaci skrótu), logi logowań                                                                                                                                                                                            | art. 6 ust. 1 lit. b (umowa/działania przed zawarciem umowy)                                                  | Konta służbowe; usługa wyłącznie B2B [docelowo: GTM-REQ-2 - samoobsługowa rejestracja w budowie; dziś konta powstają na zaproszenie]                                                                                                                                                                                            |
| Weryfikacja antyabuzywna rejestracji                                                                                                                                                    | Dane rejestracyjne, domena e-mail, wynik weryfikacji NIP, sygnały techniczne (np. wynik Turnstile)                                                                                                                                                                                         | art. 6 ust. 1 lit. f (zapobieganie nadużyciom programu NFR)                                                   | Limit 1 konto NFR / NIP i domenę [docelowo: GTM-REQ-2 - mechanizmy antyabuzywne w budowie]                                                                                                                                                                                                                                      |
| Komunikacja związana z usługą (e-maile transakcyjne i cyklu życia konta: weryfikacja adresu, powitanie, przypomnienia o terminach, ostrzeżenia o wygasaniu, powiadomienia o zaległości) | E-mail, imię, dane o stanie konta wyzwalające komunikat                                                                                                                                                                                                                                    | art. 6 ust. 1 lit. b oraz f (informowanie o stanie usługi)                                                    | Wysyłki zdarzeniowe, nie masowe; bez pikseli śledzących i bez pomiaru kliknięć (D-R2-9)                                                                                                                                                                                                                                         |
| Kurs e-mailowy i treści edukacyjne za zapisem                                                                                                                                           | E-mail, potwierdzenie zapisu (double opt-in), daty wysyłek                                                                                                                                                                                                                                 | art. 6 ust. 1 lit. a (zgoda; do wycofania w każdej chwili linkiem w stopce)                                   | Zgoda odbierana zgodnie z art. 398 ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej (Dz.U. 2024 poz. 1221; ISAP: [https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240001221](https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240001221)) [docelowo: OP-1.4d - autoresponder kursu w budowie] |
| Obsługa zgłoszeń wsparcia i reklamacji                                                                                                                                                  | Adres e-mail, treść zgłoszenia, identyfikator konta, metadane techniczne zgłoszenia                                                                                                                                                                                                        | art. 6 ust. 1 lit. b i f                                                                                      | Wstępną odpowiedź może przygotować system AI; zgłoszenia oznaczone jako prawne lub dot. danych osobowych trafiają do człowieka [docelowo: OP-3.1 - system wsparcia AI w budowie; dziś odpowiada wyłącznie człowiek]                                                                                                             |
| Rozliczenia zakupów                                                                                                                                                                     | Obsługę płatności prowadzi Paddle jako Merchant of Record i odrębny administrator (pkt 4.3); my otrzymujemy dane o statusie subskrypcji i dokumentach sprzedaży (bez pełnych danych kart)                                                                                                  | art. 6 ust. 1 lit. b, c, f                                                                                    | Polityka Paddle: [paddle.com/privacy](https://www.paddle.com/privacy) [docelowo: F2.E3.T2 - integracja rozliczeń w budowie]                                                                                                                                                                                                     |
| Ustalenie, dochodzenie i obrona roszczeń; wykazanie zgodności (rozliczalność)                                                                                                           | Dane umowne, zapisy akceptacji dokumentów (kto, kiedy, która wersja) [docelowo: F4.E3.T2 - rejestrowanie akceptacji w budowie], audit log działań na koncie                                                                                                                                | art. 6 ust. 1 lit. f; w zakresie obowiązków prawnych - lit. c                                                 | -                                                                                                                                                                                                                                                                                                                               |

Podanie danych oznaczonych w formularzach jako wymagane jest warunkiem zawarcia umowy lub odpowiedzi na zgłoszenie; pozostałe dane są dobrowolne.

## 4. Odbiorcy danych

1. Dane powierzamy podmiotom przetwarzającym wspierającym działanie usługi: **OVHcloud (OVH Groupe SAS)** - hosting aplikacji i bazy danych, lokalizacja przetwarzania: Polska (Warszawa), UE; **Scaleway TEM (Scaleway SAS)** - wysyłka e-mail transakcyjnych, Francja, UE (brak transferów poza UE); **Scaleway Object Storage (Scaleway SAS)** - przechowywanie zaszyfrowanych kopii zapasowych, Francja, UE (celowo inny dostawca i inny kraj niż hosting produkcyjny; ten sam podmiot, który świadczy dla nas wysyłkę e-mail). Zawarcie umowy powierzenia z dostawcą kopii zapasowych oraz uruchomienie samych kopii nastąpią przed startem produkcyjnym usługi - na dzień tej wersji kopie zapasowe nie są jeszcze wykonywane [docelowo: F4.E1.T3 - automatyka kopii i testów odtwarzania w budowie]. Aktualna, pełna lista podprocesorów wraz z lokalizacjami jest publikowana na stronie [/security](/security) i stanowi załącznik do DPA. (Wybór dostawców: decyzje D-R2-10 i D-R3-4 na podstawie rekomendacji `docs/paddle-kyb/06-decyzja-subprocesorzy.md`.)
2. Jeżeli uruchomimy narzędzia analityczne lub monitoringu błędów, będą one utrzymywane samodzielnie na naszej własnej infrastrukturze w UE (self-host) - w tym zakresie nie wystąpi odrębny odbiorca danych; na dzień tej wersji żadne z tych narzędzi nie działa. [docelowo: F4.E4.T2 - error tracking; analityka wg pkt 3 tabela, wiersz pierwszy]
3. **Paddle** - sprzedawcą (Merchant of Record) usług płatnych jest Paddle.com Market Limited (Londyn, Anglia i Walia). W zakresie realizacji transakcji Paddle działa jako odrębny administrator danych kupujących; zasady: [paddle.com/privacy](https://www.paddle.com/privacy). TODO-CONTENT: kwalifikacja roli Paddle do potwierdzenia przez radcę (patrz DPA, rejestr).
4. Dane mogą być ujawnione uprawnionym organom, gdy wymaga tego prawo.
5. Nie sprzedajemy danych osobowych i nie udostępniamy ich brokerom danych ani sieciom reklamowym.

## 5. Przekazywanie danych poza EOG

1. Dane przechowujemy na serwerach zlokalizowanych w Unii Europejskiej.
2. Administratorem jest spółka z siedzibą w Zjednoczonym Królestwie; dostęp do danych w ramach zarządzania usługą może następować z Wielkiej Brytanii i z Polski. Przekazywanie danych do Zjednoczonego Królestwa odbywa się na podstawie decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (art. 45 RODO); decyzja dotycząca Zjednoczonego Królestwa została odnowiona 19 grudnia 2025 r. i obowiązuje do 27 grudnia 2031 r. (wykaz decyzji: [https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en)).
3. Nie przekazujemy danych do państw trzecich innych niż Zjednoczone Królestwo. Gdyby w przyszłości miało się to zmienić, zastosujemy mechanizmy z rozdziału V RODO (art. 44-49) i zaktualizujemy tę politykę oraz listę podprocesorów z 30-dniowym uprzedzeniem.

## 6. Jak długo przechowujemy dane

Szczegółowe okresy dla wszystkich kategorii określa publiczna Polityka retencji danych; najważniejsze zasady [docelowo: F4.E3.T1 / F4.E1.T3 - zautomatyzowane joby retencyjne w budowie; okresy poniżej opisują stan docelowy]:

| Kategoria                                | Okres                                                                                                                         |
| ---------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------- |
| Dane konta partnerskiego                 | Czas trwania umowy + 90 dni trybu tylko-do-odczytu (eksport) + usuwanie zgodnie z retencją                                    |
| Zapisy akceptacji dokumentów i audit log | Czas trwania umowy + okres przedawnienia roszczeń (TODO-CONTENT: konkretny okres wskaże radca dla wybranego prawa właściwego) |
| Logi techniczne                          | Do 90 dni, chyba że są dowodem w toczącym się postępowaniu lub incydencie                                                     |
| Zgłoszenia wsparcia                      | Do 24 miesięcy od zamknięcia zgłoszenia                                                                                       |
| Zapis na kurs e-mailowy                  | Do wycofania zgody lub zakończenia kursu + 30 dni                                                                             |
| Kopie zapasowe                           | Cykl rotacji kopii (parametr w Polityce retencji); usunięcie danych propaguje się wraz z rotacją                              |

## 7. Prawa osób, których dane dotyczą

1. W zakresie, w jakim jesteśmy administratorem, każdej osobie przysługują prawa z RODO: dostępu do danych (art. 15), sprostowania (art. 16), usunięcia (art. 17), ograniczenia przetwarzania (art. 18), przenoszenia danych (art. 20), sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie (art. 21), a w przypadku przetwarzania opartego na zgodzie - prawo cofnięcia zgody w każdym czasie (bez wpływu na zgodność przetwarzania przed cofnięciem).
2. Żądania prosimy kierować na [kontakt@szbihub.pl](mailto:kontakt@szbihub.pl). Odpowiadamy bez zbędnej zwłoki, nie później niż w ciągu miesiąca (art. 12 RODO; termin może być przedłużony na zasadach tam wskazanych).
3. Każdemu przysługuje skarga do organu nadzorczego (art. 77 RODO). Dla osób w Polsce: Prezes Urzędu Ochrony Danych Osobowych (uodo.gov.pl). TODO-CONTENT: radca potwierdzi opis właściwości organów w układzie transgranicznym (administrator w UK: rola ICO vs organów UE; brak jednostki w UE a mechanizm z art. 27) - do tego czasu wskazujemy PUODO jako organ właściwy dla osób w Polsce oraz możliwość skargi do organu miejsca pobytu.
4. Jeżeli żądanie dotyczy danych, które przetwarzamy jako podmiot przetwarzający (dane organizacji klienckiej), przekażemy je administratorowi tych danych (organizacji lub partnerowi) i poinformujemy o tym zgłaszającego.

## 8. Zautomatyzowane decyzje i profilowanie

Nie podejmujemy wobec osób decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, wywołujących skutki prawne lub podobnie istotne (art. 22 RODO). Sygnały antyabuzywne przy rejestracji (pkt 3) wspierają decyzję, której ostateczna odmowa następuje z udziałem człowieka.

## 9. Bezpieczeństwo danych

Stosujemy środki techniczne i organizacyjne odpowiednie do ryzyka (art. 32 RODO), w tym: izolację danych poszczególnych partnerów i organizacji - architektura multi-tenant z separacją wymuszaną w warstwie aplikacji (globalne filtry zapytań, blokada zapisu między najemcami, automatyczne testy izolacji), a docelowo dodatkowo zabezpieczeniami na poziomie wierszy bazy danych (row-level security) zgodnie z harmonogramem fazy hardeningu [docelowo: F4.E2.T3] - szyfrowanie transmisji (TLS), uwierzytelnianie wieloskładnikowe, dziennik zdarzeń w trybie tylko-do-dopisywania, a także - zgodnie z harmonogramem wdrożenia środowiska produkcyjnego - szyfrowanie danych w spoczynku oraz regularne kopie zapasowe z testami odtwarzania [docelowo: F4.E1.T3] i zasadę minimalnych uprawnień. Opis architektury bezpieczeństwa publikujemy na stronie [/security](/security); wykaz środków stanowi także załącznik do DPA (Załącznik C, ze wskazaniem środków wdrożonych i zaplanowanych).

## 10. Dane organizacji klienckich (działamy jako podmiot przetwarzający)

1. Łańcuch ról przy danych wprowadzanych do środowiska organizacji klienckiej: organizacja (administrator) -> partner (podmiot przetwarzający organizacji, świadczący jej usługę) -> Supremeware Ltd (dalszy podmiot przetwarzający, dostawca narzędzia) -> nasi podprocesorzy infrastrukturalni. W wariancie, w którym partner prowadzi na platformie własne SZBI, partner jest administratorem, a my podmiotem przetwarzającym.
2. Warunki tego przetwarzania (przedmiot, czas, obowiązki, podpowierzenie, audyty, zgłaszanie naruszeń) reguluje DPA - umowa powierzenia oparta na art. 28 RODO, stanowiąca załącznik do Regulaminu.
3. W tym zakresie nie decydujemy o celach i sposobach przetwarzania: nie wykorzystujemy danych organizacji do własnych celów, nie trenujemy na nich modeli i nie łączymy ich między partnerami.

## 11. Zmiany polityki

O istotnych zmianach polityki informujemy na stronie oraz - użytkowników zalogowanych - komunikatem w aplikacji, co najmniej 14 dni przed wejściem zmian w życie. Wersje polityki są archiwizowane; data ostatniej zmiany widnieje na dole strony. [docelowo: W6.T4 (D-R2-11) - pole daty ostatniej zmiany na stronie w budowie; komunikat w aplikacji: F4.E3.T2]