rodo

Dokumenty

Obowiązuje od: 24 sierpnia 2025 r. Ostatnia aktualizacja: 8 września 2025 r.

1) Administrator i Inspektor Ochrony Danych (IOD)

Administratorem danych jest Dominik Nowak Spark Ventures, ul. Szlak 77/222, 31-153 Kraków, NIP: 9930708815, REGON: 541723886.

Kontakt w sprawach danych: kontakt@sparkventures.pl.

2) Podstawy prawne i cele przetwarzania (art. 6 RODO)

Cel	Zakres danych	Podstawa prawna
Założenie i obsługa konta	imię, nazwisko, e-mail, hasło (hash), ID użytkownika	art. 6 ust. 1 lit. b
Realizacja zamówień usług cyfrowych	dane konta, e-mail, historia zakupów, adres rozliczeniowy	art. 6 ust. 1 lit. b
Płatności / księgowość	dane do faktury, NIP (jeśli podany), kwoty, ID transakcji; w przypadku płatności kartą/przelewem online – identyfikatory transakcyjne i techniczne niezbędne do autoryzacji (np. adres IP, odciski urządzenia, tokeny płatnicze)	art. 6 ust. 1 lit. b i c
Wsparcie i komunikacja	dane kontaktowe, treść zgłoszenia, logi zdarzeń	art. 6 ust. 1 lit. b/f
Analityka i rozwój produktu	pseudonimizowane identyfikatory, zdarzenia w aplikacji	art. 6 ust. 1 lit. f
Marketing własny / newsletter	e-mail, preferencje, interakcje	art. 6 ust. 1 lit. a lub lit. f
Dochodzenie i obrona roszczeń	dane identyfikacyjne, transakcyjne, korespondencja	art. 6 ust. 1 lit. f

Nie przetwarzamy szczególnych kategorii danych (art. 9 RODO), chyba że wyraźnie to wskażemy i wskażemy podstawę prawną.

3) Kategorie i źródła danych (art. 13–14)

Identyfikacyjne i kontaktowe: imię, nazwisko, e-mail, dane firmowe do faktury.
Transakcyjne: ID zamówienia, produkt/usługa, kwota, status płatności.
Techniczne: adres IP, nagłówki przeglądarki/urządzenia, logi, znaczniki czasu.
Preferencje i zgody marketingowe.

Źródła: bezpośrednio od Ciebie; w zakresie płatności — od operatorów płatności (np. Stripe); ewentualnie od partnerów (program partnerski).

4) Odbiorcy i powierzenia (art. 28)

Dane możemy udostępniać/powierzać: hosting/chmura, operatorzy płatności, księgowość, mailing/CRM, analityka, helpdesk/czat, kancelarie prawne. Z podmiotami przetwarzającymi zawieramy umowy powierzenia zgodne z art. 28 RODO. Aktualną listę kluczowych podmiotów znajdziesz w Załączniku A.

W zakresie szybkich przelewów i BLIK przekazujemy niezbędne dane do operatora ePłatności sp. z o.o. sp.k. (marka HotPay, Polska), który przetwarza je jako niezależny administrator w celu obsługi płatności. Polityka prywatności: hotpay.pl.

W zakresie płatności przekazujemy niezbędne dane do operatora Stripe Payments Europe, Limited (Irlandia), który przetwarza je jako niezależny administrator w celu obsługi płatności. Polityka prywatności: stripe.com/privacy.

5) Przekazywanie danych poza EOG (art. 44–49)

W przypadku korzystania z dostawców spoza EOG stosujemy odpowiednie zabezpieczenia — w szczególności Standardowe Klauzule Umowne (SCC) oraz dodatkowe środki (np. szyfrowanie, minimalizacja). Jeżeli dostawca uczestniczy w EU–US Data Privacy Framework (DPF), korzystamy z tego mechanizmu transferu. Szczegóły uzyskasz, pisząc na kontakt@sparkventures.pl.

6) Okresy przechowywania

Kategoria / cel	Okres	Uzasadnienie
Konto i historia zamówień	czas trwania umowy + 6 lat (3 lata dla świadczeń okresowych)	roszczenia, dochodzenie/obrona
Dane księgowe/podatkowe	5 lat od końca roku podatkowego	obowiązki prawne
Marketing (na zgodzie)	do wycofania zgody / sprzeciwu	zgoda / uzasadniony interes
Logi techniczne / bezpieczeństwo	do 12 miesięcy (dłużej, jeśli wymagają tego bezpieczeństwo/roszczenia)	bezpieczeństwo (art. 6 ust. 1 lit. f)

Okresy mogą być przedłużone, jeżeli dane są potrzebne w związku z toczącym się postępowaniem sądowym, administracyjnym lub dochodzeniem roszczeń.

7) Twoje prawa (art. 15–22)

Dostęp do danych i uzyskanie kopii.
Sprostowanie i uzupełnienie.
Usunięcie („prawo do bycia zapomnianym”).
Ograniczenie przetwarzania.
Przenoszenie danych w formacie nadającym się do odczytu maszynowego (np. CSV, JSON).
Sprzeciw wobec przetwarzania opartego na art. 6 ust. 1 lit. f oraz wobec marketingu bezpośredniego.
Wycofanie zgody w dowolnym momencie (jeśli podstawą jest zgoda).
Uzyskanie informacji o odbiorcach danych.

Jak złożyć wniosek (DSR) — art. 12

Wyślij żądanie na: kontakt@sparkventures.pl lub przez panel Konta [link].
Weryfikacja tożsamości: link jednorazowy na e-mail lub logowanie do Konta.
Termin odpowiedzi: do 1 miesiąca; w razie złożoności — maksymalnie +2 miesiące (poinformujemy).
Co do zasady bezpłatnie; opłata możliwa przy żądaniach ewidentnie nadmiernych lub powtarzalnych.

8) Zautomatyzowane decyzje, profilowanie i AI (art. 22, AI Act)

Nie podejmujemy decyzji wywołujących skutki prawne w sposób wyłącznie zautomatyzowany. Możemy prowadzić ograniczone profilowanie marketingowe (segmentacja wg aktywności/planów) — podstawą jest zgoda lub uzasadniony interes. Jeśli korzystamy z narzędzi AI (np. chatbot, analiza treści, rekomendacje), zapewniamy przejrzystość, nadzór człowieka i możliwość sprzeciwu wobec takich działań.

9) Bezpieczeństwo i privacy by design/by default (art. 25, 32)

Szyfrowanie transmisji (TLS).
Kontrola dostępu (MFA, role), segregacja środowisk.
Pseudonimizacja i minimalizacja danych.
Monitoring i rejestrowanie zdarzeń.
Kopie zapasowe i procedury odtwarzania.
Testy bezpieczeństwa i audyty zgodności.

10) Naruszenia ochrony danych (art. 33–34)

W przypadku naruszenia ochrony danych oceniamy ryzyko i — jeżeli wymagane — zawiadamiamy organ nadzorczy w ciągu 72 godzin oraz osoby, których dane dotyczą, gdy istnieje wysokie ryzyko naruszenia ich praw lub wolności.

Organ nadzorczy: Prezes UODO, ul. Stawki 2, 00-193 Warszawa. Skargę możesz złożyć do UODO niezależnie od kontaktu z nami.

11) Rejestry i oceny skutków (RCPD, DPIA)

Prowadzimy rejestr czynności przetwarzania (RCPD) oraz — w razie potrzeby — rejestr kategorii czynności (dla roli procesora).
Przeprowadzamy DPIA, gdy rodzaj przetwarzania może powodować wysokie ryzyko (np. szeroka skala, monitorowanie, AI).
Wdrażamy środki ograniczające ryzyko zgodnie z wynikami DPIA.

12) Współadministracja / niezależni administratorzy

Jeżeli w określonych procesach działamy jako współadministrator z [nazwa partnera] (art. 26 RODO), informujemy o podziale obowiązków i istocie ustaleń. W relacjach z operatorami płatności działają oni zwykle jako niezależni administratorzy — zapoznaj się z ich politykami prywatności [linki].

13) Pliki cookie i zgody (ePrivacy)

Pliki cookie niezbędne działają na podstawie art. 6 ust. 1 lit. f (prawidłowe funkcjonowanie serwisu).
Pliki cookie analityczne/marketingowe działają wyłącznie na podstawie zgody (art. 6 ust. 1 lit. a).
Stosujemy baner/centrum zarządzania zgodami (CMP) umożliwiające wyrażenie/wycofanie zgód.

14) Dane dzieci

Usługi nie są kierowane do osób poniżej 16 lat. Nie przetwarzamy świadomie danych dzieci. Jeśli uważasz, że dziecko przekazało nam dane — skontaktuj się z nami; dane zostaną niezwłocznie usunięte.

15) Zmiany niniejszej zakładki

Możemy aktualizować treść RODO w przypadku zmian prawnych lub operacyjnych. O istotnych zmianach poinformujemy z co najmniej 7-dniowym wyprzedzeniem w serwisie i/lub e-mailem.

Załączniki

Załącznik A — Rejestr podmiotów przetwarzających (skrót)

Podmiot	Rola	Kraj / transfer	Podstawa transferu
[Hosting/Chmura — nazwa]	przechowywanie danych aplikacji	[kraj]	[SCC/EOG/DPF]
Stripe Payments Europe, Limited	rozliczenie transakcji (niezależny administrator)	Irlandia (EOG)	EOG
ePłatności sp. z o.o. sp.k. (HotPay)	rozliczenie transakcji (niezależny administrator) — szybkie przelewy, BLIK	Polska (EOG)	EOG
[Mailing/CRM — nazwa]	komunikacja z użytkownikami	[kraj]	[SCC/EOG/DPF]

Załącznik B — Matryca retencji (skrót)

Dane	Okres	Podstawa
Dane konta (identyfikacyjne)	czas trwania umowy + 6/3 lata	art. 6 ust. 1 lit. b/f
Faktury i księgowość	5 lat od końca roku podatkowego	art. 6 ust. 1 lit. c
Zgody marketingowe	do wycofania	art. 6 ust. 1 lit. a

Załącznik C — Wzór zgłoszenia żądania (DSR)

Pole	Opis
Imię i nazwisko / nazwa	—
E-mail powiązany z Kontem	—
Zakres żądania	dostęp / sprostowanie / usunięcie / ograniczenie / przenoszenie / sprzeciw
Opis (opcjonalnie)	—
Preferowana forma odpowiedzi	e-mail / panel