Dokument · RODO
Polityka prywatności
Ostatnia aktualizacja: 1 czerwca 2026
Status
WycenApp.pl działa w fazie beta. Aplikacja jest udostępniana testerom bezpłatnie, nie pobieramy żadnych opłat. Twoje uczestnictwo to udział w testach produktu, nie zakup usługi komercyjnej. Możesz zrezygnować w każdej chwili. Dokument jest wersją roboczą — przed uruchomieniem komercyjnym zostanie zweryfikowany przez prawnika.
1. Administrator danych
Administratorem Twoich danych osobowych jest osoba fizyczna prowadząca projekt WycenApp.pl:
Tomasz Łęczyński
Malangsveien 1660
9055 Mestervik
Norwegia
Kontakt w sprawach ochrony danych: rodo@wycenapp.pl
WycenApp.pl jest projektem osoby fizycznej zamieszkałej w Norwegii (kraj należący do EOG, RODO stosuje się w pełni). Projekt nie posiada osobowości prawnej spółki — administratorem jest wskazana wyżej osoba.
1a. Status: beta, bez opłat
WycenApp.pl jest udostępniany w fazie testów beta. Co to oznacza dla Ciebie:
- Korzystanie z aplikacji jest całkowicie bezpłatne. Nie pobieramy płatności, nie zbieramy danych karty.
- Aplikacja może zawierać błędy. Twój feedback pomaga je naprawić — to istota tej fazy.
- Funkcjonalność może się zmieniać bez wcześniejszego powiadomienia (typowo: dodawanie usprawnień, czasem usunięcie ścieżki, która nie zadziałała).
- Jako tester nie zawierasz umowy o świadczenie usług komercyjnych — Twoje uczestnictwo to dobrowolny udział w testach produktu.
- W każdej chwili możesz zrezygnować i poprosić o skasowanie konta — patrz § 6.
2. Jakie dane zbieramy
- Dane autentykacyjne (przechowywane przez Clerk, szczegóły w sekcji 4a): adres email, imię/nazwisko (opcjonalne), hash hasła (gdy logujesz się email+hasło), token OAuth (gdy logujesz się przez Google), historia logowań, adres IP sesji, identyfikator urządzenia, status weryfikacji email.
- Metadane konta (Clerk privateMetadata), wewnętrzne flagi jak status Founder, plan użytkownika, treść wysłanego feedbacku — dane służbowe niezbędne do obsługi konta.
- Dane firmy (opcjonalne, dla Pro), nazwa, NIP, adres, telefon, logo — wpisujesz sam w panelu profilu.
- Adres IP i dane techniczne, logi bezpieczeństwa (Clerk, Vercel), informacje o przeglądarce, systemie operacyjnym.
- Płatności, dane karty przetwarza Stripe (zgodnie z PCI DSS), nie przechowujemy ich u siebie. (Płatności są obecnie wyłączone — faza beta.)
- Dane wycen, Plan Darmowy: tylko w twojej przeglądarce (localStorage). Plan Pro: synchronizowane do chmury (Supabase, region: EU).
3. W jakim celu i na jakiej podstawie prawnej
W fazie beta przetwarzamy dane na następujących podstawach (art. 6 ust. 1 RODO):
- Założenie i utrzymanie konta testera (art. 6 ust. 1 lit. b) — niezbędne do umożliwienia Ci korzystania z aplikacji w ramach programu testowego.
- Testowanie i rozwój produktu (art. 6 ust. 1 lit. f, uzasadniony interes) — analiza jak korzystasz z aplikacji, zbieranie feedbacku, naprawa błędów. Możesz zgłosić sprzeciw.
- Komunikacja z testerami (art. 6 ust. 1 lit. f, uzasadniony interes) — odpowiadanie na Twoje pytania, informowanie o ważnych zmianach w aplikacji.
- Analityka ruchu (art. 6 ust. 1 lit. a, zgoda) — Google Analytics, Vercel Analytics. Tylko po wyrażeniu zgody w banerze cookies. Zgodę możesz w każdej chwili wycofać.
- Bezpieczeństwo serwisu (art. 6 ust. 1 lit. f) — logi techniczne, ochrona przed nadużyciami.
Po uruchomieniu komercyjnym podstawa „umowa o świadczenie usług komercyjnych" (art. 6 ust. 1 lit. b) zastąpi obecne „testowanie produktu" dla użytkowników planów płatnych — zostaniesz o tym poinformowany z 14-dniowym wyprzedzeniem.
4. Komu udostępniamy
Dane mogą zostać powierzone następującym podmiotom przetwarzającym (sub-procesorom):
- Clerk Inc. (USA), autentykacja użytkowników i przechowywanie metadanych konta. Szczegóły w sekcji 4a.
- Vercel Inc. (USA, klauzule modelowe SCC), hosting strony i funkcji serverless.
- Stripe Payments Europe Ltd. (Irlandia, EU), obsługa płatności kartą (aktualnie wyłączone w okresie beta).
- Supabase Inc. (region przechowywania: Frankfurt, EU), baza danych dla planu Pro.
- Google LLC (USA, klauzule SCC + Google Analytics 4), analityka ruchu z anonimizacją IP. Możesz wyłączyć w ustawieniach przeglądarki lub przez wtyczkę „Google Analytics Opt-out".
- ImprovMX (Belgia, EU), przekazywanie maili wysłanych na adresy `@wycenapp.pl` do skrzynki administratora.
Nie sprzedajemy ani nie udostępniamy danych osobowych w celach marketingowych podmiotom trzecim.
4a. Clerk — autentykacja i konto
Do logowania, rejestracji, weryfikacji email i zarządzania kontem używamy usługi Clerk Inc. (548 Market St #67213, San Francisco, CA, USA).
Co Clerk przechowuje na nasze zlecenie:
- Adres email, hash hasła (jeżeli rejestracja przez email), nazwę użytkownika
- Token OAuth (gdy logujesz się przez Google) — sam token, nie hasło do Google
- Historię logowań, daty utworzenia/aktualizacji konta, IP sesji, identyfikator urządzenia
- Status weryfikacji email, ewentualnie 2FA
- Metadane konta (np. flaga „Founder", aktualny plan, treść feedbacku) — w polu
privateMetadata, widoczne tylko dla nas po stronie serwera
Transfer poza EOG: Clerk jest podmiotem amerykańskim. Transfer odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską, uzupełnionych o środki techniczne (TLS in-transit, AES-256 at-rest). Z Clerk zawarliśmy umowę powierzenia (DPA).
Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy o świadczenie usługi).
Pełna polityka prywatności Clerka: clerk.com/legal/privacy · DPA: clerk.com/legal/dpa
4b. Supabase — baza danych planu Pro
Dla użytkowników planu Pro, w celu synchronizacji wycen między urządzeniami (telefon ↔ laptop) używamy bazy danych Supabase Inc. (548 Market St #77235, San Francisco, CA, USA).
Gdzie fizycznie leżą dane:
Projekt jest hostowany w regionie Frankfurt (eu-central-1). Dane nie opuszczają Unii Europejskiej. Sam Supabase jako firma rezyduje w USA, ale dane klientów są przechowywane w wybranym regionie EOG.
Co Supabase przechowuje na nasze zlecenie (obecnie):
- Tabela
user_subscriptions: identyfikator Clerk usera, aktualny plan, identyfikatory subskrypcji Stripe, daty okresów rozliczeniowych, status anulowania
Co Supabase będzie przechowywać po uruchomieniu planu Pro:
- Wyceny, listy klientów wpisane do aplikacji, ustawienia firmy, własne szablony — czyli treść którą wprowadziłeś w panelu wycen
- W planie Darmowym te dane nie trafiają do Supabase — siedzą tylko w localStorage twojej przeglądarki
Transfer poza EOG: dane spoczynkowe pozostają w UE (Frankfurt). Personel Supabase z USA może mieć dostęp do bazy w celach administracyjnych i wsparcia — na tę okoliczność transfer odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską. Z Supabase zawarliśmy umowę powierzenia (DPA), w którą wpisano nas jako kontrolera danych i Supabase jako procesora.
Środki bezpieczeństwa:
- Szyfrowanie w spoczynku (AES-256) i w transporcie (TLS 1.3)
- Row Level Security (RLS) — dostęp do wierszy ograniczony do właściciela danych po stronie aplikacji
- Backupy: codzienne, retencja 7 dni (plan Free Supabase) — będzie podniesione przy launchu Pro
Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy o świadczenie usługi planu Pro).
Pełna polityka prywatności Supabase: supabase.com/privacy · DPA: supabase.com/legal/dpa
5. Jak długo
- Dane konta (Clerk): do usunięcia konta przez użytkownika lub 3 lata po ostatniej aktywności
- Dane wycen i klientów w Supabase (plan Pro): do usunięcia przez użytkownika lub 30 dni po anulowaniu subskrypcji Pro (potem trwałe skasowanie)
- Subskrypcje Stripe w Supabase: do 3 lat po ostatniej płatności (kontekst rozliczeń podatkowych)
- Faktury: 5 lat (obowiązek prawny)
- Logi bezpieczeństwa: 12 miesięcy
6. Twoje prawa
Masz prawo do:
- Dostępu do swoich danych (art. 15 RODO)
- Sprostowania (art. 16)
- Usunięcia („prawo do bycia zapomnianym", art. 17)
- Ograniczenia przetwarzania (art. 18)
- Przenoszenia danych (art. 20)
- Sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie (art. 21)
- Wycofania zgody w dowolnym momencie (art. 7 ust. 3) — np. zgody na analitykę przez baner cookies
- Skargi do organu nadzorczego. Z uwagi na siedzibę administratora w Norwegii (EOG), wiodącym organem jest:
- Datatilsynet (norweski organ ochrony danych) — datatilsynet.no
- Jeżeli jesteś mieszkańcem Polski, możesz złożyć skargę także do Prezesa UODO — uodo.gov.pl (mechanizm tzw. „one-stop-shop", art. 56 RODO)
Każde żądanie zgłoś na rodo@wycenapp.pl, odpowiadamy w 30 dni.
Usunięcie konta (Clerk): żądanie usunięcia konta wykonujemy w ciągu 7 dni. Skutkuje to trwałym skasowaniem twoich danych autentykacyjnych z Clerk (email, hash hasła, historia logowań, metadane) oraz powiązanych danych w naszej aplikacji. Dane potrzebne do wystawionych faktur są zachowywane przez 5 lat (obowiązek prawny art. 86 § 1 Ordynacji podatkowej).
7. Cookies
Używamy następujących cookies:
- Niezbędne — sesja Clerk (
__session,__client_uat) podtrzymująca logowanie, cookie tenanta (wycenapp_tenant) zapamiętujące wybraną branżę. Bez nich serwis nie działa, nie wymagają zgody (art. 6 ust. 1 lit. f RODO). - Funkcjonalne —
localStoragez twoimi wycenami, profilem firmy i ustawieniami. Przechowywane tylko u ciebie w przeglądarce, nigdy nie wysyłamy ich na nasz serwer (Plan Darmowy). - Analityczne (opcjonalne) — Google Analytics 4 (ID
G-6B8ZLXFSPN) z anonimizacją IP, Vercel Web Analytics, Speed Insights, Ahrefs. Domyślnie wyłączone do momentu Twojej zgody w banerze cookies. Możesz je w każdej chwili włączyć lub wyłączyć przyciskiem poniżej.
8. Zmiany polityki
O istotnych zmianach polityki informujemy mailowo z 14-dniowym wyprzedzeniem.
8a. Zakończenie projektu beta
Ponieważ WycenApp.pl jest projektem osoby fizycznej w fazie beta, możliwe jest jego zakończenie lub zawieszenie. W takim przypadku:
- Powiadomimy Cię mailem na adres podany przy rejestracji minimum 30 dni przed wyłączeniem serwisu.
- Otrzymasz instrukcję, jak pobrać własne dane (wyceny, ustawienia firmy) w czytelnym formacie (CSV / PDF).
- Po upływie tego okresu wszystkie dane osobowe i dane zgromadzone w aplikacji zostaną trwale skasowane z baz Clerk, Supabase oraz localStorage administratora.
- Dane wymagane prawem (np. logi bezpieczeństwa) zostaną zachowane wyłącznie na okresy retencji wskazane w § 5.
W przypadku przekształcenia projektu w działalność gospodarczą lub spółkę, nowy administrator (firma) zostanie wskazany w zaktualizowanej wersji niniejszego dokumentu, a użytkownicy otrzymają informację mailem z prawem do wyrażenia sprzeciwu i usunięcia konta przed kontynuacją świadczenia usług.