Polityka Prywatności ksef.io

Zasady przetwarzania danych osobowych

Data wejścia w życie: 1 stycznia 2026 r.

§1. Postanowienia ogólne

  1. Niniejsza Polityka prywatności (dalej: „Polityka") określa zasady przetwarzania danych osobowych w związku z korzystaniem z aplikacji ksef.io (dalej: „Aplikacja").
  2. Administratorem danych osobowych jest Daniel Łoposzko, prowadzący działalność pod firmą ZINIT Daniel Łoposzko, ul. Sportowa 35, 55-040 Kobierzyce, NIP: 896-116-23-34, REGON: 021006839 (dalej: „Administrator").
  3. Kontakt z Administratorem w sprawach dotyczących ochrony danych osobowych jest możliwy:
    1. e-mailowo: [email protected],
    2. pisemnie: ul. Sportowa 35, 55-040 Kobierzyce.
  4. Administrator przetwarza dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: „RODO") oraz innymi obowiązującymi przepisami prawa.
  5. Aplikacja jest przeznaczona wyłącznie dla Przedsiębiorców. Administrator nie przetwarza danych osobowych Konsumentów w rozumieniu przepisów o ochronie konsumentów.

§2. Role Administratora w przetwarzaniu danych

  1. Administrator pełni dwie role w zakresie przetwarzania danych osobowych:
    1. ADMINISTRATOR DANYCH – w odniesieniu do danych osobowych Użytkowników Aplikacji (przedstawicieli firm korzystających z Aplikacji), takich jak:
      • dane rejestracyjne (adres e-mail, hasło),
      • dane firmowe (NIP, REGON, nazwa firmy, adres siedziby),
      • dane kontaktowe (imię, nazwisko, telefon – jeśli podane),
      • dane rozliczeniowe (historia płatności, faktury),
      • dane techniczne (logi, adresy IP, informacje o urządzeniu).
    2. PODMIOT PRZETWARZAJĄCY (PROCESOR) – w odniesieniu do danych osobowych zawartych w fakturach przesyłanych przez Użytkowników do KSeF, takich jak dane kontrahentów (nabywców towarów i usług):
      • imiona i nazwiska osób fizycznych prowadzących działalność gospodarczą,
      • adresy,
      • numery NIP,
      • inne dane wskazane na fakturach.
  2. W zakresie danych, dla których Administrator pełni rolę Podmiotu Przetwarzającego, Administratorem tych danych jest Użytkownik (firma korzystająca z Aplikacji). Szczegółowe zasady przetwarzania tych danych mogą być uregulowane w odrębnej Umowie Powierzenia Przetwarzania Danych Osobowych (DPA), zawieranej na żądanie Użytkownika.

§3. Cele i podstawy prawne przetwarzania danych

  1. Administrator przetwarza dane osobowe Użytkowników w następujących celach:
    1. WYKONANIE UMOWY (art. 6 ust. 1 lit. b RODO):
      • utworzenie i prowadzenie Konta w Aplikacji,
      • świadczenie usług integracji z KSeF,
      • przechowywanie Tokenów KSeF,
      • generowanie i zarządzanie kluczami API,
      • obsługa płatności i rozliczeń,
      • komunikacja związana ze świadczonymi usługami.
    2. WYPEŁNIENIE OBOWIĄZKU PRAWNEGO (art. 6 ust. 1 lit. c RODO):
      • wystawianie faktur i prowadzenie dokumentacji księgowej,
      • przechowywanie danych przez okresy wymagane prawem podatkowym,
      • odpowiadanie na żądania organów państwowych.
    3. PRAWNIE UZASADNIONY INTERES ADMINISTRATORA (art. 6 ust. 1 lit. f RODO):
      • zapewnienie bezpieczeństwa Aplikacji i wykrywanie nadużyć,
      • analiza i ulepszanie działania Aplikacji,
      • dochodzenie lub obrona przed roszczeniami,
      • prowadzenie statystyk i analiz wewnętrznych.
  2. Podanie danych osobowych jest dobrowolne, ale niezbędne do korzystania z Aplikacji. Bez podania danych rejestracyjnych i firmowych nie jest możliwe utworzenie Konta i korzystanie z usług.

§4. Kategorie przetwarzanych danych

  1. Administrator przetwarza następujące kategorie danych osobowych Użytkowników:
    1. DANE REJESTRACYJNE:
      • adres e-mail,
      • hasło (przechowywane w formie zaszyfrowanej – hash BCrypt).
    2. DANE FIRMOWE:
      • NIP,
      • REGON,
      • nazwa firmy,
      • adres siedziby,
      • numer telefonu (opcjonalnie).
    3. DANE ROZLICZENIOWE:
      • historia płatności,
      • dane do faktur,
      • wybrany pakiet/plan.
    4. DANE TECHNICZNE:
      • adres IP,
      • informacje o przeglądarce i urządzeniu,
      • logi dostępu do API,
      • historia operacji w Aplikacji.
    5. TOKENY KSeF:
      • tokeny elektroniczne w formie zaszyfrowanej algorytmem AES-256-GCM.
  2. W zakresie danych przetwarzanych jako Podmiot Przetwarzający (dane z faktur):
    • dane nabywców towarów i usług wskazane na fakturach,
    • zakres danych określa Użytkownik (Administrator tych danych).

§5. Odbiorcy danych

  1. Dane osobowe mogą być przekazywane następującym kategoriom odbiorców:
    1. DOSTAWCY USŁUG PŁATNICZYCH:
      • Przelewy24 (PayPro S.A.) – w zakresie realizacji płatności,
      • dane przekazywane: dane niezbędne do realizacji transakcji.
    2. DOSTAWCY USŁUG HOSTINGOWYCH I INFRASTRUKTURY:
      • dostawcy usług przechowywania danych (S3-compatible storage),
      • dostawcy usług serwerowych,
      • dane przekazywane: dane techniczne, zaszyfrowane tokeny.
    3. ORGANY PAŃSTWOWE:
      • Ministerstwo Finansów (KSeF) – w zakresie przesyłania faktur,
      • Główny Urząd Statystyczny (GUS) – w zakresie weryfikacji NIP,
      • organy podatkowe i kontrolne – na podstawie obowiązujących przepisów prawa.
    4. PODMIOTY WSPÓŁPRACUJĄCE:
      • dostawcy usług IT i wsparcia technicznego,
      • podmioty świadczące usługi księgowe,
      • prawnicy i doradcy – w zakresie niezbędnym do obsługi prawnej.
  2. Administrator nie sprzedaje danych osobowych podmiotom trzecim.
  3. Administrator nie przekazuje danych osobowych do państw trzecich (poza Europejski Obszar Gospodarczy), chyba że jest to niezbędne do realizacji usługi i odbywa się na podstawie odpowiednich zabezpieczeń (np. standardowe klauzule umowne).

§6. Okres przechowywania danych

  1. Dane osobowe przechowywane są przez następujące okresy:
    1. DANE KONTA I DANE FIRMOWE:
      • przez okres trwania Umowy (korzystania z Aplikacji),
      • po zakończeniu Umowy: 90 dni dostępu w trybie tylko do odczytu,
      • następnie dane są archiwizowane lub usuwane, z zastrzeżeniem pkt b-d poniżej.
    2. DANE FAKTUR (jako Podmiot Przetwarzający):
      • przez okres 5 (pięciu) lat od końca roku kalendarzowego, w którym faktura została wystawiona,
      • zgodnie z wymogami przepisów prawa podatkowego i rachunkowego.
    3. DANE ROZLICZENIOWE I DOKUMENTACJA KSIĘGOWA:
      • przez okres 5 (pięciu) lat od końca roku kalendarzowego, w którym dokonano rozliczenia,
      • zgodnie z wymogami przepisów prawa podatkowego.
    4. DANE DOTYCZĄCE ROSZCZEŃ:
      • przez okres przedawnienia roszczeń (co do zasady 3 lata dla roszczeń związanych z działalnością gospodarczą).
    5. TOKENY KSeF:
      • do momentu usunięcia przez Użytkownika,
      • automatycznie po usunięciu Konta (z zachowaniem okresu archiwizacji 90 dni).
    6. LOGI TECHNICZNE:
      • przez okres 12 miesięcy od daty utworzenia,
      • dłużej w przypadku incydentów bezpieczeństwa lub na potrzeby postępowania.
  2. Po upływie okresów przechowywania dane są trwale usuwane lub anonimizowane.

§7. Prawa osób, których dane dotyczą

  1. Użytkownikowi przysługują następujące prawa związane z przetwarzaniem danych osobowych:
    1. PRAWO DOSTĘPU DO DANYCH (art. 15 RODO):
      • prawo do uzyskania informacji o przetwarzanych danych,
      • prawo do otrzymania kopii danych.
    2. PRAWO DO SPROSTOWANIA DANYCH (art. 16 RODO):
      • prawo do żądania poprawienia nieprawidłowych danych,
      • prawo do uzupełnienia niekompletnych danych.
    3. PRAWO DO USUNIĘCIA DANYCH (art. 17 RODO):
      • prawo do żądania usunięcia danych („prawo do bycia zapomnianym"),
      • z zastrzeżeniem obowiązków prawnych dotyczących przechowywania danych.
    4. PRAWO DO OGRANICZENIA PRZETWARZANIA (art. 18 RODO):
      • prawo do żądania ograniczenia przetwarzania danych w określonych przypadkach.
    5. PRAWO DO PRZENOSZENIA DANYCH (art. 20 RODO):
      • prawo do otrzymania danych w ustrukturyzowanym formacie (JSON, CSV),
      • prawo do przesłania danych innemu administratorowi.
    6. PRAWO DO SPRZECIWU (art. 21 RODO):
      • prawo do wniesienia sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora.
    7. PRAWO DO SKARGI (art. 77 RODO):
      • prawo do wniesienia skargi do organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.
  2. W celu skorzystania z powyższych praw należy skontaktować się z Administratorem:
  3. Administrator rozpatruje żądania bez zbędnej zwłoki, nie później niż w ciągu miesiąca od otrzymania żądania. W przypadku skomplikowanych żądań lub dużej liczby żądań termin może zostać przedłużony o kolejne dwa miesiące, o czym Administrator poinformuje Użytkownika.
  4. Realizacja niektórych praw może być ograniczona ze względu na obowiązki prawne Administratora (np. obowiązek przechowywania dokumentacji podatkowej).

§8. Bezpieczeństwo danych

  1. Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, w tym:
    1. SZYFROWANIE:
      • szyfrowanie transmisji danych (SSL/TLS),
      • szyfrowanie haseł (BCrypt z 12 rundami),
      • szyfrowanie Tokenów KSeF (AES-256-GCM),
      • szyfrowanie danych w spoczynku.
    2. KONTROLA DOSTĘPU:
      • autoryzacja dostępu do Aplikacji (e-mail + hasło),
      • autoryzacja dostępu do API (klucze API),
      • ograniczenie dostępu do danych wg zasady najmniejszych uprawnień.
    3. MONITORING I AUDYT:
      • logowanie operacji i dostępu,
      • monitoring bezpieczeństwa infrastruktury,
      • regularne przeglądy zabezpieczeń.
    4. KOPIE ZAPASOWE:
      • regularne tworzenie kopii zapasowych,
      • przechowywanie kopii w bezpiecznej lokalizacji.
  2. W przypadku naruszenia ochrony danych osobowych Administrator:
    • niezwłocznie podejmuje działania mające na celu ograniczenie skutków naruszenia,
    • zgłasza naruszenie do organu nadzorczego w ciągu 72 godzin (gdy wymagane),
    • informuje osoby, których dane dotyczą (gdy naruszenie może powodować wysokie ryzyko).

§9. Pliki cookies i technologie śledzące

  1. Aplikacja wykorzystuje pliki cookies (ciasteczka) w następujących celach:
    1. COOKIES NIEZBĘDNE (TECHNICZNE):
      • utrzymanie sesji zalogowanego Użytkownika,
      • zapamiętanie preferencji Użytkownika (np. wybrany język, środowisko TEST/PRODUCTION),
      • zapewnienie bezpieczeństwa (tokeny CSRF).
    2. COOKIES ANALITYCZNE (opcjonalne):
      • analiza sposobu korzystania z Aplikacji,
      • ulepszanie funkcjonalności Aplikacji.
  2. Aplikacja NIE wykorzystuje:
    • cookies marketingowych,
    • cookies reklamowych,
    • narzędzi śledzących do celów reklamowych.
  3. Użytkownik może zarządzać plikami cookies poprzez ustawienia przeglądarki. Wyłączenie cookies niezbędnych może uniemożliwić korzystanie z niektórych funkcji Aplikacji.
  4. Szczegółowa lista wykorzystywanych cookies:
Nazwa Cel Ważność
JSESSIONID Sesja użytkownika Do zamknięcia przeglądarki
XSRF-TOKEN Ochrona przed CSRF Do zamknięcia przeglądarki
environment Wybrane środowisko (TEST/PROD) 30 dni

§10. Zmiany Polityki Prywatności

  1. Administrator zastrzega sobie prawo do zmiany niniejszej Polityki prywatności.
  2. O każdej zmianie Polityki Administrator poinformuje Użytkowników poprzez:
    • opublikowanie nowej wersji Polityki w Aplikacji,
    • wysłanie powiadomienia e-mail (w przypadku istotnych zmian).
  3. Zmieniona Polityka wchodzi w życie w terminie wskazanym w powiadomieniu, nie wcześniej niż 14 dni od dnia powiadomienia.
  4. Kontynuowanie korzystania z Aplikacji po wejściu w życie zmienionej Polityki oznacza akceptację wprowadzonych zmian.

§11. Postanowienia końcowe

  1. Niniejsza Polityka prywatności obowiązuje od dnia 1 stycznia 2026 r.
  2. W sprawach nieuregulowanych w Polityce zastosowanie mają przepisy RODO oraz inne obowiązujące przepisy prawa polskiego dotyczące ochrony danych osobowych.
  3. Pytania i wątpliwości dotyczące Polityki prywatności należy kierować na adres: [email protected].

Informacja o przetwarzaniu danych jako Podmiot Przetwarzający (Procesor)

Dla Użytkowników przekazujących dane osobowe kontrahentów (dane z faktur):

  1. W zakresie danych osobowych zawartych w fakturach przesyłanych do KSeF, Administrator (ZINIT Daniel Łoposzko) działa jako Podmiot Przetwarzający w rozumieniu art. 28 RODO.
  2. Administratorem tych danych jest Użytkownik (firma korzystająca z Aplikacji).
  3. Dane przetwarzane są wyłącznie w celu realizacji Usługi (przesłanie faktury do KSeF, przechowywanie, generowanie podglądów PDF).
  4. Na żądanie Użytkownika, Administrator zawiera Umowę Powierzenia Przetwarzania Danych Osobowych (DPA) regulującą szczegółowo:
    • zakres i cel przetwarzania,
    • rodzaj danych i kategorie osób,
    • obowiązki i prawa stron,
    • środki bezpieczeństwa,
    • zasady podpowierzenia,
    • procedury w przypadku naruszeń.
  5. W celu zawarcia DPA prosimy o kontakt: [email protected].
Polityka Prywatności obowiązuje od dnia 1 stycznia 2026 r.