Polityka prywatności

Administratorem danych osobowych przetwarzanych w serwisie ZmianyWPrawie (dalej: „Serwis”) jest operator serwisu dostępny pod adresem zmianywprawie.pl.

Kontakt w sprawach związanych z ochroną danych osobowych: kontakt@zmianywprawie.pl.

W związku z korzystaniem z Serwisu możemy przetwarzać następujące dane:

• Dane konta: adres e-mail, imię i nazwisko, hasło (zahashowane), identyfikator użytkownika nadawany przez Clerk.
• Dane subskrypcji: wybrany plan, status płatności, identyfikator klienta Stripe, historia faktur.
• Dane konfiguracyjne: wybrane branże, preferencje powiadomień, częstotliwość raportów.
• Dane techniczne: adres IP, typ przeglądarki, informacje o sesji, logi żądań (przechowywane w Cloud Logging).
• Dane analityczne (za zgodą): pseudonimowy identyfikator sesji, wyświetlane strony, kliknięcia w kluczowe elementy (CTA, paywalle, filtry), podstawowe metadane urządzenia. Zbierane wyłącznie po udzieleniu zgody na cookies analityczne — zob. sekcję 8.

Serwis nie zbiera danych reklamowych ani nie korzysta z trackerów Google Analytics, Meta Pixel ani innych sieci reklamowych. Analityka produktowa (PostHog) służy wyłącznie do poprawy UX — nie do profilowania marketingowego.

• Świadczenie usługi — dostęp do trackera, personalizacja raportów, wysyłka powiadomień o zmianach legislacyjnych. Podstawa: art. 6 ust. 1 lit. b RODO (wykonanie umowy).
• Rozliczenia i obsługa płatności — realizacja subskrypcji, wystawianie faktur. Podstawa: art. 6 ust. 1 lit. b RODO oraz obowiązki rachunkowe wynikające z przepisów prawa (art. 6 ust. 1 lit. c RODO).
• Kontakt i wsparcie — odpowiadanie na zapytania, obsługa zgłoszeń. Podstawa: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes).
• Bezpieczeństwo i stabilność — ochrona przed nadużyciami, monitoring błędów. Podstawa: art. 6 ust. 1 lit. f RODO.
• Analityka produktowa — zrozumienie jak użytkownicy korzystają z aplikacji, identyfikacja problemów UX, optymalizacja lejków konwersji. Podstawa: art. 6 ust. 1 lit. a RODO (zgoda). Zgoda jest dobrowolna i można ją wycofać w każdej chwili — zob. sekcję 8.

Aby świadczyć usługę, powierzamy przetwarzanie danych zaufanym dostawcom. Każdy z nich działa w oparciu o umowę powierzenia (DPA) i zapewnia odpowiedni poziom ochrony:

• Clerk, Inc. (USA) — uwierzytelnianie i zarządzanie kontami użytkowników.
• Stripe Payments Europe, Ltd. (Irlandia) — obsługa płatności i subskrypcji.
• Resend (Resend.com, Inc.) (USA) — wysyłka e-maili transakcyjnych i raportów.
• Neon, Inc. (USA, serwery w UE) — hosting bazy danych PostgreSQL.
• Anthropic, PBC (USA) — analiza AI (klasyfikacja zmian legislacyjnych, generowanie podsumowań). Przesyłane są wyłącznie publiczne treści aktów prawnych, nie dane osobowe użytkowników.
• Google Cloud Platform (region europe-west1) — hosting aplikacji backendowej i logi.
• Vercel Inc. (USA, serwery w UE) — hosting frontendu.
• Cloudflare, Inc. (USA) — DNS i CDN.
• PostHog Inc. (USA, instancja EU Cloud z serwerami we Frankfurcie) — analityka produktowa i zarządzanie cookies analitycznymi. Uruchamiana wyłącznie po wyrażeniu zgody przez użytkownika.

Część dostawców (Clerk, Resend, Anthropic, Cloudflare) ma siedzibę w USA. Transfery danych odbywają się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską, a dostawcy są certyfikowani w ramach EU-U.S. Data Privacy Framework.

• Dane konta — przez czas trwania umowy (aktywnej subskrypcji). Po usunięciu konta dane są kasowane w ciągu 30 dni.
• Dane rozliczeniowe — 5 lat od zakończenia roku obrotowego (obowiązek wynikający z ustawy o rachunkowości).
• Logi techniczne — do 30 dni.
• Dane korespondencji — do 12 miesięcy po rozwiązaniu sprawy.

Zgodnie z RODO przysługują Ci następujące prawa:

• Prawo dostępu do swoich danych oraz otrzymania ich kopii (art. 15 RODO).
• Prawo sprostowania danych nieprawidłowych lub niekompletnych (art. 16 RODO).
• Prawo do usunięcia („prawo do bycia zapomnianym”) — konto można skasować w panelu ustawień, dane są usuwane kaskadowo (Stripe → Clerk → baza) w ciągu 30 dni (art. 17 RODO).
• Prawo ograniczenia przetwarzania (art. 18 RODO).
• Prawo do przenoszenia danych (art. 20 RODO).
• Prawo sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 21 RODO).
• Prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).

Z powyższych praw można skorzystać pisząc na adres kontakt@zmianywprawie.pl.

Serwis używa dwóch kategorii plików cookies i podobnych technologii (localStorage):

Cookies niezbędne (zawsze aktywne, nie wymagają zgody — art. 173 ust. 3 Prawa telekomunikacyjnego):

• Clerk — utrzymanie stanu zalogowania.
• Stripe — bezpieczna obsługa płatności i ochrona przed oszustwami.
• Preferencje aplikacji — zapamiętanie ustawień UI (np. motyw, zgoda na cookies analityczne).

Cookies analityczne (opcjonalne, wymagają zgody — art. 6 ust. 1 lit. a RODO):

• PostHog — pseudonimowy identyfikator sesji (localStorage), informacje o wyświetlanych stronach i klikniętych elementach (CTA, paywalle, filtry). Dane trafiają do instancji EU Cloud PostHog we Frankfurcie i są używane wyłącznie do poprawy UX i optymalizacji lejków konwersji.

Nie używamy cookies marketingowych, Google Analytics, Meta Pixel ani innych sieci reklamowych ani narzędzi profilujących.

Zarządzanie zgodą: przy pierwszej wizycie pojawia się banner cookies pozwalający zaakceptować lub odrzucić cookies analityczne. Zgoda jest dobrowolna — odrzucenie nie wpływa na działanie serwisu. Zmianę decyzji można wykonać w każdej chwili przyciskiem „Ustawienia cookies” w stopce strony. Wycofanie zgody nie wpływa na legalność dotychczasowego przetwarzania.

Pliki cookies można też usunąć lub zablokować w ustawieniach przeglądarki, ale blokada cookies niezbędnych uniemożliwi zalogowanie się do konta.

Dane użytkowników nie są wykorzystywane do profilowania ani zautomatyzowanego podejmowania decyzji wywołujących skutki prawne (art. 22 RODO). Personalizacja raportów odbywa się wyłącznie na podstawie wybranych przez użytkownika branż.

Polityka może być aktualizowana w związku ze zmianami prawa lub rozwojem usługi. Każda istotna zmiana zostanie zakomunikowana e-mailem z co najmniej 14-dniowym wyprzedzeniem. Aktualna wersja jest zawsze dostępna pod tym adresem, a data ostatniej aktualizacji znajduje się na górze strony.