Przejdź do treści
Protutela

Polityka Prywatności

Data wejścia w życie: 2026-05-05 |  Wersja: 1.0

1. Administrator danych osobowych

Administratorem danych osobowych jest Reczkowski IT Solutions jednoosobowa działalność gospodarcza z siedzibą pod adresem ul. Tarnowska 18, 33-180 Gromnik, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS , NIP 8733012291(dalej: „Administrator" lub „Protutela").

Kontakt w sprawach ochrony danych: reczkowski.it.solutions@gmail.com

2. Inspektor Ochrony Danych (IOD)

Administrator planuje powołanie Inspektora Ochrony Danych. Do czasu formalnego powołania wszelkie zapytania dotyczące ochrony danych osobowych należy kierować na adres e-mail: reczkowski.it.solutions@gmail.com. Po powołaniu IOD niniejsza sekcja zostanie zaktualizowana.

3. Zakres przetwarzanych danych

W związku ze świadczeniem usługi Protutela Administrator przetwarza następujące kategorie danych osobowych użytkowników końcowych (osób reprezentujących firmy klientów):

  • adres e-mail (identyfikator konta),
  • imię i nazwisko (opcjonalnie podawane przy rejestracji lub w profilu),
  • hasło w formie skrótu kryptograficznego (bcrypt — Administrator nie zna hasła w postaci jawnej),
  • adres IP oraz dane sesji (cookie sesyjne httpOnly, ważność 30 dni),
  • telemetria użytkowania (kliknięcia, wyświetlenia przetargów, liczba analiz AI — bez treści wpisywanych przez użytkownika),
  • NIP firmy klienta (opcjonalny, podawany podczas rejestracji lub konfiguracji organizacji).

Usługa przetwarza ponadto następujące dane nieosobowe lub dane, do których zastosowanie RODO jest ograniczone:

  • Baza wiedzy klienta (Knowledge Base) — dokumenty, referencje, certyfikaty i inne materiały wgrane przez klienta wyłącznie na jego polecenie i pod jego kontrolą. Klient jest wyłącznie odpowiedzialny za treść tych materiałów, w tym za to, czy zawierają dane osobowe.
  • Ogłoszenia o przetargach publicznych — dane publiczne pobierane z serwisów TED (EUR-Lex), BZP/e-Zamówienia (UZP), UK Find a Tender Service (FTS), BOAMP i podobnych. Dane te są publicznie dostępne z mocy prawa i nie stanowią danych osobowych w rozumieniu RODO.

4. Cele i podstawy prawne przetwarzania

CelPodstawa prawna
Realizacja umowy o świadczenie usługi SaaS (rejestracja konta, dostęp do platformy, rozliczenia)art. 6 ust. 1 lit. b) RODO — niezbędność do wykonania umowy
Obsługa klienta, odpowiedzi na zapytania, reklamacjeart. 6 ust. 1 lit. b) RODO — wykonanie umowy; art. 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes (obsługa posprzedażowa)
Wykrywanie i zapobieganie oszustwom, nadużyciom, nieautoryzowanemu dostępowiart. 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes Administratora
Poprawa jakości usługi (analiza telemetrii, testowanie nowych funkcji)art. 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes Administratora
Wystawianie faktur, rozliczenia podatkoweart. 6 ust. 1 lit. c) RODO — obowiązek prawny (ustawa o rachunkowości, ustawa o VAT)
Komunikacja marketingowa (newsletter, informacje o aktualizacjach produktu)art. 6 ust. 1 lit. a) RODO — zgoda; możliwość cofnięcia w każdej chwili

5. Okres przechowywania danych

  • Dane konta użytkownika — przetwarzane przez cały czas trwania umowy (aktywne konto) oraz przez 30 dni po usunięciu konta lub wygaśnięciu subskrypcji, po czym dane są trwale usuwane z systemów produkcyjnych. Kopie zapasowe są usuwane w ciągu kolejnych 14 dni zgodnie z harmonogramem rotacji backupów.
  • Dane fakturowe — 5 lat od końca roku podatkowego, w którym wystawiono fakturę, zgodnie z przepisami o rachunkowości.
  • Logi bezpieczeństwa (adresy IP, zdarzenia logowania) — do 90 dni od zdarzenia.
  • Dane przetwarzane na podstawie zgody (marketing) — do cofnięcia zgody.
  • Baza wiedzy klienta — usuwana natychmiast po usunięciu konta organizacji lub na każde żądanie klienta.
  • Katalog przetargów publicznych — dane wspólne (nie osobowe), przechowywane bezterminowo na potrzeby porównawcze i historyczne.

6. Odbiorcy danych i podmioty przetwarzające (subprocesors)

Administrator powierza przetwarzanie danych osobowych następującym podmiotom, z którymi zawarł lub zawrze stosowne umowy powierzenia przetwarzania (art. 28 RODO):

Podmiot (subprocesor)Zakres przetwarzaniaSiedziba / EOG
Microsoft Azure / HetznerHosting infrastruktury, baza danych MSSQL (dane użytkowników i baza wiedzy przechowywane w EOG)EOG (Niemcy / Holandia)
Microsoft Azure (Poland Central)Hosting frontendu Next.js, CDN, renderowanie stronUSA — transfer na podstawie SCC (patrz pkt 7)
Microsoft Azure OpenAI ServicePrzetwarzanie zapytań AI (analiza SWZ, asystent oferty, generowanie treści). Do modeli AI wysyłane są: treść SWZ i ogłoszeń przetargowych (dane publiczne) oraz — gdy włączone — fragmenty bazy wiedzy klienta. Dane konta użytkownika nie są wysyłane do modeli AI. Azure OpenAI działa na zasobach zlokalizowanych w regionie Poland Central, w ramach DataZoneStandard SKU zapewniającym przetwarzanie danych w obrębie strefy danych UE (EU Data Zone).EOG (Poland Central) — bez transferu poza EOG
Stripe Inc.Planowana integracja płatności — przetwarzanie danych kart płatniczych i danych rozliczeniowych klientów. Stripe jest certyfikowany PCI DSS Level 1. Integracja zostanie aktywowana przed uruchomieniem płatnych planów.USA/EOG — SCC
Microsoft Azure Communication Services EmailWysyłka e-maili systemowych (potwierdzenie rejestracji, alerty przetargowe, faktury)[PLACEHOLDER]

Pełna, aktualna lista subprocesorów jest dostępna na żądanie pod adresem iod@protutela.com. Administrator zobowiązuje się informować klientów z co najmniej 30-dniowym wyprzedzeniem o planowanych zmianach w wykazie subprocesorów, zgodnie z postanowieniami umowy powierzenia przetwarzania danych (DPA).

7. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)

Niektórzy subprocesorzy (Stripe, dostawca poczty transakcyjnej) mogą mieć siedzibę w Stanach Zjednoczonych, które nie są uznawane przez Komisję Europejską za kraj zapewniający odpowiedni poziom ochrony danych w rozumieniu art. 45 RODO. Przetwarzanie AI (modele językowe) odbywa się wyłącznie w EOG — w usłudze Microsoft Azure OpenAI w regionie Poland Central — i nie wymaga transferu danych poza EOG.

Przekazywanie danych do tych podmiotów odbywa się na podstawie Standardowych Klauzul Umownych (SCC) przyjętych decyzją Komisji Europejskiej 2021/914 (art. 46 ust. 2 lit. c) RODO). Przed nawiązaniem współpracy Administrator przeprowadza ocenę ryzyka (Transfer Impact Assessment) dla każdego podmiotu odbierającego dane spoza EOG.

Dane przechowywane w infrastrukturze (baza danych MSSQL, kopie zapasowe) pozostają wyłącznie w EOG (centra danych Azure w Niemczech/Holandii lub serwery Hetzner w Niemczech).

8. Prawa osób, których dane dotyczą

Każdej osobie, której dane osobowe przetwarza Protutela, przysługują następujące prawa wynikające z RODO:

  • Prawo dostępu (art. 15 RODO) — prawo do uzyskania informacji o tym, czy i jakie dane Administrator przetwarza, oraz do otrzymania ich kopii.
  • Prawo do sprostowania (art. 16 RODO) — prawo do żądania poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
  • Prawo do usunięcia (art. 17 RODO) — prawo do żądania usunięcia danych, gdy nie są już niezbędne do celów, dla których zostały zebrane, lub gdy cofnięto zgodę stanowiącą podstawę przetwarzania.
  • Prawo do przenoszenia danych (art. 20 RODO) — prawo do otrzymania danych w ustrukturyzowanym formacie (JSON/CSV) i do przekazania ich innemu administratorowi.
  • Prawo do sprzeciwu (art. 21 RODO) — prawo do wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f) RODO), w tym sprzeciwu wobec marketingu bezpośredniego.
  • Prawo do ograniczenia przetwarzania (art. 18 RODO) — prawo do żądania, aby Administrator zaprzestał aktywnego przetwarzania danych (z wyjątkiem ich przechowywania) w określonych okolicznościach.
  • Prawo do cofnięcia zgody — w każdej chwili, bez wpływu na zgodność z prawem przetwarzania przed cofnięciem.
  • Prawo do wniesienia skargi do organu nadzorczego — do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl.

Wnioski dotyczące praw należy kierować na adres iod@protutela.com. Administrator udzieli odpowiedzi w terminie 30 dni od otrzymania wniosku. W szczególnie złożonych przypadkach termin może zostać przedłużony o kolejne 2 miesiące, o czym Administrator poinformuje wnioskodawcę.

9. Pliki cookie

Serwis Protutela stosuje wyłącznie pliki cookie niezbędne do prawidłowego działania usługi. Nie korzystamy z plików cookie śledzących, reklamowych ani narzędzi analityki stron trzecich (np. Google Analytics) — na chwilę sporządzenia niniejszej Polityki.

Nazwa / typCelWażnośćPodstawa
session (iron-session, httpOnly, Secure)Utrzymanie sesji zalogowanego użytkownika. Niezbędne do korzystania z serwisu.30 dniNiezbędne — brak wymogu zgody
theme (localStorage)Zapamiętanie preferencji motywu (jasny/ciemny). Przechowywane wyłącznie lokalnie w przeglądarce — nie wysyłane na serwer.Bezterminowo (localOnly)Niezbędne / preference — brak wymogu zgody

W przypadku wprowadzenia dodatkowych plików cookie wymagających zgody niniejsza sekcja zostanie zaktualizowana, a użytkownicy zostaną poinformowani z wystarczającym wyprzedzeniem.

10. Zautomatyzowane podejmowanie decyzji i profilowanie (AI)

Protutela wykorzystuje modele sztucznej inteligencji (modele OpenAI GPT-4o oraz GPT-4o mini, hostowane w usłudze Microsoft Azure OpenAI Service w regionie Poland Central) do analizy dokumentacji przetargowej (SWZ, OPZ i podobnych) pod kątem potrzeb użytkownika. Przetwarzanie odbywa się w obrębie strefy danych UE (DataZoneStandard SKU) — dane prompt+completion nie opuszczają Europejskiego Obszaru Gospodarczego.

Każda analiza AI jest inicjowana wyłącznie na wyraźne polecenie użytkownika (kliknięcie w interfejsie). Wyniki analizy mają charakter pomocniczy i informacyjny — nie stanowią wiążących decyzji dotyczących osoby fizycznej, a zatem funkcja ta nie jest zautomatyzowanym podejmowaniem decyzji w rozumieniu art. 22 RODO, gdyż każdorazowo wymaga interwencji i oceny ze strony człowieka.

Do modeli AI przekazywane są: treść SWZ i ogłoszeń przetargowych (dane publiczne) oraz — gdy użytkownik aktywuje odpowiednią funkcję — fragmenty bazy wiedzy klienta wgrane do systemu. Dane osobowe konta użytkownika (adres e-mail, imię, hasło, adres IP) nie są wysyłane do zewnętrznych modeli AI.

11. Bezpieczeństwo danych

Administrator stosuje adekwatne środki techniczne i organizacyjne w celu ochrony danych osobowych przed nieuprawnionym dostępem, utratą lub zniszczeniem, w szczególności: szyfrowanie transmisji (TLS 1.2+), haszowanie haseł (bcrypt), ograniczenie dostępu do danych na zasadzie minimalnych uprawnień (least privilege), kontrolę dostępu opartą na rolach (RBAC) oraz regularne tworzenie kopii zapasowych przechowywanych w EOG.

12. Zmiany Polityki Prywatności

Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności. O istotnych zmianach użytkownicy zostaną powiadomieni za pośrednictwem poczty e-mail lub widocznego komunikatu w interfejsie platformy z co najmniej 14-dniowym wyprzedzeniem. Dalsze korzystanie z usługi po wejściu zmian w życie jest równoznaczne z ich akceptacją. Archiwalne wersje Polityki są dostępne na żądanie.

13. Kontakt

Wszelkie pytania, wnioski i skargi dotyczące ochrony danych osobowych należy kierować na adres: iod@protutela.com lub pisemnie na adres siedziby Administratora podany w pkt 1.

Niniejszy dokument jest projektem informacyjnym i nie stanowi porady prawnej. Przed uruchomieniem serwisu produkcyjnego zalecana jest rewizja przez radcę prawnego lub adwokata specjalizującego się w prawie ochrony danych osobowych i prawie zamówień publicznych.