Polityka prywatności
1. Administrator danych osobowych
Administratorem danych osobowych Użytkowników jest:
THE POARMA GROUP Sp. z o.o.
NIP: 6312682372
Adres siedziby: ul. Zawiszy Czarnego 5C, 44-100 Gliwice
Kontakt: kontakt@botax.pl
W zakresie danych umieszczanych przez Użytkownika w aplikacji BOTAX (dane jego firmy oraz kontrahentów z faktur) Administrator pełni rolę podmiotu przetwarzającego w rozumieniu art. 28 RODO, a Użytkownik pozostaje administratorem tych danych.
2. Cele i podstawy prawne przetwarzania
| Cel | Podstawa prawna | Okres |
|---|---|---|
| Założenie i prowadzenie Konta, świadczenie Usługi | art. 6 ust. 1 lit. b RODO (wykonanie umowy) | do usunięcia Konta |
| Komunikacja z Użytkownikiem (odpowiedzi na zapytania, reklamacje) | art. 6 ust. 1 lit. f RODO (uzasadniony interes) | do 12 miesięcy od ostatniej korespondencji |
| Wysyłka e-maili transakcyjnych (weryfikacja adresu e-mail, reset hasła, powiadomienia systemowe) | art. 6 ust. 1 lit. b RODO (wykonanie umowy) | do usunięcia Konta |
| Wypełnienie obowiązków prawnych (ewidencja podatkowa, archiwizacja) | art. 6 ust. 1 lit. c RODO (obowiązek prawny) | zgodnie z przepisami (zwykle 5 lat) |
| Ustalenie, dochodzenie i obrona roszczeń | art. 6 ust. 1 lit. f RODO (uzasadniony interes) | do upływu terminu przedawnienia |
3. Kategorie przetwarzanych danych
W ramach Usługi BOTAX przetwarzamy następujące kategorie danych:
- Dane konta: adres e-mail, hasło zapisane w postaci skrótu (bcrypt), data założenia konta, data akceptacji regulaminu.
- Dane firmy Użytkownika: nazwa, NIP, adres siedziby, województwo (pobierane z Wykazu Podatników VAT — Biała Lista MF).
- Dane kontrahentów z faktur: nazwa, NIP / VAT ID, kod kraju, kwoty z faktury, daty, numer dokumentu.
- Dane techniczne sesji: identyfikator sesji (cookie
BOTAXSESS), adres IP w logach błędów, znaczniki czasowe.
Nie przetwarzamy danych szczególnych kategorii (art. 9 RODO) ani danych dotyczących wyroków skazujących (art. 10 RODO).
4. Odbiorcy danych
Dane Użytkownika mogą być przekazywane następującym kategoriom odbiorców (podmiotom przetwarzającym):
- Dostawca hostingu — Hostinger International Ltd (Cypr) — przechowywanie danych na serwerach.
- Dostawca usługi wysyłki e-maili transakcyjnych — Resend, Inc. (Delaware, USA) — wysyłka wiadomości weryfikujących konto, resetu hasła i innych komunikatów systemowych. Dane (adres e-mail, treść wiadomości) przetwarzane są na serwerach w regionie EU (Irlandia, eu-west-1).
- Ministerstwo Finansów — w zakresie zapytań do API Białej Listy Podatników VAT (NIP firmy i kontrahenta) oraz do API kursów NBP (kod waluty, data) podczas korzystania z Usługi.
- Organy publiczne — wyłącznie na podstawie obowiązujących przepisów prawa.
Dane nie są profilowane ani sprzedawane podmiotom trzecim w celach marketingowych.
5. Przekazywanie danych poza EOG
Nasz dostawca hostingu (Hostinger International Ltd) ma siedzibę na Cyprze, a serwery, na których przechowywane są dane Usługi, znajdują się w Unii Europejskiej.
Korzystamy również z usług Resend, Inc. (spółka z siedzibą w USA) do wysyłki e-maili transakcyjnych (weryfikacja konta, reset hasła). Adres e-mail Użytkownika oraz treść wiadomości są przetwarzane wyłącznie w regionie EU (centrum danych w Irlandii, eu-west-1). Ponieważ usługodawca ma siedzibę poza EOG, przekazywanie danych odbywa się na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO) zawartych w umowie powierzenia przetwarzania danych z Resend, Inc.
6. Prawa Użytkownika
Każdej osobie, której dane przetwarzamy, przysługują następujące prawa wynikające z RODO:
- prawo dostępu do danych (art. 15 RODO);
- prawo do sprostowania nieprawidłowych danych (art. 16);
- prawo do usunięcia („prawo do bycia zapomnianym", art. 17) — z zastrzeżeniem obowiązków archiwizacyjnych;
- prawo do ograniczenia przetwarzania (art. 18);
- prawo do przenoszenia danych (art. 20) — w zakresie danych przetwarzanych na podstawie zgody lub umowy;
- prawo do sprzeciwu wobec przetwarzania na podstawie uzasadnionego interesu (art. 21);
- prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl).
W celu skorzystania z powyższych praw należy skontaktować się z Administratorem pod adresem kontakt@botax.pl.
7. Pliki cookies
Aplikacja BOTAX wykorzystuje wyłącznie niezbędne pliki cookies, służące do utrzymania sesji zalogowanego Użytkownika:
BOTAXSESS— identyfikator sesji PHP (HttpOnly, Secure, SameSite=Lax). Czas życia: do zamknięcia przeglądarki lub wylogowania.
BOTAX nie korzysta z plików cookies analitycznych, marketingowych ani trackingowych. Nie używamy zewnętrznych narzędzi typu Google Analytics, Facebook Pixel ani podobnych.
Wyłączenie obsługi cookies w przeglądarce uniemożliwi zalogowanie się do Usługi.
8. Bezpieczeństwo danych
Stosujemy środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania danych:
- komunikacja z aplikacją zabezpieczona protokołem HTTPS;
- hasła Użytkowników przechowywane w postaci skrótu bcrypt (nie w postaci jawnej);
- cookies sesyjne oznaczone flagami HttpOnly i Secure;
- kontrola dostępu oparta o sesję zalogowanego Użytkownika; każdy Użytkownik widzi wyłącznie dane swojej firmy;
- regularne aktualizacje oprogramowania i biblioteki.
9. Profilowanie i automatyczne podejmowanie decyzji
Administrator nie podejmuje wobec Użytkownika decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie wpływały na Użytkownika.
10. Zmiany Polityki prywatności
Administrator zastrzega sobie prawo do zmiany niniejszej Polityki prywatności w celu dostosowania jej do zmieniających się przepisów lub funkcji Usługi. O istotnych zmianach Użytkownicy zostaną poinformowani e-mailem lub przy pierwszym logowaniu po wejściu zmian w życie.
11. Kontakt
W sprawach związanych z ochroną danych osobowych prosimy o kontakt:
- e-mail: kontakt@botax.pl
- adres korespondencyjny: THE POARMA GROUP Sp. z o.o., ul. Zawiszy Czarnego 5C, 44-100 Gliwice