Polityka prywatności

serwisu Grafio

ostatnia aktualizacja: 2026-02-28

§1. Administrator danych

Administratorem danych osobowych jest EMPE Software Piotr Miękus, adres: Juliusza Słowackiego 4A/3, 41-800 Zabrze, NIP: 6482659308, e-mail: kontakt@egrafio.pl.

§2. Cele i podstawy przetwarzania

Dane osobowe przetwarzane są w następujących celach:

• założenie i obsługa konta użytkownika - art. 6 ust. 1 lit. b RODO,
• zapewnienie działania aplikacji Grafio - art. 6 ust. 1 lit. b RODO,
• utrzymanie bezpieczeństwa, stabilności i logów technicznych - art. 6 ust. 1 lit. f RODO,
• komunikacja związana z działaniem Usługi - art. 6 ust. 1 lit. f RODO,
• obsługa subskrypcji, płatności i rozliczeń - art. 6 ust. 1 lit. b RODO (realizacja umowy) oraz art. 6 ust. 1 lit. c RODO (obowiązki podatkowo-księgowe),
• dobrowolna komunikacja marketingowa lub handlowa (np. newsletter produktowy) - art. 6 ust. 1 lit. a RODO w zw. z przepisami o komunikacji elektronicznej. Zgoda może być cofnięta w każdej chwili.

Nie prowadzimy profilowania ani zautomatyzowanego podejmowania decyzji wywołującego skutki prawne wobec użytkowników.

§3. Zakres przetwarzanych danych

Przetwarzane mogą być:

• adres e-mail i dane podane przy rejestracji (np. nazwa konta),
• dane wprowadzane przez użytkownika w ramach korzystania z aplikacji (rezerwacje, grafiki, dane klientów użytkownika),
• dane techniczne: adres IP, identyfikatory sesji, logi, informacje o przeglądarce i urządzeniu,
• dane subskrypcji i płatności: identyfikatory subskrypcji, plan, status, kwota, waluta, daty cyklu, identyfikatory transakcji/sesji płatności, e-mail do faktury, logi płatności (czas, rezultat, kanał),
• pliki cookies niezbędne do działania serwisu.

Hasła przechowywane są w formie bezpiecznych, nieodwracalnych skrótów kryptograficznych.

§4. Rola Grafio i użytkownika w przetwarzaniu danych

W odniesieniu do danych konta użytkownika (np. adres e-mail, dane logowania) administratorem danych jest EMPE Software Piotr Miękus. W odniesieniu do danych wprowadzanych do aplikacji przez użytkownika (np. dane jego klientów, rezerwacje, notatki) administratorem danych jest ten użytkownik lub podmiot, w imieniu którego działa, a Grafio przetwarza te dane jako podmiot przetwarzający na podstawie umowy powierzenia przetwarzania danych osobowych. Dane subskrypcji i płatności przetwarzane są przez EMPE Software Piotr Miękus jako administratora w zakresie niezbędnym do rozliczeń i obsługi umowy.

§5. Podmioty przetwarzające

Dane mogą być powierzane podmiotom wspierającym świadczenie usług. Każdy podmiot przetwarza dane zgodnie z RODO i na podstawie umowy powierzenia.

Szczegółowa, aktualna lista podprocesorów (nazwa, zakres, lokalizacja, podstawa transferu) jest publikowana pod adresem /legal/podprocesorzy.html. Informujemy z wyprzedzeniem o planowanym dodaniu lub zmianie podprocesora, umożliwiając zgłoszenie sprzeciwu.

Dane mogą być przekazywane poza EOG. Transfery odbywają się na podstawie standardowych klauzul umownych (SCC) lub innych odpowiednich zabezpieczeń przewidzianych w RODO. Informacja o podstawie transferu jest wskazana przy każdym podprocesorze na liście podprocesorów.

§6. Okres przechowywania danych

• dane konta - do momentu jego usunięcia przez użytkownika,
• dane wprowadzone do systemu - do czasu usunięcia konta lub ręcznego usunięcia przez użytkownika,
• logi techniczne (standardowe logi serwera i aplikacji) - przechowywane zgodnie z konfiguracją infrastruktury (rotacja logów) maksymalnie 12 miesięcy, nie dłużej niż jest to konieczne do zapewnienia bezpieczeństwa i diagnostyki,
• dane subskrypcji, rozliczeń i dane fakturowe (w tym identyfikatory sesji/subskrypcji oraz logi płatności niezbędne do celów rozliczeniowych i dowodowych) - przez okres obowiązku księgowo-podatkowego oraz do przedawnienia roszczeń (standardowo do 6 lat od końca roku podatkowego),
• dane przetwarzane na podstawie zgody - do czasu jej wycofania.

Logi techniczne obejmują wpisy generowane automatycznie przez infrastrukturę hostingową (np. adres IP, znacznik czasu, identyfikator żądania, komunikaty błędów). Są utrzymywane w trybie rotacji (rolling) zgodnie z konfiguracją środowiska; nie przechowujemy ich dłużej niż 12 miesięcy ani dłużej niż jest to konieczne do zapewnienia bezpieczeństwa i diagnozowania błędów.

Po usunięciu konta dane są trwale usuwane lub anonimizowane w terminie do 30 dni, a operacja jest odnotowywana w dzienniku retencji. Powyższe nie dotyczy danych, których dalsze przechowywanie jest wymagane przez przepisy prawa lub uzasadnione koniecznością obrony przed roszczeniami. Przed usunięciem użytkownik może wyeksportować swoje dane w formacie JSON.

Użytkownik może zdecydować, czy proces ma rozpocząć się natychmiast, czy dopiero po wygaśnięciu opłaconego okresu dostępu. W obu przypadkach wniosek jest rejestrowany oraz monitorowany w dzienniku retencji do chwili zakończenia.

§7. Rejestr zgód i procedury DSAR

Każda zgoda (np. cookies preferencyjne) jest rejestrowana wraz z datą, wersją polityki, kanałem pozyskania, identyfikatorem urządzenia oraz skrótem adresu IP w celu wykazania jej udzielenia lub wycofania. Użytkownik może dowolnie zarządzać zgodami w aplikacji.

Wnioski dotyczące praw osób (DSAR) są ewidencjonowane w module administracyjnym. W aplikacji można uruchomić proces usunięcia danych opisany w §6 - każde takie żądanie otrzymuje status w dzienniku retencji i jest realizowane w terminie do 30 dni.

Żądania dostępu do danych, ich eksportu lub ograniczenia przetwarzania przyjmujemy na adres kontakt@egrafio.pl. Potwierdzamy ich otrzymanie i przekazujemy wynik w terminie do 30 dni (w uzasadnionych przypadkach termin może zostać przedłużony o kolejne 30 dni po poinformowaniu użytkownika).

§8. Prawa użytkownika

Użytkownik ma prawo do dostępu do danych, ich sprostowania, usunięcia ("prawo do bycia zapomnianym"), ograniczenia przetwarzania, przeniesienia danych, sprzeciwu oraz wycofania zgody. Skargę można złożyć do Prezesa UODO.

§9. Zabezpieczenia danych i aktualizacje

Administrator stosuje środki techniczne i organizacyjne obejmujące szyfrowanie transmisji (SSL/TLS), bezpieczne przechowywanie haseł, kontrolę dostępu, regularne kopie zapasowe oraz okresowe testy bezpieczeństwa. W przypadku wykrycia luk lub wydania krytycznych aktualizacji bezpieczeństwa informujemy użytkowników o koniecznych działaniach i wdrażamy poprawki bez zbędnej zwłoki. O wykrytych naruszeniach ochrony danych informujemy administratora danych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od stwierdzenia incydentu.

§10. Umowa powierzenia danych

Treść DPA stanowi Załącznik 1 do Regulaminu (/legal/regulamin.html#zalacznik-dpa).

§11. Kontakt

W sprawach związanych z ochroną danych osobowych można kontaktować się pod adresem kontakt@egrafio.pl. Ten sam adres pełni funkcję punktu kontaktowego do zgłaszania nadużyć lub treści nielegalnych oraz oficjalny punkt kontaktowy wymagany przepisami DSA.

§12. Informacja o formie świadczenia Usługi

Grafio może być oferowane w formie bezpłatnej lub płatnej, jednak forma ta nie ma wpływu na zakres i podstawy prawne przetwarzania danych użytkowników.