Polityka prywatności

1. Administratorem Twoich danych osobowych jest Gurgul Investment sp. z o.o., z siedzibą przy ul. Polna 3, 44-285 Kobyla, NIP: 6392018818, REGON: 384767161, KRS: 0000812023, wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy w Gliwicach, Wydział Gospodarczy KRS.
2. Kontakt z Administratorem w sprawach dotyczących ochrony danych osobowych:
   • poczta elektroniczna (RODO/realizacja praw): rodo@excellentpro.app
   • poczta elektroniczna (kontakt ogólny): kontakt@excellentpro.app
   • adres korespondencyjny: ul. Polna 3, 44-285 Kobyla
3. Administrator nie wyznaczył Inspektora Ochrony Danych (IOD), ponieważ przetwarzanie nie wymaga jego powołania zgodnie z art. 37 RODO. Wszystkie zapytania kierowane do Administratora są obsługiwane bezpośrednio.
4. Administrator dba o bezpieczeństwo danych osobowych i przetwarza je zgodnie z obowiązującymi przepisami prawa, stosując odpowiednie środki techniczne i organizacyjne.

1. Realizacja umowy sprzedaży zawartej za pośrednictwem Platformy oraz obsługa zamówień (przyjmowanie, realizacja, dostawa).
2. Założenie i obsługa Konta Klienta na Platformie, w tym weryfikacja statusu przedsiębiorcy.
3. Wystawianie faktur i prowadzenie dokumentacji księgowej zgodnie z przepisami o rachunkowości i podatkach.
4. Obsługa reklamacji i zwrotów.
5. Komunikacja z Klientami: powiadomienia transakcyjne (potwierdzenia zamówień, statusy, aktywacja konta), odpowiedzi na zapytania.
6. Wypełnienie obowiązków prawnych ciążących na Administratorze (np. wynikających z przepisów podatkowych, AML, DSA).
7. Zapewnienie bezpieczeństwa Platformy: wykrywanie nadużyć, ochrona przed atakami (rate limiting po adresach IP, monitoring logów).
8. Dochodzenie roszczeń lub obrona przed roszczeniami (prawnie uzasadniony interes Administratora).

1. Art. 6 ust. 1 lit. b RODO - wykonanie umowy lub podjęcie działań przed zawarciem umowy (rejestracja, zamówienia, dostawa, reklamacje).
2. Art. 6 ust. 1 lit. c RODO - wypełnienie obowiązku prawnego (wystawianie faktur, ewidencja księgowa, raportowanie podatkowe, obowiązki AML, obowiązki wynikające z DSA).
3. Art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes Administratora:
   • zapewnienie bezpieczeństwa Platformy (wykrywanie i blokowanie nadużyć)
   • dochodzenie roszczeń lub obrona przed roszczeniami
   • prowadzenie wewnętrznej statystyki technicznej (bez profilowania)
4. Art. 6 ust. 1 lit. a RODO - zgoda osoby, której dane dotyczą - Administrator nie korzysta z tej podstawy prawnej, ponieważ nie prowadzi działań marketingowych ani profilowania wymagających zgody.

1. Dane podawane podczas rejestracji konta:
   • nazwa firmy, NIP, REGON
   • adres prowadzenia działalności (ulica, kod pocztowy, miasto)
   • adres e-mail (służbowy)
   • numer telefonu kontaktowego
   • imię i nazwisko osoby reprezentującej Klienta (opcjonalnie)
2. Dane techniczne zbierane automatycznie:
   • adres IP urządzenia
   • data i godzina połączenia
   • identyfikator sesji (cookie)
   • typ przeglądarki i system operacyjny (User-Agent)
   • strony odwiedzone na Platformie (logi serwera)
3. Dane związane z zamówieniami:
   • numer i data zamówienia
   • lista zamówionych produktów (kody SKU, ilości, ceny)
   • wartość zamówienia (netto, brutto, VAT)
   • adres dostawy (jeśli inny niż siedziba)
   • uwagi do zamówienia
4. Dane do faktury (poza danymi rejestracyjnymi): metoda płatności, status płatności, numery dokumentów księgowych.
5. Administrator nie zbiera tzw. szczególnych kategorii danych osobowych (art. 9 RODO): dane o stanie zdrowia, pochodzeniu etnicznym, orientacji seksualnej, poglądach politycznych, przekonaniach religijnych itp.

1. Dane osobowe mogą być udostępniane następującym kategoriom odbiorców (na podstawie umów powierzenia przetwarzania zgodnie z art. 28 RODO):
   • Cloudflare, Inc. - dostawca infrastruktury hostingowej i CDN (USA, decyzja KE w sprawie adekwatności + Standardowe Klauzule Umowne)
   • Supabase Inc. - dostawca bazy danych i autentykacji (USA, decyzja KE w sprawie adekwatności + SCC)
   • Resend, Inc. - dostawca usługi wysyłki e-maili transakcyjnych (USA, SCC)
   • Zoho Corporation - dostawca skrzynek e-mail (Indie, SCC)
   • Anthropic PBC - dostawca modelu AI dla asystenta Excellent PRO AI (USA, SCC). Zapytania chat są przetwarzane w trybie bez retencji danych dla treningu modelu.
2. Dane mogą być również przekazywane:
   • biuru rachunkowemu obsługującemu Administratora (na podstawie umowy powierzenia)
   • kurierom realizującym dostawę zamówień (w zakresie niezbędnym do dostawy)
   • operatorom płatności obsługującym płatności online (jeśli Klient skorzysta z takiej opcji)
   • organom państwowym w zakresie wymaganym przepisami prawa (np. urząd skarbowy, prokuratura, sąd, na podstawie wezwania)
3. Administrator nie sprzedaje danych osobowych podmiotom trzecim w celach marketingowych ani innych komercyjnych.

1. Niektórzy z dostawców usług wymienionych w § VI mają siedzibę poza Europejskim Obszarem Gospodarczym (EOG), w szczególności w Stanach Zjednoczonych.
2. Przekazywanie danych do USA odbywa się na podstawie:
   • Decyzji wykonawczej Komisji Europejskiej z 10 lipca 2023 r. stwierdzającej adekwatny poziom ochrony danych (Data Privacy Framework) - dla dostawców certyfikowanych w ramach DPF
   • Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską decyzją wykonawczą 2021/914 z 4 czerwca 2021 r. - dla pozostałych przypadków
   • dodatkowych środków technicznych i organizacyjnych zapewniających poziom ochrony równoważny z RODO (szyfrowanie, pseudonimizacja, audyty bezpieczeństwa)
3. Lista dostawców i ich aktualnych certyfikacji DPF jest dostępna na żądanie kontaktując się z Administratorem.

1. Dane przetwarzane w celu realizacji umowy (zamówienia, korespondencja transakcyjna): przez czas trwania umowy oraz 6 lat po jej zakończeniu - okres przedawnienia roszczeń.
2. Dane przetwarzane w celu wystawiania faktur i ewidencji księgowej: 5 lat licząc od początku roku następującego po roku obrotowym, w którym wystawiono fakturę (art. 70 § 1 Ordynacji podatkowej).
3. Dane Konta Klienta: do momentu usunięcia konta przez Klienta lub przez Administratora po 3 latach nieaktywności (po wcześniejszym poinformowaniu Klienta).
4. Logi serwera (dane techniczne): maksymalnie 12 miesięcy, po czym są automatycznie usuwane lub anonimizowane.
5. Dane przetwarzane na podstawie prawnie uzasadnionego interesu (bezpieczeństwo, dochodzenie roszczeń): przez czas niezbędny do realizacji tego interesu, nie dłużej niż 3 lata od zaistnienia zdarzenia.
6. Po upływie wskazanych okresów dane są trwale usuwane z systemów Administratora i jego podmiotów przetwarzających.

1. Prawo dostępu do danych (art. 15 RODO) - możesz uzyskać informację, jakie Twoje dane Administrator przetwarza oraz otrzymać ich kopię.
2. Prawo do sprostowania danych (art. 16 RODO) - możesz żądać poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych. Większość danych możesz edytować samodzielnie w panelu Konta Klienta.
3. Prawo do usunięcia danych (art. 17 RODO, „prawo do bycia zapomnianym") - możesz żądać usunięcia danych, gdy nie są już potrzebne do celów, dla których zostały zebrane. Prawo to nie obejmuje danych, które Administrator musi przechowywać na podstawie obowiązków prawnych (np. dane na fakturach przez 5 lat).
4. Prawo do ograniczenia przetwarzania (art. 18 RODO) - możesz żądać czasowego wstrzymania przetwarzania (np. w okresie weryfikacji prawidłowości danych).
5. Prawo do przenoszenia danych (art. 20 RODO) - możesz otrzymać swoje dane w ustrukturyzowanym formacie maszynowo czytelnym (CSV/JSON) lub żądać ich przekazania innemu administratorowi.
6. Prawo wniesienia sprzeciwu (art. 21 RODO) - możesz sprzeciwić się przetwarzaniu danych opartemu na prawnie uzasadnionym interesie Administratora.
7. Prawo do cofnięcia zgody (art. 7 ust. 3 RODO) - w zakresie, w jakim przetwarzanie odbywa się na podstawie zgody (Administrator obecnie nie przetwarza na zgodzie).
8. Prawo wniesienia skargi do organu nadzorczego - Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.
9. Aby skorzystać z któregokolwiek z praw, skontaktuj się z Administratorem na adres rodo@excellentpro.app. Administrator odpowie w terminie do 30 dni od otrzymania żądania (z możliwością przedłużenia do 60 dni w skomplikowanych przypadkach).

1. Administrator nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, które wywołują wobec Klienta skutki prawne lub w podobny sposób istotnie na niego wpływają (art. 22 RODO).
2. Asystent AI Excellent PRO AI dostępny na Platformie:
   • nie buduje profilu użytkownika ani nie zapisuje historii zapytań poza pojedynczą sesją czatu
   • nie wykorzystuje danych użytkownika do treningu modeli AI (Anthropic PBC działa w trybie zero-retention dla biznesowych klientów API)
   • odpowiedzi są generowane na podstawie pytania i bazy wiedzy Administratora, nie na podstawie profilu Klienta
3. Klient w każdej chwili może zaprzestać korzystania z asystenta AI bez wpływu na pozostałe funkcje Platformy.

1. Platforma wykorzystuje pliki cookies wyłącznie niezbędne do funkcjonowania serwisu (sesja logowania, koszyk, preferencje techniczne). Nie używamy cookies marketingowych, analitycznych ani profilujących.
2. Szczegółowy wykaz cookies, ich cele i czas przechowywania - zobacz Polityka cookies.
3. Cookies niezbędne nie wymagają zgody zgodnie z art. 173 ust. 3 pkt 2 ustawy Prawo telekomunikacyjne - są one bezpośrednio związane z świadczeniem usługi żądanej przez użytkownika.
4. Możesz zarządzać cookies w ustawieniach przeglądarki. Wyłączenie cookies sesji uniemożliwi zalogowanie i złożenie zamówienia.

1. Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę danych adekwatną do ryzyka:
   • szyfrowanie połączeń protokołem HTTPS (TLS 1.3) z wymuszeniem (HSTS)
   • hashowanie haseł algorytmem bcrypt z indywidualną solą
   • wieloskładnikowa autentykacja dla kont administracyjnych
   • regularne kopie zapasowe baz danych z szyfrowaniem AES-256
   • kontrola dostępu na poziomie wiersza (Row Level Security) w bazie danych
   • monitoring logów i automatyczna detekcja anomalii (rate limiting per IP)
   • regularne audyty bezpieczeństwa kodu źródłowego
   • aktualizacja bibliotek i zależności w odpowiedzi na nowo wykrywane podatności (CVE)
2. W przypadku naruszenia ochrony danych osobowych Administrator zgłasza incydent organowi nadzorczemu (Prezesowi UODO) w ciągu 72 godzin od jego stwierdzenia, zgodnie z art. 33 RODO. W razie wysokiego ryzyka dla praw i wolności osób, których dane dotyczą, Administrator informuje je bezpośrednio (art. 34 RODO).
3. Dostęp do danych osobowych mają wyłącznie upoważnieni pracownicy i współpracownicy Administratora, którzy zostali zobowiązani do zachowania poufności.

1. Administrator zastrzega sobie prawo do zmiany niniejszej Polityki prywatności w przypadku:
   • zmian w przepisach prawa
   • zmian w sposobie świadczenia usług na Platformie
   • zmian w stosowanych technologiach
   • zmiany podmiotów przetwarzających dane
2. O każdej istotnej zmianie Polityki Administrator poinformuje Klientów posiadających aktywne konto za pomocą wiadomości e-mail z wyprzedzeniem co najmniej 14 dni przed wejściem zmian w życie.
3. Aktualna wersja Polityki jest zawsze dostępna pod adresem excellentpro.app/polityka-prywatnosci z informacją o numerze wersji i dacie wejścia w życie.

W sprawach związanych z przetwarzaniem danych osobowych, realizacją Twoich praw lub w razie wątpliwości dotyczących niniejszej Polityki - skontaktuj się z Administratorem:

• e-mail (RODO): rodo@excellentpro.app
• e-mail (ogólny): kontakt@excellentpro.app
• poczta: Gurgul Investment sp. z o.o., ul. Polna 3, 44-285 Kobyla

Administrator dołoży starań, aby odpowiedzieć na Twoje zapytanie w terminie do 30 dni od jego otrzymania. W szczególnie skomplikowanych przypadkach termin ten może zostać przedłużony do 60 dni - w takiej sytuacji zostaniesz o tym poinformowany.