Dokument

RODO i przetwarzanie danych

Ta strona zbiera w jednym miejscu najważniejsze informacje o podziale ról, bezpieczeństwie danych, realizacji praw osób, których dane dotyczą, oraz praktycznym modelu przetwarzania danych w Spedboard.

Ostatnia aktualizacja

15 marca 2026

Status

Dokument obowiązuje od 15 marca 2026 r.

Kontakt: contact@spedboard.pl

1. Kiedy działamy jako administrator, a kiedy jako podmiot przetwarzający

Dla danych własnych związanych z kontem, bezpieczeństwem, rozliczeniami, kontaktem i obsługą zgłoszeń działamy jako administrator danych.

Dla danych operacyjnych wprowadzanych do aplikacji przez klienta biznesowego, takich jak informacje o ładunkach, kontaktach, przypomnieniach i notatkach, co do zasady działamy jako podmiot przetwarzający, a administratorem pozostaje klient.

Ten podział znajduje odzwierciedlenie również w dokumentach umownych dotyczących korzystania z usługi.

2. Główne środki organizacyjne i techniczne

Dane firm są logicznie rozdzielone według tenantów, a dostęp do danych tenantowych jest dodatkowo kontrolowany przez polityki RLS w bazie danych.

Operacje uprzywilejowane, takie jak obsługa płatności, działania webhooków i wywołania AI, są wykonywane po stronie serwera.

Połączenia z serwisem są zabezpieczane przy użyciu HTTPS/TLS. Dane są przechowywane u dostawców infrastrukturalnych stosujących własne zabezpieczenia platformowe, kontrolę dostępu i mechanizmy kopii zapasowych zgodnie z ich dokumentacją usług.

Przypomnienia krytyczne są materializowane przez scheduler serwerowy, a nie wyłącznie przez zegar przeglądarki, co ogranicza ryzyko pominięcia ważnych zadań.

3. Minimalizacja i retencja

Nie przechowujemy surowej treści wejściowej przekazywanej do parsowania AI w bazie danych aplikacji.

Pliki PDF nie są przechowywane jako binaria w bazie danych i nie są przesyłane bezpośrednio do dostawcy AI.

Wybrane cache techniczne mają domyślny czas życia 7 dni, ale nie oznacza to automatycznego usunięcia wszystkich danych biznesowych klienta po upływie tego czasu.

Jeżeli aktywna jest analityka marketingowa lub produktowa, ograniczamy ją do zagregowanych danych o ruchu oraz wybranych zdarzeń produktowych. Nie wysyłamy do niej surowej treści AI, notatek, tokenów zaproszeń, adresów e-mail ani adresów URL z parametrami zapytania lub hashem.

Techniczne monitorowanie błędów ograniczamy do danych potrzebnych do diagnostyki incydentów. Nie używamy do tego replay sesji ani nie zamierzamy wysyłać surowej treści AI, haseł, cookies lub nagłówków autoryzacyjnych.

4. Podmioty wspierające i miejsce przetwarzania

Aktualnie korzystamy z usług Hetzner, Supabase, opcjonalnie Google jako zewnętrznego dostawcy tożsamości, Azure OpenAI, Brevo, Sentry, Stripe oraz z publicznych rejestrów MF VAT i GUS po akcji użytkownika.

Jeżeli aktywna jest analityka usługi, korzystamy z self-hosted Umami uruchomionego we własnej infrastrukturze. W praktyce oznacza to, że pomiar ruchu i wybranych zdarzeń produktowych nie wymaga dodawania osobnego zewnętrznego dostawcy SaaS poza aktualnym hostingiem.

Zakres usług pomocniczych opisujemy zgodnie z faktycznie używaną konfiguracją. Jeżeli przekazanie danych poza EOG jest niezbędne, stosujemy mechanizmy wymagane przez RODO, w tym standardowe klauzule umowne, jeżeli mają zastosowanie.

Dostawca	Rola	Lokalizacja / transfer
Hetzner	Hosting aplikacji i infrastruktury serwerowej	Europa
Supabase	Baza danych, uwierzytelnianie i sesje	Europa
Google	Opcjonalny zewnętrzny dostawca tożsamości dla logowania wybranego przez użytkownika	Możliwy transfer poza EOG zgodnie z warunkami i infrastrukturą tego dostawcy
Azure OpenAI	Parsowanie treści do danych ładunku	EU Data Zone / Europa
Brevo	Wiadomości e-mail z zaproszeniami do firmy	Europa
Sentry	Monitorowanie błędów, wyjątków i stabilności usługi	Główne dane zdarzeń w regionie UE (Frankfurt); ograniczone metadane organizacyjne lub operacyjne dostawcy mogą podlegać transferom zgodnie z mechanizmami przewidzianymi przez RODO
Stripe	Płatności, subskrypcje i rozliczenia	Możliwy transfer poza EOG zgodnie z mechanizmami przewidzianymi przez RODO, w tym SCC, jeżeli mają zastosowanie
MF VAT / GUS	Pobieranie danych firm po NIP po akcji użytkownika	Polska

Jeżeli analityka produktowa jest aktywna, może wykorzystywać pseudonimowy identyfikator użytkownika lub firmy do łączenia wybranych zdarzeń pomiędzy sesjami. Nie używamy do tego adresów e-mail, nazw ani innych bezpośrednich identyfikatorów. W Sentry nie używamy replay sesji i ograniczamy przekazywane dane do informacji technicznych potrzebnych do diagnostyki błędów.

5. Realizacja praw osób, których dane dotyczą

W zakresie, w jakim działamy jako administrator, realizujemy prawa osób wynikające z RODO, w tym prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu i cofnięcia zgody, jeżeli ma zastosowanie.

W przypadku danych, dla których klient jest administratorem, możemy wspierać klienta w realizacji żądania zgodnie z umową i naszymi możliwościami technicznymi.

Szersze żądania eksportu, usunięcia, usunięcia konta lub obsługi prywatności mogą zostać złożone z poziomu ustawień konta albo przez kontakt i są realizowane po weryfikacji zgłoszenia oraz ocenie podstaw prawnych i technicznych możliwości realizacji.

Kontakt do zgłoszeń prywatności: contact@spedboard.pl
Organ nadzorczy w Polsce: Prezes Urzędu Ochrony Danych Osobowych

6. Naruszenia i zgłoszenia bezpieczeństwa

Jeżeli zauważysz problem bezpieczeństwa albo potencjalne naruszenie ochrony danych, skontaktuj się z nami niezwłocznie przez wskazany kanał kontaktowy.

Procedura dalszego postępowania, w tym ocena naruszenia i ewentualne zawiadomienia klienta, organu nadzorczego albo osób, których dane dotyczą, zależą od roli stron, zakresu zdarzenia oraz obowiązujących przepisów prawa.

Jeżeli działamy jako podmiot przetwarzający, informujemy klienta o naruszeniu bez zbędnej zwłoki, aby umożliwić mu wykonanie własnych obowiązków wynikających z RODO.

7. Aktualizacja dokumentu i dokumenty powiązane

Aktualność tego dokumentu zależy od zgodności z rzeczywiście używanymi dostawcami, konfiguracją środowiska i kanałami kontaktu. W razie zmian w tych obszarach dokument jest odpowiednio aktualizowany.

Zasady przetwarzania danych należy czytać łącznie z polityką prywatności, DPA oraz odpowiednimi dokumentami umownymi zawieranymi z klientami biznesowymi.