Polityka Prywatności

1. Informacje prawne (Legal Notice)

Administrator: Finoditax Spółka z ograniczoną odpowiedzialnością, ul. Kawia 23, 42‑202 Częstochowa, Polska · NIP: 9492250781 · REGON: 520205981 · KRS: 0000927391 · e‑mail: info@finoditax.com.

Podstawa prawna: Rozporządzenie (UE) nr 2016/679 («RODO»); Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych; Ustawa o rachunkowości; Ordynacja podatkowa; Prawo telekomunikacyjne (art. 173–174); Kodeks pracy; Kodeks cywilny.

Zastosowanie: Polityka obowiązuje dla finoditax.com i subdomen: my.finoditax.com, billing.finoditax.com, support.finoditax.com, help.finoditax.com. W przypadku sprzeczności pierwszeństwo ma postanowienie zapewniające większą ochronę podmiotowi danych.

2. Preambuła i podstawy prawne

Niniejsza Polityka ustanawia zasady przetwarzania danych osobowych w Finoditax, w tym zbieranie, utrwalanie, organizowanie, przechowywanie, adaptowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie, dopasowywanie, ograniczanie, usuwanie i niszczenie (art. 4(2) RODO). Przetwarzanie odbywa się na legalnych podstawach (art. 6), z przestrzeganiem zasad (art. 5), z wdrożeniem środków bezpieczeństwa (art. 32), rejestrów (art. 30), DPIA (art. 35–36), powiadomień (art. 33–34), ograniczeń przekazywania (rozdz. V), a także rozliczalności (art. 5(2), 24).

3. Definicje (art. 4 RODO)

Termin	Definicja
Dane osobowe	Informacje o zidentyfikowanej/możliwej do zidentyfikowania osobie fizycznej (art. 4(1)).
Przetwarzanie	Każda operacja na danych (art. 4(2)).
Administrator	Ustala cele i sposoby przetwarzania (art. 4(7)).
Podmiot przetwarzający	Działa na polecenie Administratora (art. 4(8), 28).
Współadministratorzy	Wspólnie ustalają cele/sposoby (art. 26).
Naruszenie danych	Zdarzenie skutkujące utratą poufności/integralności/dostępności (art. 4(12)).
DPIA	Ocena skutków dla ochrony danych (art. 35).
ROPA	Rejestr czynności przetwarzania (art. 30).
ŚOT	Środki organizacyjne i techniczne (art. 32).

4. Zasady i legalność (art. 5–6)

zgodność z prawem, rzetelność, przejrzystość;
ograniczenie celu i minimalizacja;
prawidłowość i aktualność;
ograniczenie okresu przechowywania;
integralność i poufność;
rozliczalność Administratora.

Podstawy: art. 6(1)(a–f); specjalne kategorie — art. 9(2); automatyzacja — art. 22.

5. Zakres stosowania i subdomeny

finoditax.com — strona korporacyjna (treści, formularze, marketing, cookies).
my.finoditax.com — panel klienta (konta, sprawozdawczość, obieg dokumentów).
billing.finoditax.com — rozliczenia i płatności (faktury, transakcje).
support.finoditax.com — zgłoszenia wsparcia, SLA, korespondencja.
help.finoditax.com — baza wiedzy, metryki behawioralne.

Przepływ danych między subdomenami

Wzajemne przekazywanie odbywa się na zasadzie konieczności, uwierzytelnianie między domenami jest ograniczone; stosuje się szyfrowanie TLS 1.3 i logowanie. Dla scenariuszy między domenami przeprowadzana jest DPIA i minimalizacja zbiorów danych.

6. Role Administratora i Podmiotu przetwarzającego

Finoditax występuje jako **Administrator** danych osobowych użytkowników stron i klientów; **Podmiot przetwarzający** — przy realizacji umów obsługi księgowej/kadrowej w imieniu klientów. W drugim przypadku działa umowa powierzenia (art. 28), obejmująca cele, czas trwania, kategorie danych, ŚOT, podprzetwarzanie, audyt oraz zwrot/usunięcie danych.

7. Kategorie i klasyfikacja danych

Identyfikacyjne: imię, nazwisko, firma, NIP, REGON, KRS, PESEL, podpis.
Kontaktowe: adres, e‑mail, telefon, adres do korespondencji.
Finansowe/księgowe: dane bankowe, faktury, VAT/PIT/CIT, ZUS, sprawozdania.
Kadrowe (klientów): umowy, wynagrodzenia, urlopy, zwolnienia, konto pracownika.
Techniczne: IP, cookies, user‑agent, logi, tokeny, parametry połączenia.
Korespondencja/wsparcie: zgłoszenia (tickety), wiadomości e‑mail, nagrania rozmów (po uprzednim powiadomieniu).
Marketing/analityka: subskrypcje, zdarzenia, odpowiedzi, identyfikatory.

8. Matryca celów i podstaw prawnych

Cel	Kategorie danych	Podstawa (RODO)	Komentarz
Wykonanie umowy	identyf., kontaktowe, księgowe	art. 6(1)(b)	utworzenie konta, obsługa, panel klienta
Obowiązki prawne	księgowe, podatkowe, kadrowe	art. 6(1)(c)	Ustawa o rachunkowości; Ordynacja podatkowa; ZUS
Prawnie uzasadnione interesy	techniczne, korespondencja	art. 6(1)(f)	bezpieczeństwo, wsparcie, dowód komunikacji
Marketing	kontaktowe, analityka	art. 6(1)(a)/(f)	zgoda na cookies/newslettery
Bezpieczeństwo	dane logowania, IP, tokeny	art. 6(1)(f), 32	dzienniki, IDS/IPS, dochodzenia incydentów

9. Źródła danych i obowiązek informacyjny (art. 13–14)

bezpośrednio od podmiotu danych (formularze, umowy, panel klienta);
od klientów Finoditax (w ramach powierzenia na podstawie art. 28 dla procesów kadrowych/księgowych);
rejestry publiczne (KRS, CEIDG, GUS);
systemy państwowe (ePUAP, PUE ZUS, KAS, e‑Deklaracje);
automatycznie — cookies, logi, SDK, znaczniki w wiadomościach e‑mail.

Informacja zgodnie z art. 13 jest dostarczana w momencie zbierania; zgodnie z art. 14 — nie później niż 30 dni lub przy pierwszym kontakcie, lub przy pierwszym ujawnieniu odbiorcy.

10. Okresy przechowywania (tabela rozszerzona)

Kategoria	Okres	Podstawa
Dokumenty księgowe	5 lat po roku obrotowym	Ustawa o rachunkowości, art. 74
Ewidencja podatkowa	5 lat po roku podatkowym	Ordynacja podatkowa, art. 70 §1
Kadrowe/płacowe	10 lat	Kodeks pracy
Umowy i korespondencja	3 lata po zakończeniu świadczenia usług	art. 6(1)(f), Kodeks cywilny
Marketingowe	do wycofania zgody/maks. 3 lata	art. 6(1)(a)/(f)
Logi bezpieczeństwa	do 12 mies.	art. 6(1)(f)
Kopie zapasowe	do 90 dni	art. 5(1)(e)

Po upływie terminów stosuje się bezpieczne usunięcie/anonimizację; zniszczenie kopii zapasowych — zgodnie z regulaminem przechowywania.

11. Odbiorcy, Podmioty przetwarzające i Podprzetwarzający

Organy państwowe: KAS, ZUS, Urząd Skarbowy, sądy (na podstawie ustawy).
Dostawcy IT (hosting, CDN, usługi pocztowe), banki/operatorzy płatności, firmy prawnicze/audytorskie.
Platformy analityczne/marketingowe — tylko za ważną zgodą.
Wewnętrzni odbiorcy Finoditax — zgodnie z zasadą minimalnej niezbędnej wiedzy.

Umowy na podstawie art. 28(3) RODO przewidują: przedmiot/czas trwania, cele i charakter, kategorie danych/podmiotów, ŚOT, podprzetwarzanie za zgodą, pomoc w realizacji praw podmiotów (art. 12–23), zwrot/usunięcie, audyt.

12. Przekazywanie międzynarodowe (rozdz. V RODO, SCC/DPF)

Przekazywanie do krajów trzecich jest dozwolone w przypadku: decyzji stwierdzającej odpowiedni stopień ochrony (art. 45), odpowiednich zabezpieczeń (SCC — art. 46) lub na podstawie wyjątków (art. 49). Dla USA — udział dostawcy w EU–US Data Privacy Framework i/lub SCC, z minimalizacją danych i ochroną kryptograficzną.

13. ŚOT: Środki organizacyjne i techniczne (art. 32)

Szyfrowanie TLS 1.3 podczas transmisji; AES‑256 „w spoczynku”; zarządzanie kluczami.
Uwierzytelnianie wieloskładnikowe, RBAC, zasada najmniejszych uprawnień.
Logowanie działań (≥ 12 mies.), kontrola integralności logów.
IDS/IPS, antywirus, CSP; ochrona przed XSS/CSRF/SQLi; izolacja środowisk.
Kopie zapasowe (do 90 dni), regularne testy odtwarzania.
Szkolenia personelu, NDA, polityka haseł, symulacje phishingu.

14. Cookies, analityka i marketing — tabela rozszerzona

Zgoda na cookies jest wymagana za pomocą bannera (art. 173–174 Prawo telekomunikacyjne). Zarządzanie kategoriami dostępne jest w „Ustawieniach cookies”.

Kategoria	Przeznaczenie	Przykłady	Okres	Podstawa
Niezbędne	sesje, bezpieczeństwo, autoryzacja	session_id, XSRF-TOKEN	sesja	art. 6(1)(b)/(f)
Funkcjonalne	ustawienia interfejsu	ui_theme, locale	do 12 mies.	art. 6(1)(f)
Analityczne	metryki, konwersje	_ga, _ga_*, _gid	do 24 mies.	art. 6(1)(a)
Marketingowe	remarketing, efektywność reklam	_fbp, _gcl_au	do 180 dni	art. 6(1)(a)

15. Procedury DSAR (prawa podmiotów danych)

Złożenie wniosku: e‑mail info@finoditax.com lub poczta (ul. Kawia 23, 42‑202 Częstochowa).
Weryfikacja tożsamości: doprecyzowanie danych/metod komunikacji.
Termin odpowiedzi: 30 dni; przedłużenie do 60 w przypadku skomplikowania (art. 12(3)).
Forma udostępnienia: elektroniczna/pisemna, w formacie nadającym się do odczytu maszynowego (przy przenoszeniu).
Odmowa/ograniczenie: w przypadku przeszkód prawnych z powiadomieniem i prawem do wniesienia skargi do UODO.

Dostęp: art. 15; sprostowanie: art. 16; usunięcie: art. 17; ograniczenie: art. 18; przenoszenie: art. 20; sprzeciw: art. 21; automatyzacja: art. 22 (nie stosuje się).

16. Incydenty, powiadomienie 72‑godzinne, rejestr

Utrwalenie i izolacja incydentu; ocena ryzyka i skali.
Powiadomienie UODO ≤ 72 godzin (art. 33); powiadomienie podmiotów przy wysokim ryzyku (art. 34).
Usunięcie przyczyn, prewencja, szkolenia, aktualizacja ŚOT.
Prowadzenie rejestru naruszeń (Rejestr Naruszeń) i sprawozdawczości.

17. DPIA/ROPA i rozliczalność

Finoditax prowadzi ROPA (art. 30), przeprowadza DPIA (art. 35) dla procesów wysokiego ryzyka (przetwarzanie na dużą skalę, integracje między domenami, dane pracowników klientów), dokumentuje ryzyka, środki i ryzyko rezydualne; w razie potrzeby konsultuje się z UODO (art. 36). Rozliczalność — art. 5(2), 24.

18. Zmiany, kolizje, priorytety

Nowa redakcja wchodzi w życie z chwilą publikacji. W przypadku kolizji pierwszeństwo ma postanowienie zapewniające większą ochronę podmiotowi danych. Nieważność pojedynczego postanowienia nie wpływa na ważność reszty dokumentu (severability).

19. Kontakty i organ nadzorczy

Finoditax Sp. z o.o. · ul. Kawia 23, 42‑202 Częstochowa, Polska · NIP: 9492250781 · REGON: 520205981 · KRS: 0000927391 · e‑mail: info@finoditax.com · finoditax.com

UODO — Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00‑193 Warszawa · +48 22 531 03 00 · uodo.gov.pl