PMBInvoice Strona główna
Język dokumentu / Document language / Sprache:

Polityka prywatności

Wersja 1.0 • Obowiązuje od 2026-05-18

1. Administrator danych

Administratorem Twoich danych osobowych jest PMB Proud GmbH i.G., TODO — ulica i numer, TODO TODO — miasto, Deutschland, USt-IdNr. TODO — USt-IdNr. (np. DE123456789). W sprawach związanych z RODO/GDPR skontaktuj się: datenschutz@pmb-proud.de.

Inspektor Ochrony Danych: dpo@pmb-proud.de.

2. Jakie dane przetwarzamy

2.1 Dane konta

  • Imię, nazwisko, adres e-mail (z rejestracji w Supabase Auth)
  • Hasło (przechowywane w postaci zahashowanej — bcrypt)
  • Język aplikacji, wybrany plan subskrypcji
  • Logi logowania (IP, user-agent, czas) — przechowywane 90 dni

2.2 Dane firmowe Klienta

  • Nazwa firmy, NIP/USt-IdNr, adres rejestrowy, dane kontaktowe
  • Numery rachunków bankowych (do umieszczenia na fakturach)
  • Logo firmowe (jeśli wgrane)
  • Tokeny KSeF, klucze API PEPPOL — szyfrowane w bazie

2.3 Dane klientów końcowych Klienta

Przetwarzamy je jako podmiot przetwarzający w imieniu Klienta — szczegóły w DPA. Obejmują: nazwę, adres, NIP/VAT-UE, e-mail, telefon, historię faktur.

2.4 Dane techniczne

  • Logi błędów aplikacji (Sentry — anonimizacja JWT i tokenów)
  • Audit log każdej operacji (kto, kiedy, co — przechowywany przez czas trwania umowy + 5 lat dla zgodności podatkowej)
  • Cookies sesyjne (zob. Polityka cookies)

3. Cele i podstawy przetwarzania

CelPodstawa prawna (RODO)Okres
Świadczenie Usługiart. 6(1)(b) — wykonanie umowyczas trwania umowy
Rozliczenia (faktury VAT za Usługę)art. 6(1)(c) — obowiązek prawny5 lat (KSH/UStG)
Doradztwo AIart. 6(1)(b) + zgoda implicit przy użyciu funkcjitreść konwersacji: 90 dni; metadane (tokeny): 12 mc
Marketing własnyart. 6(1)(f) — uzasadniony interesdo wyrażenia sprzeciwu
Analiza błędów (Sentry)art. 6(1)(f) — uzasadniony interes30 dni

4. Komu udostępniamy dane

Korzystamy z następujących podprzetwarzających (subprocessors), wszystkich w UE lub z Standard Contractual Clauses dla transferów spoza UE:

  • Supabase Inc. (EU (Frankfurt am Main) — Region eu-central-1) — Baza danych PostgreSQL, autoryzacja, storage plików
  • Railway Corp. (EU) — Hosting API (Node.js)
  • Vercel Inc. (EU / Global edge) — Hosting frontendu Next.js, CDN
  • Anthropic PBC (USA — przekazanie na podstawie SCC (Standard Contractual Clauses)) — Model AI Claude — funkcja "Doradca AI" i parsowanie głosowych dyktand
  • Stripe Inc. (IE (Stripe Payments Europe Ltd.)) — Przetwarzanie płatności subskrypcji
  • Resend / Postmark (EU) — Wysyłka emaili (powiadomienia, faktury PDF jako załącznik)

Pełna lista wraz z DPA każdego z nich dostępna na żądanie pod dpo@pmb-proud.de.

5. Twoje prawa (RODO)

Masz prawo do:

  • Dostępu do swoich danych (eksport pełnego archiwum z panelu)
  • Sprostowania nieprawidłowych danych
  • Usunięcia ("prawo do bycia zapomnianym") — z zastrzeżeniem obowiązków podatkowych dla danych ksiegowych
  • Ograniczenia przetwarzania
  • Przenoszenia danych (eksport JSON/CSV)
  • Sprzeciwu wobec przetwarzania w celach marketingowych
  • Wniesienia skargi do organu nadzorczego (BfDI w DE, PUODO w PL)

6. Bezpieczeństwo danych

  • Szyfrowanie w transit: TLS 1.3
  • Szyfrowanie at rest: AES-256 (Postgres + S3)
  • Multi-tenant izolacja przez Row Level Security w Postgres
  • Backupy szyfrowane, retencja 30 dni
  • Audit log każdej zmiany faktury / klienta / firmy
  • Hasła hashowane (bcrypt), JWT z rotacją
  • Penetration testy raz w roku (raport dostępny dla planu Enterprise)

7. Transfery międzynarodowe

Wszystkie dane operacyjne są przechowywane w UE. Tylko zapytania do Anthropic (Claude API) trafiają do USA — opieramy się o Standard Contractual Clauses + Anthropic potwierdza zero retention dla danych biznesowych w trybie API (nie używa do trenowania modeli).

8. Zmiany polityki

Informujemy o istotnych zmianach z 30-dniowym wyprzedzeniem. Aktualna wersja zawsze pod tym adresem.

Pytania? Napisz: datenschutz@pmb-proud.de