Polityka prywatności PipCheck
Wersja dokumentu: 2026-07-01. Polityka opisuje, jakie dane przetwarzamy, w jakich celach i jak długo, a także Twoje prawa wynikające z RODO.
Wersja: 2026-07-01 · Ostatnia aktualizacja: 2026-07-01
1. Administrator danych
Administratorem Twoich danych osobowych jest GreQonE TEST Grzegorz Nowosielski, NIP 5342506509, REGON 362042446, adres: ul. Domaniewska 9/11, lok. 48, 02-663 Warszawa, Polska, prowadzący usługę PipCheck pod adresem pipcheck.pl. Kontakt: kontakt@pipcheck.pl.
Dedykowany kontakt w sprawach ochrony danych (DPO/privacy): dpo@pipcheck.pl.
2. Cele i podstawy prawne przetwarzania
- Wykonanie usługi PipCheck (analiza umowy, generowanie raportu) — podstawa prawna: art. 6 ust. 1 lit. b RODO (niezbędność do wykonania umowy).
- Rozliczenia, faktury VAT, księgowość — podstawa prawna: art. 6 ust. 1 lit. c RODO (obowiązek prawny).
- Bezpieczeństwo serwisu — podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora, polegający na ochronie serwisu przed nadużyciami). Dla tego celu utrzymujemy wewnętrzny Legitimate Interest Assessment obejmujący cel, niezbędność i test równowagi.
- Komunikacja marketingowa (newsletter, informacje o aktualizacjach) — podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda), którą można w każdej chwili wycofać.
- Reklamacje, kontakt — podstawa prawna: art. 6 ust. 1 lit. b RODO oraz lit. f RODO.
3. Kategorie danych
- Treść umowy B2B (PDF) — dane wrażliwe, mogące zawierać dane osobowe (imię, nazwisko, NIP, adres, IBAN), informacje gospodarcze i tajemnice handlowe.
- Adres e-mail (opcjonalnie) — do odzyskania linku do raportu i kontaktu w sprawach reklamacyjnych.
- Adres IP i dane przeglądarki — wyłącznie w zabezpieczonej postaci, do ograniczania nadużyć i kontroli bezpieczeństwa.
- Metadane płatności Stripe — identyfikator sprawdzenia, źródło wejścia, ścieżka przejścia i wersje regulaminów. Bez danych karty.
- Dane konta logowania — jeśli założysz konto: identyfikator, e-mail, ewentualnie nazwa.
- Dane osób trzecich w umowie — dokument może zawierać dane kontrahentów, reprezentantów, pracowników, współpracowników lub JDG. Użytkownik wgrywający plik potwierdza prawo do przekazania dokumentu. Jeżeli bezpośrednie przekazanie informacji tym osobom wymagałoby niewspółmiernie dużego wysiłku, opieramy się na wyjątku z art. 14 ust. 5 lit. b RODO i publikujemy tę informację jako ogólną klauzulę dla osób, których dane mogą występować w analizowanych dokumentach.
4. Retencja danych
Stosujemy zasadę minimalizacji — pliki kontraktów usuwamy w możliwie najkrótszym czasie, raporty przechowujemy tak długo, jak może być to potrzebne do odebrania lub serwisowania.
| Dane | Okres maksymalny |
|---|---|
| Fragmenty wgrywanego pliku PDF (przed połączeniem) | 6 godzin |
| Oryginalny PDF (nieopłacony) | 24 godziny |
| Oryginalny PDF (opłacony) | Usuwany po wygenerowaniu raportu, najpóźniej w ciągu godziny (automatyczny proces z ponawianiem) |
| Raport PDF i plik danych raportu | 180 dni |
| Sesje anonimowe | 30 dni |
| Płatności, faktury, ewidencje konsumenckie | 6 lat (wymóg ustawowy) |
| Dziennik zdarzeń bezpieczeństwa | 12 miesięcy |
Pełna tabela retencji znajduje się na stronie retencja danych.
5. Odbiorcy danych
- Netlify — hosting aplikacji, funkcje serverless, Netlify Blobs oraz Netlify AI Gateway (UE / USA, standardowe klauzule umowne).
- Neon (Neon, Inc.) — zarządzana baza danych PostgreSQL, w której przechowywane są dane serwisu (USA, standardowe klauzule umowne).
- Cloudflare (Cloudflare, Inc.) — mechanizm antybotowy Turnstile działający po stronie przeglądarki; otrzymuje adres IP i dane przeglądarki w celu weryfikacji, że żądanie nie pochodzi od bota (USA, standardowe klauzule umowne / Data Privacy Framework).
- Stripe — obsługa płatności (Irlandia, UE).
- Anthropic — dostawca modelu językowego używanego do kontekstowej analizy treści dokumentu, wywoływany bezpośrednio albo przez Netlify AI Gateway. Nie używamy treści Twojej umowy do trenowania modeli.
- Postmark — wysyłka wiadomości transakcyjnych, np. linku do gotowego raportu, jeśli podasz adres e-mail.
- Google (Google Ireland Limited / Google LLC) — anonimowa statystyka ruchu Google Analytics 4 wdrażana przez Google Tag Manager. Kontener GTM jest skonfigurowany w trybie Google Consent Mode v2 z domyślną zgodą ustawioną na „denied”, dzięki czemu pomiary Google Analytics 4 uruchamiają się dopiero po wyrażeniu przez Ciebie zgody na analitykę w banerze zgód (USA, standardowe klauzule umowne / Data Privacy Framework).
- Doradcy księgowi / prawni Usługodawcy — w zakresie niezbędnym do prowadzenia działalności.
Nie sprzedajemy Twoich danych podmiotom trzecim. Nie wykorzystujemy ich do profilowania marketingowego.
6. Transfery poza EOG i lista podprocesorów
Część dostawców może przetwarzać dane poza Europejskim Obszarem Gospodarczym. Dla Netlify, Neon, Cloudflare, Anthropic, Postmark i Google stosujemy standardowe klauzule umowne, umowy powierzenia oraz wewnętrzny Transfer Impact Assessment z opisem środków uzupełniających. Aktualna lista podprocesorów jest publikowana na stronie podprocesorzy.
7. Twoje prawa
Zgodnie z RODO przysługują Ci następujące prawa:
- prawo dostępu do danych (art. 15),
- prawo do sprostowania (art. 16),
- prawo do usunięcia / „bycia zapomnianym” (art. 17),
- prawo do ograniczenia przetwarzania (art. 18),
- prawo do przenoszenia danych (art. 20),
- prawo sprzeciwu wobec przetwarzania (art. 21),
- prawo do cofnięcia zgody, jeśli przetwarzanie odbywa się na jej podstawie (art. 7 ust. 3).
Żądania realizujemy w terminie 30 dni od otrzymania. Kontakt: kontakt@pipcheck.pl. W razie niedopełnienia naszych obowiązków przysługuje Ci skarga do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych.
8. Cookies i analityka
Używamy cookies niezbędnych do działania serwisu (sesja anonimowa, zapamiętanie decyzji o cookies, sesja logowania). Dodatkowo — wyłącznie po wyrażeniu przez Ciebie zgody w banerze cookies — korzystamy z Google Analytics 4 (wdrożonego przez Google Tag Manager) do anonimowej statystyki ruchu. Analityka jest domyślnie wyłączona (Google Consent Mode v2) i uruchamia się dopiero po Twojej zgodzie, którą możesz w każdej chwili wycofać. Pełną listę plików cookies (m.in. _ga, _ga_*) i okresy ich przechowywania znajdziesz w polityce cookies.
9. Bezpieczeństwo
Stosujemy zabezpieczenia techniczne i organizacyjne odpowiednie dla danych wrażliwych: szyfrowanie w tranzycie (TLS), hashowanie sekretów, rotację soli IP, izolację środowisk, minimalizację logów, restrykcyjne nagłówki HTTP (CSP, HSTS) oraz audyt zdarzeń. Incydenty ochrony danych eskalujemy zgodnie z procedurą wewnętrzną; jeżeli wymagają zgłoszenia do organu nadzorczego, termin operacyjny wynosi 72 godziny od stwierdzenia naruszenia.
10. Zmiany polityki
Bieżąca wersja: 2026-07-01. Zmiany polityki publikujemy na tej stronie wraz z datą wersji. Istotne zmiany komunikujemy dodatkowo przez panel klienta lub e-mail.
Wynik ma charakter informacyjny. Nie stanowi porady prawnej, podatkowej ani pracowniczej.