Ochrona danych osobowych

Polityka Prywatności

Polityka Prywatności serwisu MojeFaktury24.pl - zasady ochrony i przetwarzania danych osobowych Użytkowników.

Obowiązuje od 01.01.2026Wersja 1.0MojeFaktury24.pl
Spis treści
IAdministrator danychIICele i podstawyIIIOkresy retencjiIVOdbiorcy danychVPrawa UżytkownikówVICookies i logiVIIBezpieczeństwo
Rozdział I
Administrator danych osobowych
Kto jest odpowiedzialny za Twoje dane i jak się z nami skontaktować

Administratorem danych osobowych przetwarzanych w związku z korzystaniem z serwisu internetowego MojeFaktury24.pl i wszelkich powiązanych usług jest APKOM Paweł Szepietowski, NIP: 7221429679, REGON: 142166578, ul. Gen. Jana Henryka Dąbrowskiego 9, 05-230 Kobyłka, adres e-mail: kontakt@mojefaktury24.pl, tel.: +48 725 400 304.

Niniejsza Polityka Prywatności określa zasady zbierania, rejestrowania, przechowywania, przetwarzania, udostępniania i ochrony danych osobowych Użytkowników Serwisu MojeFaktury24.pl przez Administratora. Polityka stanowi integralną, nierozerwalną część Regulaminu Serwisu - akceptacja Regulaminu jest jednoznaczna z zapoznaniem się z Polityką i jej akceptacją. Polityka może być aktualizowana - zawsze obowiązuje jej aktualna wersja opublikowana na stronie Serwisu.

Ważne rozróżnienie ról w zakresie ochrony danych: Administratorem danych osobowych klientów, pracowników i kontrahentów Użytkownika przetwarzanych w Serwisie MojeFaktury24.pl - w szczególności w przypadku Biur Rachunkowych przetwarzających dane swoich klientów - jest sam Użytkownik, nie APKOM. APKOM pełni w tym zakresie wyłącznie rolę Podmiotu Przetwarzającego (procesora) w rozumieniu art. 4 pkt 8 i art. 28 RODO, działającego na udokumentowane polecenie Użytkownika. Odpowiedzialność za legalność przetwarzania tych danych, posiadanie właściwej podstawy prawnej, realizację obowiązków informacyjnych wobec osób, których dane dotyczą, a także udzielanie odpowiedzi na wnioski tych osób dotyczące realizacji praw wynikających z RODO, spoczywa wyłącznie na Użytkowniku. APKOM nie ponosi żadnej odpowiedzialności za naruszenia RODO wynikające z działań, zaniechań lub błędów Użytkownika.
Rozdział II
Zakres zbieranych danych i cele przetwarzania
Jakie dane przetwarzamy, w jakim celu i na jakiej podstawie prawnej
Kategorie danych zbieranych przez Administratora

Administrator przetwarza dane osobowe, które Użytkownik dobrowolnie mu udostępnił w procesie rejestracji, aktualizacji profilu lub w toku kontaktu z Operatorem, a także dane zbierane automatycznie w związku z korzystaniem z Serwisu:

  • Dane identyfikacyjne i firmowe: imię i nazwisko, firma, NIP, REGON, numer KRS - dane te są niezbędne do zawarcia i realizacji umowy oraz do wystawienia faktury VAT;
  • Dane kontaktowe: adres e-mail stanowiący jednocześnie login do Konta, numer telefonu, adres siedziby lub adres korespondencyjny;
  • Dane uwierzytelniające: hasło dostępu przechowywane wyłącznie w postaci nieodwracalnego skrótu kryptograficznego (hash) - Administrator nie ma technicznej możliwości odczytania hasła w formie jawnej i nigdy nie żąda jego podania;
  • Dane finansowe i rozliczeniowe: dane do faktury VAT, historia zamówień, historia transakcji i płatności, wybrane pakiety abonamentowe;
  • Logi systemowe: każda wizyta w Serwisie jest automatycznie rejestrowana przez serwer w logach systemowych - zapisywane są data i czas wizyty, adres IP Użytkownika, typ i wersja przeglądarki, system operacyjny, identyfikator sesji; dane z logów systemowych wykorzystywane są wyłącznie do celów administracji serwerami, zapewnienia bezpieczeństwa i prowadzenia wewnętrznych statystyk, a nie do identyfikowania Użytkowników;
  • Dane behawioralne i analityczne: przeglądane podstrony, czas spędzony na poszczególnych sekcjach, klikane elementy - zbierane wyłącznie za wyraźną, uprzednią zgodą Użytkownika wyrażoną w panelu zarządzania zgodami (cookies).
Cele przetwarzania i podstawy prawne - tabela
Cel przetwarzaniaPodstawa prawnaArt. RODO
Rejestracja Konta i zawarcie umowy, świadczenie Usług zgodnie z Regulaminem, obsługa zamówień i płatności abonamentowych, wsparcie techniczne i odpowiedzi na pytania UżytkownikaWykonanie umowy lub działania przed jej zawarciemart. 6 ust. 1 lit. b
Przechowywanie i archiwizacja dokumentacji finansowo-księgowej i podatkowej przez okresy wymagane przepisami prawa (faktury VAT, dane transakcyjne)Wypełnienie obowiązku prawnego ciążącego na Administratorzeart. 6 ust. 1 lit. c
Zapewnienie bezpieczeństwa systemów informatycznych i danych, wykrywanie i zapobieganie nadużyciom i nieuprawnionym dostępom, analityka Serwisu i doskonalenie Usług, marketing bezpośredni własnych usług Administratora wobec aktualnych klientów, ustalanie, dochodzenie i obrona roszczeńRealizacja prawnie uzasadnionego interesu Administratoraart. 6 ust. 1 lit. f
Przesyłanie newslettera i materiałów marketingowych drogą e-mailową lub SMS, stosowanie analitycznych i marketingowych plików cookies, profilowanie behawioralne w celach marketingowychDobrowolna zgoda Użytkownika, cofalna w każdym czasieart. 6 ust. 1 lit. a
Rozdział III
Okresy przechowywania danych
Jak długo i na jakiej podstawie przechowujemy poszczególne kategorie danych

Administrator przechowuje dane osobowe przez okres niezbędny do realizacji celów, dla których dane zostały zebrane, a po zakończeniu tych celów - przez okresy wynikające z bezwzględnie obowiązujących przepisów prawa lub uzasadnionego interesu Administratora w dochodzeniu i obronie roszczeń.

Kategoria danychOkres przechowywaniaPodstawa prawna retencji
Dane Konta, umowy i korespondencji z Operatorem6 lat od zakończenia umowy lub kontaktuArt. 118 k.c. - ogólny termin przedawnienia roszczeń majątkowych
Dokumentacja finansowa i faktury VAT5 lat od końca roku obrotowego, w którym wystawiono dokumentArt. 74 ust. 2 ustawy o rachunkowości
Dane podatkowe i rozliczenia podatkowe5 lat od końca roku podatkowego, którego zobowiązanie podatkowe dotyczyArt. 70 § 1 Ordynacji podatkowej
Dane przetwarzane na podstawie zgody UżytkownikaDo czasu cofnięcia zgody przez UżytkownikaArt. 6 ust. 1 lit. a RODO
Logi systemowe (IP, czas wizyty, przeglądarka)Do 12 miesięcy od daty zdarzeniaUzasadniony interes - bezpieczeństwo systemów
Dane w toku postępowań spornych i sądowychDo prawomocnego zakończenia postępowania + 3 lata na egzekucjęUzasadniony interes - dochodzenie i obrona roszczeń

Po zakończeniu umowy między Użytkownikiem a Operatorem, dane zapisane w ramach Konta Użytkownika w Serwisie zostaną trwale i nieodwracalnie usunięte po upływie 30 (trzydziestu) dni kalendarzowych od dnia rozwiązania lub wygaśnięcia umowy. Do czasu upływu tego terminu Użytkownik ma prawo wyeksportować swoje dane za pomocą narzędzi udostępnionych w panelu Konta. Po usunięciu danych ich odtworzenie przez Operatora jest niemożliwe.

Rozdział IV
Odbiorcy danych i transfery poza EOG
Kto ma dostęp do danych i na jakich zasadach
Kategorie odbiorców danych

Dane osobowe Użytkowników mogą być przekazywane przez Administratora wyłącznie następującym kategoriom podmiotów:

  • Podmioty przetwarzające (procesory) na podstawie pisemnych umów powierzenia przetwarzania danych osobowych zawartych zgodnie z art. 28 RODO: dostawcy infrastruktury serwerowej, hostingowej i usług chmurowych (wyłącznie serwery zlokalizowane na terytorium UE), operatorzy systemów płatności elektronicznych, dostawcy usług poczty elektronicznej i komunikacji, dostawcy narzędzi analitycznych - wyłącznie w zakresie niezbędnym do realizacji powierzonych im zadań i na podstawie udokumentowanych poleceń Administratora;
  • Organy i instytucje publiczne uprawnione z mocy prawa: organy podatkowe i celne, organy ścigania (policja, prokuratura), sądy powszechne i administracyjne, organy kontroli skarbowej - wyłącznie na podstawie wydanych przez te organy nakazów, postanowień lub żądań i w zakresie danych ściśle niezbędnym do wykonania obowiązku prawnego ciążącego na Administratorze;
  • Zewnętrzni doradcy i usługodawcy Administratora: kancelarie prawne świadczące usługi prawne na rzecz Administratora, doradcy podatkowi, biegli rewidenci i audytorzy - wyłącznie w zakresie niezbędnym do realizacji konkretnego zadania i na podstawie umów zapewniających zachowanie poufności.
Administrator oświadcza stanowczo, że nie sprzedaje, nie wynajmuje, nie użycza i nie udostępnia odpłatnie ani nieodpłatnie danych osobowych Użytkowników podmiotom trzecim w celach marketingowych lub reklamowych - bez uprzedniej wyraźnej i odrębnej zgody Użytkownika. Wszelkie dane osobowe przechowywane są wyłącznie na serwerach zlokalizowanych na terytorium Unii Europejskiej. W przypadku korzystania z usług podmiotów z siedzibą poza Europejskim Obszarem Gospodarczym (EOG) Administrator stosuje standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską lub inne odpowiednie zabezpieczenia prawne wymagane przez art. 46 RODO.
Rozdział V
Prawa osób, których dane dotyczą
Pełny katalog praw wynikających z RODO i sposób ich realizacji

Każdy Użytkownik, którego dane osobowe są przetwarzane przez Administratora, ma prawo skierować do Administratora wniosek o realizację przysługujących mu praw wynikających z RODO na adres e-mail: kontakt@mojefaktury24.pl lub pisemnie na adres siedziby Administratora. Realizacja poniższych praw jest co do zasady bezpłatna. Administrator udzieli odpowiedzi bez zbędnej zwłoki, najpóźniej w terminie 1 (jednego) miesiąca od otrzymania wniosku - termin ten może zostać przedłużony o kolejne 2 (dwa) miesiące ze względu na skomplikowany charakter lub liczbę wniosków, o czym Administrator poinformuje Użytkownika.

art. 15 RODO

Prawo dostępu

Potwierdzenie faktu przetwarzania danych, informacje o celach i kategoriach danych, odbiorcach, planowanym okresie przechowywania oraz bezpłatna kopia przetwarzanych danych.

art. 16 RODO

Prawo do sprostowania

Niezwłoczne sprostowanie nieprawidłowych danych osobowych lub uzupełnienie danych niekompletnych, w tym przez złożenie dodatkowego oświadczenia.

art. 17 RODO

Prawo do usunięcia

Usunięcie danych, gdy nie są już niezbędne do celów przetwarzania, cofnięto zgodę, wniesiono skuteczny sprzeciw lub przetwarzanie naruszało prawo. Nie dotyczy danych wymaganych przepisami prawa.

art. 18 RODO

Prawo do ograniczenia

Ograniczenie przetwarzania na czas weryfikacji prawidłowości danych, rozpatrywania sprzeciwu lub gdy przetwarzanie jest niezgodne z prawem, ale Użytkownik nie chce usunięcia danych.

art. 20 RODO

Prawo do przenoszenia

Otrzymanie danych w ustrukturyzowanym, powszechnie używanym formacie czytelnym maszynowo (np. JSON, CSV). Dotyczy danych przetwarzanych na podstawie zgody lub umowy.

art. 21 RODO

Prawo do sprzeciwu

Sprzeciw wobec przetwarzania na podstawie uzasadnionego interesu. Sprzeciw wobec marketingu bezpośredniego jest bezwzględny i skutkuje natychmiastowym zaprzestaniem.

art. 7 ust. 3 RODO

Cofnięcie zgody

Cofnięcie udzielonej zgody w każdym czasie, bez podawania przyczyny i bez negatywnych konsekwencji dla Użytkownika. Nie wpływa na przetwarzanie dokonane przed cofnięciem.

art. 77 RODO

Skarga do organu

Prawo wniesienia skargi do właściwego krajowego organu nadzorczego ds. ochrony danych osobowych (w Polsce: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).

Rozdział VI
Pliki cookies, piksel i logi systemowe
Technologie śledzące stosowane w Serwisie i zarządzanie nimi
Rodzaje plików cookies i ich cel

Serwis MojeFaktury24.pl stosuje pliki cookies (ciasteczka) i podobne technologie śledzące (local storage, session storage). Wyróżniamy cztery kategorie plików cookies stosowanych w Serwisie:

  • Cookies niezbędne (techniczne): absolutnie wymagane do prawidłowego logowania, utrzymania sesji i działania kluczowych funkcjonalności Serwisu - stosowane bez konieczności uzyskania zgody Użytkownika na podstawie art. 173 ust. 3 pkt 2 Prawa telekomunikacyjnego; ich wyłączenie uniemożliwi korzystanie z Konta;
  • Cookies funkcjonalne: służą zapamiętaniu preferencji i ustawień interfejsu Serwisu wybranych przez Użytkownika (np. język, układ widoku) - stosowane za zgodą Użytkownika wyrażoną w panelu zarządzania zgodami;
  • Cookies analityczne: służą zbieraniu anonimowych danych o korzystaniu z Serwisu w celu analizy ruchu i doskonalenia jakości Usług - stosowane za zgodą Użytkownika wyrażoną w panelu zarządzania zgodami;
  • Cookies marketingowe: służą wyświetlaniu spersonalizowanych treści i reklam, w tym remarketingu - stosowane za wyraźną zgodą Użytkownika wyrażoną w panelu zarządzania zgodami.

Użytkownik może zarządzać zgodami na stosowanie poszczególnych kategorii cookies w każdym czasie za pośrednictwem panelu zarządzania zgodami dostępnego na stronie Serwisu lub przez zmianę ustawień przeglądarki internetowej.

Logi systemowe - automatyczne rejestrowanie wizyt

Każda wizyta Użytkownika w Serwisie MojeFaktury24.pl jest automatycznie rejestrowana przez serwer w tzw. logach systemowych. Dane zapisywane w logach systemowych obejmują: datę i dokładny czas wizyty, adres IP Użytkownika, typ i wersję przeglądarki internetowej, system operacyjny urządzenia, adres strony poprzednio odwiedzonej (referer). Dane z logów systemowych przetwarzane są wyłącznie do celów administracji serwerami, zapewnienia bezpieczeństwa infrastruktury i prowadzenia wewnętrznych statystyk - nie są one łączone z innymi danymi osobowymi Użytkownika i nie służą do identyfikowania konkretnych osób. Logi systemowe przechowywane są przez okres do 12 (dwunastu) miesięcy od daty zdarzenia.

Rozdział VII
Bezpieczeństwo danych osobowych
Stosowane środki techniczne i organizacyjne ochrony danych

Administrator przykłada najwyższą wagę do bezpieczeństwa przetwarzanych danych osobowych i stosuje wielowarstwowe techniczne i organizacyjne środki ochrony odpowiednie do charakteru, zakresu, kontekstu i celów przetwarzania oraz poziomu ryzyka naruszenia praw lub wolności osób fizycznych. Stosowane środki bezpieczeństwa obejmują w szczególności:

  • Szyfrowanie całej transmisji danych między przeglądarką Użytkownika a serwerami Serwisu przy użyciu protokołu HTTPS (Hypertext Transfer Protocol Secure) z ważnym certyfikatem TLS, uniemożliwiające przechwycenie danych w transmisji;
  • Szyfrowanie danych wrażliwych przechowywanych w bazach danych Serwisu, w szczególności haseł Użytkowników przechowywanych wyłącznie jako nieodwracalne skróty kryptograficzne (hash) z zastosowaniem soli kryptograficznej;
  • Wielowarstwowe systemy zapory sieciowej (firewall) i systemów wykrywania intruzów (IDS/IPS) chroniące przed nieautoryzowanym zewnętrznym i wewnętrznym dostępem do infrastruktury;
  • Politykę kontroli dostępu do danych opartą na zasadzie minimalnych niezbędnych uprawnień (principle of least privilege) - do danych mają dostęp wyłącznie upoważnieni pracownicy Administratora w zakresie niezbędnym do wykonywania powierzonych im zadań;
  • Automatyczne szyfrowane kopie zapasowe wszystkich danych tworzone co 24 godziny i przechowywane przez co najmniej 7 dni na fizycznie oddzielonym nośniku;
  • Systemy ciągłego monitorowania infrastruktury serwerowej i wykrywania anomalii z powiadamianiem administratorów systemów o podejrzanych zdarzeniach i incydentach bezpieczeństwa;
  • Procedury zarządzania incydentami bezpieczeństwa zgodne z wymaganiami art. 33 i 34 RODO, w tym procedurę zgłaszania naruszeń ochrony danych właściwemu organowi nadzorczemu w terminie 72 godzin od stwierdzenia naruszenia;
  • Regularne szkolenia personelu Administratora mającego dostęp do danych osobowych z zakresu ochrony danych osobowych, zasad bezpieczeństwa informatycznego i obowiązków wynikających z RODO.

Pomimo stosowania powyższych środków Administrator informuje, że żadna metoda transmisji danych przez Internet ani żadna metoda przechowywania danych elektronicznych nie zapewnia 100% bezpieczeństwa. Niniejsza Polityka Prywatności obowiązuje od dnia 1 stycznia 2026 r.