QuadraPricequadraprice.Zacznij

Dokument prawny

Polityka prywatności

Wersja 1.1 · Wchodzi w życie 03 czerwca 2026

Niniejsza polityka opisuje zasady przetwarzania danych osobowych Użytkowników serwisu QuadraPrice dostępnego pod adresem quadraprice.pl (dalej: Serwis). Polityka jest zgodna z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) oraz ustawą z 10 maja 2018 r. o ochronie danych osobowych.

Dbamy o minimalizm — zbieramy tylko te dane, które są niezbędne do świadczenia Usługi i wystawiania faktur. Nie sprzedajemy danych osobom trzecim. Nie używamy cookies marketingowych, reklamowych ani profilowania. Korzystamy z analityki (Google Analytics) wyłącznie wtedy, gdy wyrazisz na to zgodę w banerze cookies — domyślnie jest wyłączona, a zgodę możesz wycofać w każdej chwili (link „Ustawienia cookies" w stopce).

§1 Administrator danych osobowych

Administratorem danych osobowych jest Maciej Maliński prowadzący jednoosobową działalność gospodarczą pod nazwą Vision & Team Maciej Maliński:

  • NIP: 9580521759
  • REGON: 220782357
  • Adres siedziby: Żurawia 15/37, 81-074 Gdynia
  • E-mail kontaktowy: kontakt@malinski.ai

Z uwagi na skalę przetwarzania (mała działalność, mniej niż 250 osób) Administrator nie powołał Inspektora Ochrony Danych (DPO) — kontakt w sprawach RODO bezpośrednio na adres e-mail wskazany powyżej.

§2 Jakie dane zbieramy

Dane podawane dobrowolnie przez Użytkownika:

  • Adres e-mail — w celu założenia Konta i wysyłki magic-link.
  • Dane firmy (nazwa, NIP, adres) — opcjonalne, podawane wyłącznie do wystawienia faktury VAT.
  • Treść Raportów — parametry generowania (np. TERYT obrębu, adres, promień) podane w formularzu zamówienia.

Dane zbierane automatycznie:

  • Adres IP, User-Agent przeglądarki, timestamp logowań i działań w Serwisie — wyłącznie do celów bezpieczeństwa (wykrywanie nadużyć, rate limiting, audyt).
  • Identyfikator sesji (HTTP-only cookie) — niezbędny do utrzymania stanu zalogowania.
  • Identyfikator Raportu, identyfikator Użytkownika, timestamp generowania — zapisywane w metadanych PDF jako znak wodny w celu egzekwowania praw autorskich.

Dane techniczne związane z płatnościami:

Płatności są obsługiwane przez podmiot zewnętrzny PayU S.A. (Poznań, Polska). Serwis nie przechowuje danych kart płatniczych ani danych logowania do bankowości — otrzymuje wyłącznie potwierdzenie statusu płatności (identyfikator transakcji, kwotę, status: ok/błąd).

§3 Cel przetwarzania

  • Świadczenie Usługi — generowanie i udostępnianie Raportów, zarządzanie Kontem, obsługa Kredytów.
  • Realizacja płatności — przekazywanie niezbędnych danych do operatora płatności (PayU) i wystawienie faktury (iFirma, z wysyłką do KSeF).
  • Komunikacja transakcyjna — wysyłka linków logowania, potwierdzeń zakupu, informacji o statusie Raportów, odpowiedzi na reklamacje.
  • Bezpieczeństwo — wykrywanie nadużyć (rate limiting, audyt prób logowania, blokowanie kont naruszających Regulamin).
  • Obowiązki podatkowe i księgowe — przechowywanie faktur i danych transakcyjnych przez okres wymagany przepisami.
  • Doskonalenie Usługi (analityka) — pomiar ruchu i sposobu korzystania z Serwisu za pomocą Google Analytics 4. Uruchamiany wyłącznie po wyrażeniu zgody na cookies analityczne (art. 6 ust. 1 lit. a RODO); do czasu zgody GA4 działa w trybie bezciasteczkowym i nie zapisuje identyfikatorów. IP jest anonimizowane.

Nie wykorzystujemy danych osobowych do profilowania marketingowego, retargetingu reklam ani sprzedaży podmiotom trzecim.

§4 Podstawy prawne przetwarzania

Kategoria danychPodstawa prawna RODO
Adres e-mail, dane Kontaart. 6 ust. 1 lit. b — wykonanie umowy (Regulamin)
Dane firmy do fakturyart. 6 ust. 1 lit. c — obowiązek prawny (przepisy podatkowe)
Faktury przechowywane 5 latart. 6 ust. 1 lit. c — Ordynacja podatkowa, art. 86 § 1 i art. 112
Adres IP, logi bezpieczeństwaart. 6 ust. 1 lit. f — prawnie uzasadniony interes (bezpieczeństwo)
Treść Raportów (parametry)art. 6 ust. 1 lit. b — wykonanie umowy
Cookies analityczne (Google Analytics 4)art. 6 ust. 1 lit. a — zgoda (opt-in w banerze, odwoływalna)
Newsletter (jeśli włączony)art. 6 ust. 1 lit. a — zgoda (opt-in, odwoływalna)

§5 Odbiorcy danych — procesory

Dane osobowe są przekazywane następującym podmiotom przetwarzającym (procesorom) na podstawie umów powierzenia (DPA) lub równoważnych instrumentów prawnych:

ProcesorZakres przetwarzaniaLokalizacja
Hetzner Online GmbHHosting serwera aplikacji, bazy danych PostgreSQL, plików PDF/CSVNiemcy (EOG)
Anthropic PBCGenerowanie komentarza w sekcji „Wnioski (AI)" — tylko gdy Użytkownik włączy tę opcję; przekazywane są wyłącznie anonimowe statystyki Raportu (mediany, kwartyle, liczby transakcji), nigdy dane Użytkownika.USA (Standard Contractual Clauses + DPA)
GUGiK (Usługa Uniwersalnego Geokodowania) / OpenStreetMapGeokodowanie adresów (GUGiK UUG) i podkład mapy w Raporcie (kafelki OpenStreetMap) — przekazywany jest wyłącznie wpisany adres / współrzędne nieruchomości, nigdy dane Użytkownika.Polska / UE
SeoHost (h88 S.A.) (serwer poczty)Wysyłka e-maili transakcyjnych (linki logowania, potwierdzenia zakupu, faktury) z adresu kontakt@quadraprice.pl.Polska
PayU S.A.Realizacja płatności kartą, BLIK, przelewem natychmiastowym.Polska
ifirma S.A.Wystawianie faktur VAT i obsługa księgowości.Polska
Google Ireland Limited (Google Analytics 4)Pomiar ruchu i statystyki korzystania z Serwisu — tylko po wyrażeniu zgody na cookies analityczne. Tryb zgody (Consent Mode), anonimizacja IP, bez Google Signals i reklam.Irlandia (EOG); możliwe przetwarzanie przez Google LLC (USA)

Dodatkowo, w celu generowania Raportów Serwis korzysta z publicznych danych udostępnianych przez:

  • Główny Urząd Geodezji i Kartografii (GUGiK) — Rejestr Cen Nieruchomości (transakcje notarialne), ULDK (geometria działek);
  • Ministerstwo Cyfryzacji — portal dane.gov.pl (cenniki ofertowe deweloperów).

Powyższe instytucje nie są procesorami w rozumieniu RODO — to publiczne rejestry, do których Serwis wysyła wyłącznie zapytania o obszary geograficzne, bez danych osobowych Użytkowników.

§6 Transfer danych poza EOG

Dane mogą być przetwarzane poza Europejskim Obszarem Gospodarczym przez dwa podmioty: Anthropic PBC (USA) — przy generowaniu komentarza AI, oraz Google LLC (USA) — przy analityce, wyłącznie jeśli wyrazisz zgodę na cookies analityczne. Transfer odbywa się na podstawie:

  • Standardowych Klauzul Umownych Komisji Europejskiej (Standard Contractual Clauses, SCC) — decyzja KE 2021/914;
  • Umów o przetwarzanie danych (DPA) zawartych z Anthropic oraz z Google (Google Ads Data Processing Terms);
  • Decyzji wykonawczej Komisji UE z 10 lipca 2023 r. w sprawie odpowiedniego stopnia ochrony danych w ramach EU-US Data Privacy Framework (DPF) — z którego korzystają zarówno Anthropic, jak i Google.

Anthropic nie wykorzystuje danych przekazywanych przez API do trenowania modeli — gwarancja umowna w DPA. Przekazywane są wyłącznie zagregowane statystyki Raportu (liczby), nigdy adres e-mail, dane Konta ani treść korespondencji. W przypadku Google analityka działa z anonimizacją IP, w trybie zgody (Consent Mode) i bez funkcji reklamowych.

§7 Okres przechowywania

Rodzaj danychOkres przechowywania
Konto aktywne (e-mail, ustawienia, kredyty)Do usunięcia przez Użytkownika
Historia Raportów wygenerowanych przez UżytkownikaDo usunięcia przez Użytkownika
Faktury VAT i dane transakcyjne5 lat od końca roku kalendarzowego, w którym powstał obowiązek podatkowy (art. 86 § 1 Ordynacji podatkowej)
Logi techniczne (IP, User-Agent, timestamp logowania)90 dni
Logi audytu działań admina2 lata
Logi reklamacji i korespondencji3 lata (okres przedawnienia roszczeń konsumenckich)

§8 Prawa osoby, której dane dotyczą

Zgodnie z RODO Użytkownikowi przysługują następujące prawa:

  • Dostępu do danych (art. 15 RODO) — uzyskanie kopii przetwarzanych danych.
  • Sprostowania (art. 16 RODO) — żądanie poprawienia nieprawidłowych danych.
  • Usunięcia (art. 17 RODO, „prawo do bycia zapomnianym") — z zastrzeżeniem obowiązków przechowywania faktur.
  • Ograniczenia przetwarzania (art. 18 RODO).
  • Przenoszenia danych (art. 20 RODO) — otrzymanie danych w formacie maszynowo czytelnym (JSON / CSV).
  • Sprzeciwu wobec przetwarzania na podstawie prawnie uzasadnionego interesu (art. 21 RODO).
  • Cofnięcia zgody (jeśli przetwarzanie odbywa się na podstawie zgody, np. newsletter) — w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.

Żądania należy kierować na adres kontakt@malinski.ai. Termin realizacji: do 30 dni od otrzymania żądania.

Użytkownikowi przysługuje również prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

§9 Cookies i analityka

Stosowanie plików cookies reguluje art. 173 ustawy Prawo telekomunikacyjne (wdrożenie dyrektywy ePrivacy 2002/58/WE) oraz RODO. Cookies inne niż niezbędne wymagają uprzedniej, dobrowolnej i świadomej zgody wyrażonej przez aktywne działanie (opt-in). Serwis stosuje model zgody: cookies analityczne są domyślnie wyłączone i uruchamiają się dopiero po kliknięciu „Akceptuj wszystkie" lub po włączeniu kategorii analitycznej w ustawieniach banera.

Cookies niezbędne (bez zgody)

Działają zawsze — są konieczne do świadczenia Usługi wybranej przez Użytkownika i zgodnie z art. 173 ust. 3 ustawy Prawo telekomunikacyjne nie wymagają zgody:

  • Session cookie (HTTP-only, Secure, SameSite=Lax) — identyfikator sesji zalogowanego Użytkownika. Czas życia: do wylogowania lub 30 dni (auto-refresh przy aktywności).
  • CSRF token cookie — zabezpieczenie przed atakami Cross-Site Request Forgery. Czas życia: sesja przeglądarki.
  • qp_consent — zapamiętuje Twój wybór dotyczący cookies (i datę jego wyrażenia). Czas życia: 180 dni.

Cookies analityczne (wymagają zgody)

Po wyrażeniu zgody Serwis korzysta z Google Analytics 4 (dostawca: Google Ireland Limited) w celu pomiaru ruchu i sposobu korzystania z Serwisu. Stosujemy Google Consent Mode v2 — do czasu zgody GA4 działa w trybie bezciasteczkowym (nie zapisuje plików _ga/_ga_* ani identyfikatorów). Po zgodzie GA4 ustawia:

  • _ga — wyróżnienie unikalnych użytkowników. Czas życia: do 2 lat.
  • _ga_<ID> — utrzymanie stanu sesji GA4. Czas życia: do 2 lat.

Analityka działa z anonimizacją adresu IP, bez Google Signals i bez funkcji reklamowych (ad_storage, ad_user_data, ad_personalization pozostają wyłączone). Dane mogą być przetwarzane także przez Google LLC (USA) na podstawie DPF i SCC — patrz §6.

Czego Serwis NIE używa

  • Cookies marketingowych / reklamowych (remarketing, Google Ads);
  • Pixel-tagów Facebook / Meta, LinkedIn Insight Tag itp.;
  • Profilowania ani śledzenia międzywitrynowego.

Zarządzanie zgodą

Zgodę możesz w każdej chwili zmienić lub wycofać — kliknij „Ustawienia cookies" w stopce Serwisu (wycofanie jest tak samo proste jak wyrażenie zgody — art. 7 ust. 3 RODO). Możesz też zablokować lub usunąć cookies w ustawieniach przeglądarki; cookies niezbędne mogą być konieczne do poprawnego działania logowania. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem.

§10 Bezpieczeństwo

  • Szyfrowanie w transporcie — całość komunikacji odbywa się przez HTTPS (TLS 1.3, certyfikat Let's Encrypt). HSTS włączone (Strict-Transport-Security).
  • Szyfrowanie w spoczynku — baza danych PostgreSQL hostowana na szyfrowanym dysku serwera (Hetzner LUKS / AES-256).
  • Logowanie bez hasła — Serwis nie przechowuje haseł użytkowników. Autoryzacja odbywa się przez jednorazowy magic-link wysyłany e-mailem, ważny 15 minut.
  • Backupy — codzienne automatyczne kopie bazy danych z retencją 7 dni (daily) + 4 tygodnie (weekly). Backupy szyfrowane.
  • Pliki Raportów — PDF i CSV udostępniane przez podpisane URL (HMAC SHA-256) ważne 24 godziny. Bezpośredni dostęp do storage zablokowany.
  • Rate limiting — automatyczne blokowanie podejrzanej aktywności (więcej niż 5 prób logowania w 5 minut, więcej niż 100 raportów dziennie).
  • Audyt — wszystkie działania administracyjne (przyznanie kredytów, zmiana statusu Raportu) są logowane w niezmiennej historii.

W przypadku naruszenia ochrony danych mogącego skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, Administrator powiadomi Prezesa UODO w terminie 72 godzin oraz osoby, których dane dotyczą, bez zbędnej zwłoki.

§11 Zmiany polityki

Aktualna wersja polityki jest publikowana pod adresem quadraprice.pl/polityka-prywatnosci. O istotnych zmianach Administrator informuje Użytkowników z aktywnymi Kontami drogą e-mailową co najmniej 14 dni przed wejściem zmian w życie. Wcześniejsze wersje są archiwizowane na żądanie pod adresem kontakt@malinski.ai.

§12 Kontakt

We wszystkich sprawach związanych z przetwarzaniem danych osobowych (w tym dla wykonania praw, o których mowa w §8) prosimy o kontakt:

  • E-mail: kontakt@malinski.ai
  • Korespondencja: Vision & Team Maciej Maliński, Żurawia 15/37, 81-074 Gdynia

Termin udzielenia odpowiedzi: do 30 dni od otrzymania żądania, zgodnie z art. 12 ust. 3 RODO. W szczególnie skomplikowanych przypadkach termin może zostać przedłużony o kolejne 60 dni — Użytkownik zostanie poinformowany o przedłużeniu wraz z uzasadnieniem.