Klauzule informacyjne RODO

Informacje o przetwarzaniu danych osobowych zgodnie z art. 13 i 14 RODO

Ostatnia aktualizacja: 9 października 2025

📋 Informacje wymagane przez RODO

Zgodnie z art. 13 i 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO), przedstawiamy Państwu szczegółowe informacje dotyczące przetwarzania Państwa danych osobowych przez platformę Diluto.

Niniejsze klauzule informacyjne mają na celu zapewnienie przejrzystości i umożliwienie świadomego podejmowania decyzji dotyczących powierzenia nam Państwa danych osobowych.

1. Administrator danych osobowych

1.1. Identyfikacja administratora

Administratorem Państwa danych osobowych jest:

Destina Sławińska Growify

  • Adres siedziby:
    ul. Grunwaldzka 23
    65-328 Zielona Góra, Polska
  • NIP: 9291789361
  • REGON: 384770507

Dane kontaktowe

  • E-mail: kontakt@diluto.pl
  • Telefon: +48 668 351 881
  • Strona internetowa: diluto.pl

1.2. Dane kontaktowe w sprawach ochrony danych

W sprawach związanych z ochroną danych osobowych oraz realizacją Państwa praw można kontaktować się z administratorem:

  • E-mail RODO: kontakt@diluto.pl
  • Adres korespondencyjny: ul. Grunwaldzka 23, 65-328 Zielona Góra (z dopiskiem "Ochrona Danych Osobowych")
  • Telefon: +48 668 351 881
  • Formularz kontaktowy: Dostępny w sekcji "Ustawienia" → "Prywatność" w panelu użytkownika

Informacja: Administrator nie wyznaczył Inspektora Ochrony Danych (IOD) zgodnie z Art. 37 RODO, gdyż nie spełnia kryteriów wymagających obligatoryjnego wyznaczenia IOD (brak przetwarzania na dużą skalę lub regularnego systematycznego monitorowania).

2. Cele przetwarzania i podstawy prawne

2.1. Przetwarzanie na podstawie art. 6 ust. 1 lit. b RODO - wykonanie umowy

🔧 Świadczenie usług platformy ESOP

  • Cel: Zarządzanie kontami użytkowników, cap table i programami ESOP
  • Kategorie danych: Dane identyfikacyjne, dane logowania, dane zawodowe
  • Zakres: Dane niezbędne do realizacji funkcji platformy
  • Okres: Do zakończenia świadczenia usług + okres archiwizacji

2.2. Przetwarzanie na podstawie art. 6 ust. 1 lit. a RODO - zgoda

📧 Marketing i komunikacja promocyjna

  • Cel: Wysyłanie newsletterów, informacji o produktach, zaproszenia na wydarzenia
  • Kategorie danych: Adres e-mail, nazwa spółki, preferencje komunikacyjne
  • Wycofanie zgody: W każdym momencie poprzez link w e-mailu lub kontakt z administratorem
  • Okres: Do wycofania zgody przez osobę, której dane dotyczą

2.3. Przetwarzanie na podstawie art. 6 ust. 1 lit. f RODO - uzasadniony interes

🛡️ Bezpieczeństwo i analityka

  • Cel: Zapewnienie bezpieczeństwa, analiza użytkowania, wsparcie techniczne
  • Interes administratora: Ochrona platformy, jakość usług, bezpieczeństwo danych
  • Kategorie danych: Logi systemowe, dane techniczne, historia sesji, adres IP
  • Balansowanie: Interes administratora nie narusza Państwa praw i wolności

2.4. Przetwarzanie na podstawie art. 6 ust. 1 lit. c RODO - obowiązek prawny

⚖️ Wymogi prawne i compliance

  • Cel: Prowadzenie dokumentacji, audit trail, sprawozdawczość, archiwizacja
  • Podstawa prawna: KSH, przepisy podatkowe, ustawy o rachunkowości
  • Kategorie danych: Historia operacji, dokumenty prawne, dane rozliczeniowe
  • Okres: Zgodnie z okresami przewidzianymi w przepisach prawa

3. Kategorie danych osobowych

3.1. Dane rejestracyjne i logowania

🔑 Podstawowe dane wymagane do korzystania z platformy

  • Adres e-mail: Służy jako nazwa użytkownika i do komunikacji
  • Hasło: Przechowywane w formie zahashowanej przez Supabase Auth
  • Nazwa spółki: Podawana podczas rejestracji
  • Źródło danych: Bezpośrednio od użytkownika podczas rejestracji

3.2. Dane wprowadzane w platformie

📊 Informacje wprowadzane przez użytkowników do zarządzania ESOP

  • Dane beneficjentów: Imiona (display name), adresy e-mail uczestników programu
  • Informacje o grantach: Liczba opcji, daty przyznania
  • Dane spółki: Podstawowe informacje o firmie wprowadzone przez użytkownika
  • Źródło danych: Wprowadzane bezpośrednio przez administratorów spółek

3.3. Dane techniczne

🔧 Dane techniczne zbierane automatycznie w celu zapewnienia działania platformy

  • Logi systemowe: Informacje o logowaniach i korzystaniu z platformy
  • Adres IP: Do celów bezpieczeństwa
  • Dane sesji: Informacje o aktywności użytkownika
  • Źródło danych: Automatycznie zbierane przez system

4. Odbiorcy lub kategorie odbiorców danych osobowych

4.1. Podmioty przetwarzające (procesory danych)

🗄️ Supabase Inc. - Hosting bazy danych

  • Siedziba: San Francisco, USA
  • Lokalizacja danych: Serwery w Unii Europejskiej
  • Cel: Hosting bazy danych, backup, bezpieczeństwo
  • Zabezpieczenia: SOC 2 Type II, ISO 27001
  • Umowa DPA: Tak, zgodna z RODO
  • Więcej info: supabase.com/privacy

☁️ Vercel Inc. - Hosting aplikacji

  • Siedziba: San Francisco, USA
  • Lokalizacja danych: Serwery w Unii Europejskiej
  • Cel: Hosting aplikacji, CDN, analityka

💳 Stripe Inc. - Przetwarzanie płatności

  • Siedziba: San Francisco, USA / Dublin, Irlandia
  • Lokalizacja danych: Serwery w Unii Europejskiej
  • Cel: Przetwarzanie płatności, rozliczenia
  • Zabezpieczenia: PCI DSS Level 1, SOC 1/2
  • Umowa DPA: Tak, automatyczna dla klientów UE
  • Więcej info: stripe.com/privacy

4.2. Przekazywanie do krajów trzecich

🌍 Zabezpieczenia przekazywania międzynarodowego

  • Zasada: Wszystkie dane osobowe są przetwarzane wyłącznie na serwerach w Unii Europejskiej
  • Dostawcy USA: Podlegają umowom DPA z klauzulami standardowymi UE
  • Monitoring: Regularne audyty zgodności z RODO u wszystkich podwykonawców
  • Backup: Kopie zapasowe również przechowywane wyłącznie w UE

4.3. Ujawnienia na żądanie organów publicznych

Dane osobowe mogą zostać ujawnione następującym organom na podstawie obowiązujących przepisów:

  • Organy ścigania: Prokuratura, policja (w ramach postępowań karnych)
  • Organy podatkowe: Urzędy skarbowe (kontrole podatkowe, śledztwa)
  • Organy nadzoru finansowego: KNF, UKNF (w przypadku spółek publicznych)
  • Sądy powszechne: W ramach postępowań cywilnych i gospodarczych
  • UODO: Prezes Urzędu Ochrony Danych Osobowych

5. Okresy przechowywania danych osobowych

5.1. Dane użytkowników platformy

Kategoria danychOkres przechowywaniaPodstawa prawna
Dane konta użytkownikaDo zakończenia umowy + 6 latUstawa o rachunkowości
Dane programów ESOP10 lat od zakończenia programuPrzepisy podatkowe
Historia operacji (audit trail)5 lat od wykonania operacjiKSH, przepisy o dokumentacji
Dane marketingoweDo wycofania zgodyZgoda (art. 6 ust. 1 lit. a)
Logi bezpieczeństwa24 miesiąceUzasadniony interes (bezpieczeństwo)

5.2. Usuwanie danych

Usuwanie danych odbywa się w sposób ręczny przez administratora platformy:

  • Ręczny proces: Dane są usuwane przez administratora po otrzymaniu żądania lub po upływie okresów prawnych
  • Żądania użytkowników: Przetwarzane indywidualnie w odpowiedzi na wnioski o usunięcie danych
  • Zakończenie umów: Dane są usuwane po zakończeniu świadczenia usług zgodnie z obowiązującymi przepisami
  • Bezpieczne usuwanie: Dane są usuwane z bazy danych Supabase z zachowaniem środków bezpieczeństwa

5.3. Przedłużenie okresów w przypadkach szczególnych

Okresy przechowywania mogą zostać przedłużone w przypadku:

  • Toczących się postępowań sądowych lub administracyjnych
  • Prowadzonych kontroli przez organy państwowe
  • Roszczeń lub sporów wymagających dokumentacji
  • Szczególnych wymogów branżowych lub regulacyjnych

6. Prawa osób, których dane dotyczą

🛡️ Zgodnie z RODO przysługują Państwu następujące prawa w związku z przetwarzaniem danych osobowych:

📋 Prawo dostępu (art. 15 RODO)

  • • Potwierdzenie przetwarzania danych
  • • Kopia przetwarzanych danych
  • • Informacje o celach i odbiorcach
  • • Czas realizacji: 2 miesiące

✏️ Prawo sprostowania (art. 16 RODO)

  • • Sprostowanie nieprawidłowych danych
  • • Uzupełnienie niekompletnych danych
  • • Edycja danych w panelu użytkownika
  • • Realizacja: niezwłocznie

🗑️ Prawo do usunięcia (art. 17 RODO)

  • • Usunięcie niepotrzebnych danych
  • • Skutek wycofania zgody
  • • Ograniczenia: obowiązki prawne
  • • Ocena przypadku: indywidualna

📤 Prawo do przenoszenia (art. 20 RODO)

  • • Dane w formacie strukturalnym
  • • Formaty: CSV, JSON, Excel
  • • Przekazanie do innego administratora
  • • Dotyczy danych na podstawie zgody/umowy

⏸️ Prawo ograniczenia (art. 18 RODO)

  • • Ograniczenie podczas weryfikacji
  • • Wstrzymanie przetwarzania
  • • Dane mogą być tylko przechowywane
  • • Tymczasowe zamiast usunięcia

🚫 Prawo sprzeciwu (art. 21 RODO)

  • • Sprzeciw wobec uzasadnionego interesu
  • • Bezwarunkowy sprzeciw wobec marketingu
  • • Wycofanie zgody w każdym momencie
  • • Zaprzestanie lub ograniczenie

6.1. Sposób realizacji praw

📞 Jak zgłosić żądanie realizacji praw:

  • E-mail RODO: kontakt@diluto.pl
  • Formularz online: Panel użytkownika → Ustawienia → Prywatność
  • Telefon: +48 668 351 881
  • Poczta tradycyjna:
    ul. Grunwaldzka 23
    65-328 Zielona Góra
  • Czas realizacji: Do 2 miesięcy (możliwe przedłużenie o kolejny miesiąc w skomplikowanych przypadkach)

6.2. Prawo wniesienia skargi do organu nadzorczego

🏛️ Urząd Ochrony Danych Osobowych (UODO)

  • Adres: ul. Stawki 2, 00-193 Warszawa
  • E-mail: kancelaria@uodo.gov.pl
  • Telefon: 22 860 70 86
  • Strona internetowa: uodo.gov.pl
  • Formularz skargi: Dostępny online
  • Termin: Bez ograniczeń czasowych

7. Zautomatyzowane podejmowanie decyzji i profilowanie

ℹ️ Brak zautomatyzowanych systemów decyzyjnych

Platforma Diluto nie wykorzystuje zaawansowanych systemów zautomatyzowanego podejmowania decyzji ani profilowania użytkowników.

  • Kalkulacje: Podstawowe obliczenia matematyczne (procenty, wartości) wykonywane przez standardowe wzory
  • Brak analizy ryzyka: Platforma nie posiada systemów automatycznej analizy ryzyka czy rekomendacji
  • Brak profilowania: Nie analizujemy wzorców zachowań użytkowników w celach decyzyjnych
  • Decyzje ręczne: Wszystkie istotne decyzje podejmowane są przez użytkowników platformy

7.1. Podstawowe funkcje automatyczne

Jedynymi automatycznymi funkcjami w platformie są:

  • Uwierzytelnianie: Automatyczna weryfikacja haseł przez Supabase Auth
  • Kalkulacje wartości: Proste obliczenia matematyczne na podstawie wprowadzonych danych
  • Walidacja formularzy: Sprawdzanie poprawności wprowadzanych danych
  • Sesje użytkowników: Automatyczne zarządzanie sesjami logowania

Brak wpływu na prawa użytkowników: Żadne z powyższych funkcji nie wpływa na prawa użytkowników ani nie podejmuje decyzji w ich imieniu zgodnie z art. 22 RODO.

8. Źródło danych osobowych

ℹ️ Proste źródła danych

Platforma Diluto pozyskuje dane wyłącznie w prosty sposób, bez złożonych integracji czy weryfikacji zewnętrznych.

8.1. Dane podawane bezpośrednio przez użytkowników

👤 Wszystkie dane pochodzą od użytkowników

  • Dane rejestracyjne: E-mail, hasło, nazwa spółki (podczas rejestracji)
  • Dane ESOP: Informacje wprowadzane przez użytkowników do zarządzania programami opcyjnymi
  • Dane beneficjentów: Display name i e-mail uczestników (wprowadzane przez administratorów spółek)
  • Komunikacja: Ewentualne zgłoszenia lub korespondencja z użytkownikami

8.2. Dane techniczne generowane automatycznie

🔧 Dane powstające podczas korzystania z platformy

  • Logi Supabase: Informacje o logowaniach i sesjach użytkowników
  • Adres IP: Zbierany automatycznie dla celów bezpieczeństwa
  • Historia operacji: Zmiany wprowadzane w danych przez użytkowników

⚠️ Ważne: Brak weryfikacji zewnętrznych

  • Brak integracji z KRS: Nie pobieramy ani nie weryfikujemy danych w Krajowym Rejestrze Sądowym
  • Brak weryfikacji VAT: Nie sprawdzamy statusu podatników w rejestrach podatkowych
  • Brak danych trzecich: Nie pozyskujemy danych od kancelarii, biur księgowych czy innych podmiotów
  • Odpowiedzialność użytkownika: Użytkownicy są odpowiedzialni za poprawność wprowadzanych danych

9. Konsekwencje niepodania danych osobowych

9.1. Dane obligatoryjne do świadczenia usług

⚠️ Minimalne dane wymagane do korzystania z platformy

  • Adres e-mail: Wymagany do logowania i komunikacji z użytkownikiem
  • Hasło: Niezbędne do zabezpieczenia konta
  • Nazwa spółki: Podstawowe rozróżnienie firm w systemie
  • Akceptacja warunków: Zgodnie z wymogami prawymi świadczenia usług online

Uwaga: Niepodanie powyższych danych uniemożliwi utworzenie konta i korzystanie z platformy.

9.2. Dane opcjonalne - ograniczenie funkcjonalności

🔶 Dane fakultatywne - niepodanie ogranicza dostęp do niektórych funkcji

  • Numer telefonu: Brak utrudni szybki kontakt i weryfikację dwuskładnikową
  • Adres spółki: Ograniczenia w generowaniu oficjalnych dokumentów
  • Dane dodatkowe uczestników: Mniejsza precyzja analiz i raportów
  • Preferencje komunikacji: Domyślne ustawienia powiadomień

9.3. Dane marketingowe - brak wpływu na usługi

✅ Dane marketingowe - całkowicie opcjonalne, brak nie ogranicza funkcjonalności

  • Zgoda na newsletter: Brak nie wpływa na korzystanie z platformy
  • Dane do badań: Nieobowiązkowe, można odmówić bez konsekwencji
  • Informacje o branży: Służą tylko personalizacji komunikacji
  • Historia preferencji: Brak powoduje standardowe ustawienia

9.4. Szczegółowe konsekwencje dla różnych grup użytkowników

Grupa użytkownikówDane wymaganeKonsekwencje braku
Pracownicy ESOPDane osobiste, stanowisko, data zatrudnieniaNiemożliwość uczestnictwa w programie
AdministratorzyDane identyfikacyjne, uprawnienia w spółceBrak dostępu administratora
DoradcyDane zawodowe, numer w rejestrzeNiemożliwość obsługi klientów
SpółkiDane KRS, struktura właścicielskaBrak możliwości użytkowania platformy

9.5. Możliwość zmiany decyzji o podaniu danych

Osoby, które początkowo nie wyraziły zgody lub nie podały danych opcjonalnych, mogą:

  • Uzupełnić dane: W każdym momencie w panelu użytkownika
  • Wyrazić zgodę: Na marketing lub dodatkowe funkcje
  • Aktywować funkcje: Po podaniu wymaganych danych
  • Skontaktować się: Z działem wsparcia w sprawie rozszerzenia dostępu

10. Kontakt i realizacja praw RODO

📞 Dane kontaktowe do spraw RODO

Sprawy ogólne:

  • E-mail: kontakt@diluto.pl
  • Telefon: +48 668 351 881
  • Godziny: Pon-Pt 9:00-17:00

Sprawy RODO i prywatności:

  • E-mail: kontakt@diluto.pl
  • Formularz: Panel użytkownika
  • Adres: ul. Grunwaldzka 23, 65-328 Zielona Góra

10.1. Terminy i procedury

⏱️ Standardowe terminy odpowiedzi

  • Potwierdzenie otrzymania: 7 dni roboczych
  • Żądania RODO: 2 miesiące
  • Złożone sprawy: +1 miesiąc (z uzasadnieniem)
  • Pilne sprawy bezpieczeństwa: Niezwłocznie

📝 Wymagane informacje w zgłoszeniu

  • Tożsamość: Imię, nazwisko, e-mail
  • Rodzaj żądania: Konkretne prawo RODO
  • Zakres danych: Które dane dotyczą żądania
  • Dokumenty: Potwierdzenie tożsamości

10.2. Weryfikacja tożsamości

W celu ochrony danych osobowych administrator może wymagać weryfikacji tożsamości osoby składającej żądanie:

  • Przez platformę: Logowanie do konta użytkownika (preferowane)
  • Skany dokumentów: Dowód osobisty, paszport (z zasłoniętymi danymi wrażliwymi)
  • Telefoniczna weryfikacja: Potwierdzenie danych osobowych
  • Pełnomocnictwo: W przypadku działania w imieniu osoby trzeciej

10.3. Koszty realizacji praw

💰 Zasada bezpłatności: Realizacja praw RODO jest zasadniczo bezpłatna. Administrator może pobrać opłatę tylko w szczególnych przypadkach:

  • Żądania są w oczywisty sposób nieuzasadnione lub nadmierne
  • Osoba składa wielokrotne identyczne żądania
  • Żądanie wymaga znacznych zasobów (np. bardzo obszerne kopie danych)

10.4. Procedury odwoławcze

W przypadku niezadowalającej odpowiedzi lub braku odpowiedzi administrator oferuje:

  • Ponowne rozpatrzenie: Możliwość złożenia uzupełnionego wniosku
  • Konsultacje telefoniczne: Wyjaśnienie wątpliwości z specjalistą
  • Mediację: Polubowne rozwiązanie sporów
  • Skarga do UODO: Niezależne rozpatrzenie sprawy przez organ nadzorczy

10.5. Podejście do jakości obsługi

👤 Indywidualne podejście jednoosobowej działalności

  • • Proste rejestrowanie żądań RODO w systemie poczty elektronicznej
  • • Staranne rozpatrywanie każdego żądania indywidualnie
  • • Bezpośredni kontakt z użytkownikiem w przypadku wątpliwości
  • • Dążenie do pełnej zgodności z przepisami w ramach możliwości jednoosobowej działalności

Uwaga: Platforma jest zarządzana przez jedną osobę, co może wpływać na czas odpowiedzi, jednak każde żądanie jest traktowane z należytą starannością.

✅ Zobowiązanie do zgodności z RODO

Niniejsze klauzule informacyjne zostały opracowane zgodnie z wymogami art. 13 i 14 RODO oraz najnowszymi wytycznymi Europejskiej Rady Ochrony Danych (EDPB) i polskiego Urzędu Ochrony Danych Osobowych (UODO).

Administrator zobowiązuje się do przestrzegania wszystkich zasad przetwarzania danych osobowych określonych w RODO, w szczególności zasad legalności, rzetelności, przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania oraz integralności i poufności.

Ostatnia aktualizacja: 9 października 2025

Wersja dokumentu: 1.0

Zgodność: RODO/GDPR, polskie prawo o ochronie danych

Status: Obowiązujące