Polityka Prywatności

Ochrona danych osobowych zgodnie z RODO/GDPR

Ostatnia aktualizacja: 9 października 2025

1. Administrator danych osobowych

1.1. Dane administratora

Administratorem danych osobowych przetwarzanych w ramach platformy Diluto jest:

Destina Sławińska Growify

  • Adres: ul. Grunwaldzka 23, 65-328 Zielona Góra
  • E-mail: kontakt@diluto.pl
  • Telefon: +48 668 351 881
  • NIP: 9291789361
  • REGON: 384770507

1.2. Kontakt w sprawach ochrony danych

W sprawach związanych z ochroną danych osobowych można kontaktować się z administratorem:

  • E-mail: kontakt@diluto.pl
  • Adres: ul. Grunwaldzka 23, 65-328 Zielona Góra (z dopiskiem "Ochrona Danych Osobowych")

Uwaga: Ze względu na jednoosobowy charakter działalności oraz skalę przetwarzania, Administrator nie wyznaczył Inspektora Ochrony Danych (IOD) zgodnie z Art. 37 RODO. Obowiązek wyznaczenia IOD nie dotyczy podmiotów, które nie prowadzą regularnego i systematycznego monitorowania osób na dużą skalę lub nie przetwarzają na dużą skalę szczególnych kategorii danych.

1.3. Zakres zastosowania

Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych przez platformę Diluto oraz prawa osób, których dane dotyczą, zgodnie z:

  • Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO/GDPR)
  • Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000)
  • Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. Nr 144, poz. 1204)

📋 Szczegółowe informacje RODO

Oprócz niniejszej Polityki Prywatności, zgodnie z art. 13 i 14 RODO, przygotowaliśmy szczegółowe klauzule informacyjne zawierające wszystkie wymagane przez przepisy informacje o przetwarzaniu danych osobowych.

Klauzule te zawierają m.in. szczegółowe informacje o celach i podstawach prawnych przetwarzania, okresach przechowywania, odbiorcach danych oraz przysługujących Państwu prawach.

Zobacz klauzule informacyjne RODO

2. Podstawy prawne przetwarzania danych

Przetwarzanie danych osobowych w platformie Diluto odbywa się na następujących podstawach prawnych:

2.1. Art. 6 ust. 1 lit. b RODO - Wykonanie umowy

  • Zakres: Świadczenie usług zarządzania ESOP i cap table
  • Dane: Dane użytkowników, dane spółek, dane programów ESOP
  • Cel: Realizacja usług platformy zgodnie z regulaminem
  • Czas: Do zakończenia umowy + okres archiwizacji

2.2. Art. 6 ust. 1 lit. a RODO - Zgoda

  • Zakres: Marketing elektroniczny, komunikacja promocyjna
  • Dane: Adres e-mail, nazwa spółki, dane kontaktowe
  • Cel: Wysyłanie informacji handlowych i marketingowych
  • Czas: Do wycofania zgody przez osobę
  • Cofnięcie: W każdym momencie poprzez link w e-mailu lub kontakt z administratorem

2.3. Art. 6 ust. 1 lit. f RODO - Uzasadniony interes

  • Zakres: Analityka, bezpieczeństwo, wsparcie techniczne
  • Dane: Logi systemowe, dane techniczne, historia sesji
  • Cel: Zapewnienie bezpieczeństwa i jakości usług
  • Interes: Ochrona platformy i prawidłowe świadczenie usług

2.4. Art. 6 ust. 1 lit. c RODO - Obowiązek prawny

  • Zakres: Audit trail, dokumentacja zmian, sprawozdawczość
  • Dane: Historia operacji, logi dostępu, dokumenty prawne
  • Cel: Wypełnienie obowiązków wynikających z prawa polskiego
  • Podstawa: KSH, przepisy podatkowe, wymogi compliance

3. Kategorie przetwarzanych danych osobowych

3.1. Dane osobowe użytkowników

  • Dane identyfikacyjne: Imię, nazwisko, adres e-mail
  • Dane kontaktowe: Numer telefonu, adres służbowy
  • Dane zawodowe: Stanowisko, funkcja w spółce, uprawnienia dostępu
  • Dane logowania: Login, zaszyfrowane hasło, historia logowań
  • Źródło: Bezpośrednio od osoby podczas rejestracji

3.2. Dane spółek i podmiotów gospodarczych

  • Dane identyfikacyjne: Nazwa spółki, forma prawna, NIP, KRS, REGON
  • Dane strukturalne: Struktura właścicielska, akcjonariusze, udziały
  • Dane finansowe: Kapitał zakładowy, wartość akcji, wyceny
  • Dane reprezentantów: Dane osób reprezentujących spółkę
  • Źródło: Bezpośrednio od spółki, rejestry publiczne (KRS)

3.3. Dane programów ESOP

  • Dane uczestników: Imię, nazwisko, stanowisko pracowników
  • Dane programowe: Rodzaj opcji, liczba akcji, harmonogram vesting
  • Dane finansowe: Cena wykonania, wartość opcji, kalkulacje podatkowe
  • Dane czasowe: Daty przyznania, nabywania uprawnień, wykonania opcji
  • Źródło: Bezpośrednio od spółki i uczestników programu

3.4. Dane techniczne i komunikacji

  • Dane sesyjne: Adres IP, identyfikator sesji, czas aktywności
  • Dane urządzenia: Typ przeglądarki, system operacyjny, rozdzielczość
  • Dane analityczne: Statystyki użytkowania, ścieżki nawigacji
  • Dane komunikacji: Treść zgłoszeń, korespondencja e-mail
  • Źródło: Automatycznie przy korzystaniu z platformy

4. Cele przetwarzania danych osobowych

4.1. Świadczenie usług platformy

  • Zarządzanie kontami użytkowników i dostępem do platformy
  • Prowadzenie dokumentacji cap table i struktury właścicielskiej
  • Administracja programami ESOP i opcjami pracowniczymi
  • Generowanie raportów i dokumentów prawnych
  • Kalkulacje finansowe i symulacje rozwadniania
  • Prowadzenie audit trail i historii zmian

4.2. Wypełnienie obowiązków prawnych

  • Dokumentacja zgodna z wymogami KSH (Kodeks Spółek Handlowych)
  • Prowadzenie ewidencji wymaganej przepisami podatkowymi
  • Archiwizacja dokumentów przez okresy wymagane prawem
  • Współpraca z organami kontroli i nadzoru
  • Realizacja uprawnień osób, których dane dotyczą

4.3. Zapewnienie bezpieczeństwa i jakości

  • Monitoring bezpieczeństwa i wykrywanie zagrożeń
  • Analiza wydajności i optymalizacja platformy
  • Wsparcie techniczne i rozwiązywanie problemów
  • Zapobieganie nadużyciom i nieautoryzowanemu dostępowi
  • Backup i odtwarzanie danych w przypadku awarii

4.4. Marketing i komunikacja (za zgodą)

  • Wysyłanie newsletterów i informacji o produktach
  • Komunikacja o nowych funkcjach platformy
  • Zaproszenia na webinary i wydarzenia branżowe
  • Badania satysfakcji i opinie o usługach
  • Marketing bezpośredni zgodny z prawem elektronicznym

5. Udostępnianie i przekazywanie danych

5.1. Podmioty przetwarzające (procesory)

🔧 Supabase Inc.

  • Cel: Hosting bazy danych i backend-as-a-service
  • Lokalizacja: Serwery w Unii Europejskiej
  • Zabezpieczenia: Umowa DPA, certyfikaty SOC 2, ISO 27001
  • Strona: supabase.com/privacy

☁️ Vercel Inc.

  • Cel: Hosting aplikacji i infrastruktura chmurowa
  • Lokalizacja: Serwery w Unii Europejskiej
  • Zabezpieczenia: Umowa DPA, certyfikaty bezpieczeństwa
  • Strona: vercel.com/legal/privacy-policy

💳 Stripe Inc.

  • Cel: Przetwarzanie płatności i rozliczeń
  • Lokalizacja: Serwery w Unii Europejskiej
  • Zabezpieczenia: PCI DSS Level 1, SOC 1/2, ISO 27001
  • Strona: stripe.com/privacy

5.2. Przekazywanie międzynarodowe

  • Zasada: Wszystkie dane są przetwarzane na serwerach w Unii Europejskiej
  • Zabezpieczenia: Umowy DPA z gwarancjami poziomu ochrony zgodnego z RODO
  • Monitoring: Regularne audyty bezpieczeństwa podwykonawców
  • Kontrola: Możliwość zmiany procesora w przypadku niezgodności

5.3. Ujawnienia na żądanie organów

  • Dane mogą być ujawnione organom państwowym na podstawie obowiązujących przepisów
  • Ujawnienie następuje wyłącznie w zakresie wymaganym prawem
  • Administrator informuje o ujawnieniu, jeśli pozwala na to prawo
  • Prowadzona jest dokumentacja wszystkich ujawnień

5.4. Zasada braku sprzedaży danych

✅ Administrator nie sprzedaje, nie wynajmuje i nie przekazuje danych osobowych podmiotom trzecim w celach komercyjnych.

6. Prawa osób, których dane dotyczą

Zgodnie z RODO każda osoba, której dane osobowe są przetwarzane, ma następujące prawa:

6.1. Prawo dostępu (Art. 15 RODO)

  • Potwierdzenie, czy dane osobowe są przetwarzane
  • Dostęp do kopii przetwarzanych danych osobowych
  • Informacje o celach, kategoriach danych, odbiorcach
  • Informacje o okresie przechowywania danych
  • Realizacja: W ciągu 1 miesiąca od zgłoszenia

6.2. Prawo sprostowania (Art. 16 RODO)

  • Sprostowanie nieprawidłowych lub nieaktualnych danych
  • Uzupełnienie niekompletnych danych osobowych
  • Możliwość samoobsługowego edytowania danych w koncie
  • Realizacja: Niezwłocznie po zgłoszeniu

6.3. Prawo do usunięcia - "prawo do bycia zapomnianym" (Art. 17 RODO)

  • Usunięcie danych gdy nie są już potrzebne do pierwotnych celów
  • Usunięcie po wycofaniu zgody (jeśli była podstawą przetwarzania)
  • Usunięcie w przypadku bezprawnego przetwarzania
  • Ograniczenia: Obowiązki prawne, interesy publiczne, archiwizacja

6.4. Prawo do przenoszenia danych (Art. 20 RODO)

  • Otrzymanie danych w formacie strukturalnym i powszechnie używanym
  • Przekazanie danych innemu administratorowi (jeśli technicznie możliwe)
  • Dotyczy danych przetwarzanych na podstawie zgody lub umowy
  • Format: CSV, JSON lub inne standardowe formaty

6.5. Prawo ograniczenia przetwarzania (Art. 18 RODO)

  • Ograniczenie przetwarzania w przypadku kwestionowania prawidłowości
  • Wstrzymanie przetwarzania podczas weryfikacji sprzeciwu
  • Tymczasowe ograniczenie zamiast usunięcia danych
  • Skutek: Dane mogą być jedynie przechowywane

6.6. Prawo sprzeciwu (Art. 21 RODO)

  • Sprzeciw wobec przetwarzania na podstawie uzasadnionego interesu
  • Bezwarunkowy sprzeciw wobec marketingu bezpośredniego
  • Prawo do wycofania zgody w każdym momencie
  • Skutek: Zaprzestanie przetwarzania lub jego ograniczenie

6.7. Prawo wniesienia skargi

  • Skarga do Prezesa Urzędu Ochrony Danych Osobowych (UODO)
  • Adres: ul. Stawki 2, 00-193 Warszawa
  • E-mail: kancelaria@uodo.gov.pl
  • Telefon: 22 860 70 86
  • Strona: uodo.gov.pl

6.8. Sposób realizacji praw

📧 Jak zgłosić żądanie realizacji praw:

  • E-mail: kontakt@diluto.pl
  • Formularz: Dostępny w ustawieniach konta użytkownika
  • Poczta: ul. Grunwaldzka 23, 65-328 Zielona Góra
  • Czas realizacji: Do 1 miesiąca (z możliwością przedłużenia o 2 miesiące)

7. Okresy przechowywania danych osobowych

7.1. Dane związane ze świadczeniem usług

  • Dane konta użytkownika: Do zakończenia umowy + 6 lat
    Podstawa: Art. 118 Kodeksu cywilnego (przedawnienie roszczeń) + Ustawa o rachunkowości (Art. 74 ust. 2)
  • Dane cap table i struktura właścicielska: Do zakończenia umowy + 10 lat
    Podstawa: Art. 77 Kodeksu spółek handlowych (księgi udziałów/akcjonariuszy) + wymogi archiwizacyjne dla dokumentów korporacyjnych
  • Dane programów ESOP i opcji: Do końca programu + 10 lat
    Podstawa: Ustawa o PIT (Art. 24b) - rozliczenie przychodu z odpłatnego zbycia opcji, wymogi dokumentacyjne dla celów podatkowych
  • Umowy i dokumenty prawne: 10 lat od daty zawarcia
    Podstawa: Art. 118 Kodeksu cywilnego (przedawnienie roszczeń) + okresy archiwizacji dokumentacji spółki
  • Faktury i dokumenty księgowe: 5 lat od końca roku kalendarzowego
    Podstawa: Art. 74 ust. 2 Ustawy o rachunkowości + Art. 112 § 1 Ordynacji podatkowej

7.2. Dane marketingowe i komunikacyjne

  • Newsletter i komunikacja marketingowa: Do wycofania zgody przez osobę (maksymalnie 5 lat od ostatniej interakcji)
    Podstawa: Art. 6 ust. 1 lit. a RODO (zgoda) - dane przechowywane do momentu wycofania zgody lub max. 5 lat brak aktywności
  • Marketing bezpośredni (prawnie uzasadniony interes): 3 lata od ostatniej interakcji lub zakończenia umowy
    Podstawa: Art. 6 ust. 1 lit. f RODO + Art. 10 ustawy o świadczeniu usług drogą elektroniczną
  • Badania satysfakcji i ankiety: 2 lata od przeprowadzenia badania (dane zanonimizowane po 6 miesiącach)
    Podstawa: Art. 6 ust. 1 lit. a RODO (zgoda) - ograniczony okres ze względu na cel
  • Dane analityczne (Google Analytics, Plausible): 26 miesięcy od ostatniej wizyty
    Podstawa: Art. 6 ust. 1 lit. f RODO + zalecenia CNIL (Commission Nationale de l'Informatique et des Libertés)

7.3. Dane techniczne i bezpieczeństwo

  • Logi dostępu i aktywności: 12 miesięcy od rejestracji zdarzenia
    Podstawa: Art. 6 ust. 1 lit. f RODO (bezpieczeństwo systemów) + Art. 165 ustawy Prawo telekomunikacyjne
  • Logi bezpieczeństwa i audytu: 24 miesiące od rejestracji
    Podstawa: Art. 32 RODO (bezpieczeństwo przetwarzania) + wymogi wewnętrznej polityki bezpieczeństwa
  • Dane sesyjne użytkownika: Do zakończenia sesji lub maksymalnie 24 godziny
    Podstawa: Art. 6 ust. 1 lit. b RODO (wykonanie umowy) - niezbędne dla funkcjonowania aplikacji
  • Cookies techniczne i analityczne: 24 miesiące od ostatniej wizyty
    Podstawa: Art. 173 ustawy Prawo telekomunikacyjne + Dyrektywa ePrivacy (2002/58/WE)

7.4. Procedura usuwania danych

⚙️ Jednoosobowa działalność: Ze względu na charakter jednoosobowej działalności gospodarczej, proces usuwania danych odbywa się ręcznie, z zachowaniem ustawowych terminów retencji.

Procedury usuwania:

  • Dane kont użytkowników: Ręczne usuwanie po zakończeniu współpracy + okres retencji (6 lat)
  • Dane sesyjne: Automatyczne wygasanie po zakończeniu sesji (24h maksimum)
  • Cookies: Automatyczne wygasanie zgodnie z ustawionymi okresami
  • Żądania Art. 17 RODO: Przetwarzane indywidualnie w ciągu 30 dni od otrzymania

Monitorowanie okresów retencji: Administrator regularnie (kwartalnie) weryfikuje daty wygaśnięcia okresów przechowywania i usuwa dane po upływie wymaganych terminów prawnych.

8. Bezpieczeństwo przetwarzania danych

ℹ️ Informacja: Diluto jest prowadzone jako usługa jednoosobowa. Bezpieczeństwo danych zapewnia wykorzystanie sprawdzonych dostawców usług chmurowych oraz stosowanie podstawowych środków ochrony.

8.1. Środki techniczne

  • Szyfrowanie: TLS 1.3 dla transmisji danych, szyfrowanie przez dostawców chmury
  • Uwierzytelnianie: Wieloskładnikowe uwierzytelnianie (MFA) dla kont administratora
  • Kontrola dostępu: Zasada najniższych uprawnień w systemach
  • Infrastruktura: Wykorzystanie dostawców chmurowych (Supabase, Vercel) z certyfikatami bezpieczeństwa
  • Backup: Automatyczne kopie zapasowe zarządzane przez dostawców
  • Aktualizacje: Regularne aktualizacje systemów i bibliotek

8.2. Środki organizacyjne

  • Minimalizacja dostępu: Dostęp do danych wyłącznie w celu świadczenia usług
  • Bezpieczne hasła: Wykorzystanie menedżera haseł i silnych haseł
  • Dokumentacja: Podstawowa dokumentacja procedur bezpieczeństwa
  • Monitoring: Regularne sprawdzanie logów i aktywności systemów
  • Urządzenia: Zabezpieczone urządzenia robocze z aktualizacjami bezpieczeństwa

8.3. Bezpieczeństwo dostawców

  • Supabase: SOC 2 Type II, ISO 27001, zgodność z GDPR
  • Vercel: SOC 2, zgodność z GDPR, serwery w UE
  • Stripe: PCI DSS Level 1, SOC 1/2, ISO 27001 dla płatności
  • Lokalizacja: Wszystkie dane przetwarzane na serwerach w Unii Europejskiej

8.4. Naruszenia ochrony danych (Art. 33-34 RODO)

⚠️ Definicja naruszenia ochrony danych

Naruszenie ochrony danych osobowych to incydent bezpieczeństwa prowadzący do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Procedura postępowania w przypadku naruszenia:

1. Wykrycie i natychmiastowa reakcja (0-1 godzina)
  • Monitorowanie przez systemy dostawców (Supabase, Vercel) i powiadomienia o nietypowej aktywności
  • Zanotowanie dokładnego czasu wykrycia incydentu
  • Zabezpieczenie dowodów (logi systemowe, zrzuty ekranu)
  • Natychmiastowe działania mitygacyjne (zatrzymanie wycieku, zabezpieczenie systemów)
2. Wstępna analiza i ocena ryzyka (1-24 godziny)
  • Określenie zakresu naruszenia (jakie dane, ile osób, kategorie danych)
  • Ocena ryzyka według macierzy: NISKIE / ŚREDNIE / WYSOKIE
  • Dokumentacja w rejestrze naruszeń zgodnie z Art. 33 ust. 5 RODO
  • Wpis do rejestru obowiązkowy niezależnie od poziomu ryzyka
3. Zgłoszenie do UODO (do 72 godzin od wykrycia)
  • Obowiązek zgłoszenia: W przypadku ryzyka ŚREDNIEGO lub WYSOKIEGO
  • Termin: Nie później niż 72 godziny od momentu wykrycia naruszenia
  • Forma: Formularz online na stronie UODO (preferowane) lub email: kancelaria@uodo.gov.pl
  • Brak obowiązku: Gdy naruszenie nie stwarza ryzyka dla praw i wolności osób (ryzyko NISKIE)
  • Zgłoszenie etapowe: Możliwe, jeśli pełne informacje niedostępne w terminie 72h
4. Informowanie osób, których dotyczą dane (Art. 34 RODO)

Obowiązek informowania występuje, gdy naruszenie stwarza WYSOKIE RYZYKO:

  • Termin: Bez zbędnej zwłoki (niezwłocznie po stwierdzeniu wysokiego ryzyka)
  • Forma: Komunikat indywidualny (email, list polecony) lub publiczny (jeśli wysiłek niewspółmierny)
  • Treść komunikatu: Opis naruszenia w jasnym języku, skutki, podjęte środki, zalecenia dla osób, dane kontaktowe

Wyjątki od obowiązku informowania (Art. 34 ust. 3):

  • Zastosowano środki techniczne/organizacyjne uniemożliwiające dostęp (np. silne szyfrowanie AES-256)
  • Podjęto działania zapewniające, że wysokie ryzyko już nie istnieje
  • Informowanie wymagałoby niewspółmiernie dużego wysiłku (zastąpione komunikatem publicznym)
5. Działania naprawcze i zapobiegawcze
  • Wdrożenie środków naprawczych (naprawa luk, aktualizacje systemów)
  • Oferowanie wsparcia osobom (monitoring kredytu, infolinia - w przypadku wysokiego ryzyka)
  • Środki zapobiegawcze na przyszłość (szkolenia, nowe procedury, audyty)
  • Przegląd i aktualizacja polityk bezpieczeństwa

📊 Kryteria oceny ryzyka naruszenia

Ryzyko = Prawdopodobieństwo wystąpienia szkody × Waga potencjalnych skutków

🟢 NISKIE RYZYKO

Dokumentacja w rejestrze. Brak obowiązku zgłoszenia do UODO i informowania osób.

🟡 ŚREDNIE RYZYKO

Obowiązek zgłoszenia do UODO (do 72h). Decyzja o informowaniu osób indywidualna.

🔴 WYSOKIE RYZYKO

Obowiązek zgłoszenia do UODO (do 72h) + obowiązek poinformowania osób bez zwłoki.

Rejestr naruszeń (Art. 33 ust. 5 RODO):

  • Obowiązek: Dokumentowanie wszystkich naruszeń niezależnie od obowiązku zgłoszenia do UODO
  • Zawartość: Fakty dotyczące naruszenia, jego skutki, podjęte działania naprawcze
  • Retencja: Minimum 5 lat od daty zamknięcia naruszenia
  • Dostęp: UODO może sprawdzić rejestr podczas kontroli

Kontakt w przypadku naruszenia:

Jeśli zauważysz potencjalne naruszenie bezpieczeństwa lub nietypową aktywność:

  • Email awaryjny: kontakt@diluto.pl
  • Telefon: +48 668 351 881
  • UODO: kancelaria@uodo.gov.pl | +48 22 531 03 00

8.5. Ograniczenia jednoosobowej działalności

Uwaga: Ze względu na jednoosobowy charakter działalności, niektóre zaawansowane środki bezpieczeństwa nie są implementowane, w tym:

  • Monitoring bezpieczeństwa 24/7
  • Dedykowane zespoły bezpieczeństwa
  • Zaawansowane systemy wykrywania zagrożeń
  • Własne certyfikaty bezpieczeństwa (ISO 27001, SOC 2)

Bezpieczeństwo jest zapewniane poprzez wykorzystanie sprawdzonych dostawców chmurowych oraz stosowanie branżowych standardów bezpieczeństwa.

9. Wymóg podania danych osobowych

9.1. Charakter wymogu podania danych

Podanie danych osobowych w platformie Diluto ma następujący charakter:

  • Wymóg umowny: Podanie danych identyfikacyjnych (imię, nazwisko, email) jest warunkiem zawarcia i wykonania umowy o świadczenie usług platformy Diluto. Są to dane niezbędne do utworzenia konta i świadczenia usług zgodnie z Regulaminem.
  • Wymóg ustawowy: Podanie niektórych danych (np. danych do faktury: NIP, adres firmy) wynika z przepisów prawa podatkowego i ustawy o rachunkowości.
  • Dobrowolność: Podanie danych marketingowych (zgoda na newsletter) jest całkowicie dobrowolne i nie wpływa na możliwość korzystania z platformy.

9.2. Konsekwencje niepodania danych

⚠️ Konsekwencje odmowy podania danych:

  • Dane do rejestracji: Brak możliwości utworzenia konta i korzystania z usług platformy.
  • Dane do faktury: Brak możliwości wystawienia faktury VAT (konieczne dla płatnych planów).
  • Dane spółki: Ograniczone możliwości korzystania z funkcji zarządzania cap table i ESOP.
  • Dane marketingowe: Brak konsekwencji – niepodanie nie wpływa na dostęp do usług.

10. Profilowanie i zautomatyzowane podejmowanie decyzji

Diluto nie stosuje profilowania ani zautomatyzowanego podejmowania decyzji w rozumieniu Art. 22 RODO, które wywoływałyby wobec użytkowników skutki prawne lub w podobny sposób istotnie na nich wpływały.

10.1. Brak profilowania

  • Nie tworzymy profili behawioralnych użytkowników
  • Nie stosujemy scoringu ani oceny wiarygodności
  • Nie podejmujemy automatycznych decyzji wpływających na dostęp do usług
  • Nie wykorzystujemy danych do automatycznej personalizacji ofert cenowych

10.2. Automatyzacja techniczna

Platforma wykorzystuje automatyzację wyłącznie w celach technicznych, takich jak:

  • Automatyczne obliczenia w symulatorach (kalkulacje rozwadniania, wyceny)
  • Automatyczne generowanie raportów na żądanie użytkownika
  • Automatyczne powiadomienia o wydarzeniach w systemie (vesting, terminy)
  • Walidacja wprowadzanych danych (format NIP, poprawność email)

Powyższe operacje nie stanowią profilowania w rozumieniu RODO, gdyż nie prowadzą do automatycznych decyzji wywołujących skutki prawne wobec użytkowników.

11. Pliki cookies i podobne technologie

Szczegółowe informacje o używanych plikach cookies znajdują się w Polityce Cookies.

9.1. Rodzaje używanych cookies

  • Niezbędne: Uwierzytelnianie, sesja, bezpieczeństwo (bez zgody)
  • Funkcjonalne: Preferencje użytkownika, ustawienia interfejsu
  • Analityczne: Statystyki użytkowania, analiza wydajności
  • Marketingowe: Personalizacja reklam (tylko za zgodą)

9.2. Zarządzanie zgodą

  • Zgoda jest zbierana podczas pierwszej wizyty na stronie
  • Możliwość zmiany ustawień cookies w każdym momencie
  • Panel zarządzania cookies dostępny w stopce strony
  • Automatyczne wygasanie zgód po 12 miesiącach

12. Zmiany w polityce prywatności

12.1. Aktualizacje polityki

  • Polityka może być aktualizowana w związku ze zmianami prawa lub usług
  • Użytkownicy są informowani o istotnych zmianach z 30-dniowym wyprzedzeniem
  • Powiadomienia wysyłane na adres e-mail podany w koncie
  • Bieżąca wersja zawsze dostępna na stronie platformy

12.2. Archiwum wersji

  • Poprzednie wersje polityki są archiwizowane i dostępne na żądanie
  • Data wejścia w życie każdej wersji jest dokładnie udokumentowana
  • Historia zmian dostępna dla celów audytowych

13. Kontakt w sprawach ochrony danych

📞 Dane kontaktowe

Ogólne zapytania:

  • 📧 kontakt@diluto.pl
  • 📞 +48 668 351 881

Sprawy RODO:

  • 🔒 kontakt@diluto.pl
  • 📮 ul. Grunwaldzka 23, 65-328 Zielona Góra

13.1. Czas odpowiedzi

  • Ogólne zapytania: Do 2 dni roboczych
  • Żądania RODO: Do 1 miesiąca (z możliwością przedłużenia)
  • Naruszenia bezpieczeństwa: Natychmiast
  • Skargi i reklamacje: Do 14 dni

13.2. Formularz kontaktowy

Formularz do zgłoszeń związanych z ochroną danych osobowych jest dostępny w sekcji "Ustawienia" → "Prywatność" w panelu użytkownika.

🛡️ Gwarancje ochrony danych

Niniejsza Polityka Prywatności została przygotowana zgodnie z wymogami RODO/GDPR i polskiego prawa o ochronie danych osobowych. Administrator zobowiązuje się do przestrzegania najwyższych standardów ochrony danych osobowych i regularnego przeglądu stosowanych zabezpieczeń.

Wszelkie dane osobowe są przetwarzane zgodnie z zasadami legalności, rzetelności, przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania oraz integralności i poufności.

Ostatnia aktualizacja: 15 listopada 2025 | Wersja: 1.0 | Zgodność: RODO/GDPR