Polityka prywatności

1Administrator danych osobowych

Administratorem Twoich danych osobowych jest [WPISZ PEŁNĄ NAZWĘ FIRMY / FORMĘ PRAWNĄ] z siedzibą pod adresem [WPISZ ADRES], [KOD POCZTOWY] [MIASTO], wpisana do [KRS — usuń, jeśli nie dotyczy], NIP: [WPISZ NIP], REGON: [WPISZ REGON] (dalej: „Uplau”, „my”, „nas”).

2Jakie dane zbieramy

Przetwarzamy wyłącznie dane niezbędne do świadczenia usług lub dane, które sam(a) nam przekazujesz. Stosujemy zasadę minimalizacji danych zgodnie z art. 5 ust. 1 lit. c RODO.

Dane podawane podczas rejestracji i korzystania z konta

• adres email,
• hasło przechowywane w postaci hasha (bcrypt w systemie autoryzacji),
• dane podane dobrowolnie w profilu użytkownika,
• dane niezbędne do rozliczeń i obsługi płatności, jeżeli korzystasz z usług płatnych.

Dane zbierane automatycznie

• adres IP,
• typ i wersja przeglądarki,
• system operacyjny,
• User-Agent,
• dane o aktywności w serwisie,
• dane o kliknięciach i odsłonach,
• referrer,
• przybliżona lokalizacja na podstawie adresu IP,
• dane związane z sesją i bezpieczeństwem.

Dane dotyczące skracanych linków

• oryginalne adresy URL potrzebne do przekierowania,
• liczba kliknięć i statystyki kliknięć,
• referrer,
• przybliżona lokalizacja osoby klikającej,
• typ urządzenia, system operacyjny i przeglądarka,
• data i godzina kliknięcia,
• identyfikator techniczny oparty o zanonimizowany lub hashowany adres IP.

Dane dotyczące kodów QR

• treść zakodowana w kodzie QR,
• statystyki skanowań,
• dane o urządzeniu i przybliżonej lokalizacji,
• personalizacja kodu QR, np. kolory lub logo.

Dane dotyczące transferu plików (uTransfer)

• metadane plików, takie jak nazwa, rozmiar, typ MIME i data utworzenia,
• zawartość plików przechowywana na serwerach z kontrolą dostępu; transmisja odbywa się z użyciem TLS 1.3,
• informacje o pobraniach, takie jak liczba pobrań, data i przybliżona lokalizacja,
• ustawienia udostępniania, w szczególności data wygaśnięcia i automatyczne usuwanie po 90 dniach.

Dane przechowywane lokalnie w przeglądarce

Aplikacja może przechowywać lokalnie w przeglądarce preferencje interfejsu (np. aktywną zakładkę), tymczasowe tokeny sesji (np. access_token, refresh_token) oraz flagi techniczne (np. cooldown). Dane te nie stanowią odrębnych plików cookies. Preferencje interfejsu i flagi techniczne co do zasady służą lokalnej obsłudze aplikacji, a tokeny sesji mogą być wykorzystywane do utrzymania zalogowanej sesji.

Dane szczególnych kategorii

Nie zbieramy świadomie szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO. Prosimy o nieprzesyłanie takich danych za pośrednictwem naszej platformy.

3Cele przetwarzania danych

Twoje dane przetwarzamy wyłącznie w określonych, zgodnych z prawem celach:

Cel	Opis
Świadczenie usług	skracanie linków, generowanie kodów QR, transfer plików, udostępnianie statystyk
Obsługa konta	rejestracja, logowanie, 2FA, reset hasła, utrzymanie sesji
Obsługa płatności i rozliczeń	subskrypcje, faktury, rozliczenia, zwroty
Komunikacja systemowa	emaile transakcyjne, alerty bezpieczeństwa, odpowiedzi na zgłoszenia
Analityka produktowa	analiza korzystania z usług i rozwój funkcji
Bezpieczeństwo	wykrywanie nadużyć, ograniczanie spamu, ochrona usług
Dochodzenie roszczeń	ustalenie, dochodzenie lub obrona przed roszczeniami
Marketing własnych usług	wyłącznie jeśli uruchomimy taki kanał i uzyskamy wymaganą zgodę

4Podstawy prawne przetwarzania

Przetwarzamy Twoje dane osobowe na podstawie RODO, w szczególności:

Art. 6 ust. 1 lit. b RODO — wykonanie umowy

• utworzenie i prowadzenie konta użytkownika,
• świadczenie usług dostępnych w Uplau,
• obsługa płatności i zamówień,
• wsparcie techniczne związane z usługą.

Art. 6 ust. 1 lit. a RODO — zgoda

• cookies analityczne,
• przyszłe działania marketingowe lub newsletter, jeśli zostaną wdrożone,
• ewentualne dodatkowe narzędzia wymagające zgody.

Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes

• zapewnienie bezpieczeństwa usług,
• analiza działania platformy i rozwój funkcji,
• ochrona przed nadużyciami,
• dochodzenie lub obrona przed roszczeniami.

Art. 6 ust. 1 lit. c RODO — obowiązek prawny

• przechowywanie dokumentacji podatkowej i rachunkowej,
• realizacja obowiązków wynikających z przepisów prawa,
• odpowiadanie na prawnie uzasadnione żądania uprawnionych organów.

5Odbiorcy danych

Twoje dane mogą być przekazywane następującym odbiorcom lub kategoriom odbiorców:

Odbiorca / usługa	Cel	Zakres danych
Supabase	baza danych i uwierzytelnianie	dane konta, dane autoryzacyjne, dane aplikacyjne
OVHcloud / OVH	hosting i infrastruktura serwerowa	logi serwera, dane techniczne, dane aplikacyjne
Stripe Inc.	obsługa płatności i subskrypcji	dane rozliczeniowe, dane transakcyjne, email
Google LLC (Google Analytics 4, Google Tag Manager)	analityka serwisu po uzyskaniu zgody	dane o ruchu, identyfikatory cookies, dane techniczne
Resend	wysyłka emaili transakcyjnych	adres email odbiorcy, treść wiadomości
CookieYes	zarządzanie zgodami cookies	preferencje zgód cookies
ip-api.com	geolokalizacja IP przy kliknięciach	adres IP przekazywany w celu ustalenia przybliżonej lokalizacji
biuro rachunkowe i doradcy prawni	obowiązki księgowe i prawne	dane niezbędne do rozliczeń i obsługi prawnej
organy publiczne	obowiązki ustawowe	dane wymagane przez przepisy prawa

6Transfer danych poza EOG

Co do zasady przetwarzamy dane na terenie Europejskiego Obszaru Gospodarczego. Jeżeli dochodzi do transferu danych poza EOG, stosujemy mechanizmy przewidziane w rozdziale V RODO.

Odbiorca	Kraj	Mechanizm
Google LLC (GA4 + GTM)	USA	EU-U.S. DPF + SCC
Stripe Inc.	USA	EU-U.S. DPF + SCC
Resend	USA	SCC
ip-api.com	zależnie od wariantu usługi dostawcy	przekazywany jest wyłącznie adres IP w celu jednorazowego ustalenia przybliżonej lokalizacji

Na żądanie możesz uzyskać więcej informacji o stosowanych zabezpieczeniach transferu.

7Okres przechowywania danych

Przechowujemy dane przez okres niezbędny do realizacji celów przetwarzania lub przez okres wynikający z przepisów prawa albo przyjętych kryteriów retencji.

Kategoria danych	Okres przechowywania
dane konta użytkownika	przez czas posiadania konta i okres niezbędny do jego zamknięcia
dane rozliczeniowe i faktury	przez okres wymagany przepisami podatkowymi i rachunkowymi
emaile i zgłoszenia	przez czas potrzebny do obsługi sprawy i obrony przed roszczeniami
dane dotyczące sesji i bezpieczeństwa	przez okres niezbędny do zapewnienia bezpieczeństwa usług
statystyki linków i kodów QR	przez okres potrzebny do prezentacji statystyk użytkownikowi oraz zapewnienia działania usługi
pełne adresy IP związane ze śledzeniem kliknięć	nie są przechowywane długoterminowo; podlegają hashowaniu lub usunięciu zgodnie z przyjętymi procedurami
pliki uTransfer	do upływu ustawionego okresu udostępniania, nie dłużej niż 90 dni od przesłania, o ile nie usuniesz ich wcześniej
cookies	zgodnie z okresem życia danego pliku cookie
dane marketingowe	do czasu wycofania zgody lub zakończenia danego celu

Po upływie odpowiedniego okresu dane są usuwane albo nieodwracalnie anonimizowane.

8Twoje prawa

Przysługują Ci prawa wynikające z RODO:

Jak skorzystać ze swoich praw?

• Email: kontakt@uplau.com
• Panel użytkownika: zakładka Profil (edycja danych osobowych, usunięcie konta)
• Poczta tradycyjna: adres administratora wskazany w sekcji 1

Odpowiadamy bez zbędnej zwłoki, co do zasady w terminie do 1 miesiąca.

Zautomatyzowane podejmowanie decyzji

Nie podejmujemy decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby wobec Ciebie skutki prawne lub w podobny sposób istotnie na Ciebie wpływały.

9Bezpieczeństwo danych

Stosujemy odpowiednie środki techniczne i organizacyjne zgodnie z art. 32 RODO.

Środki techniczne

• Szyfrowanie transmisji: TLS 1.3, certyfikaty SSL/HTTPS
• Szyfrowanie haseł: algorytm bcrypt
• Uwierzytelnianie dwuskładnikowe (2FA): TOTP oraz kody email
• Bezpieczna infrastruktura: serwery w centrum danych OVH w UE z ochroną anty-DDoS
• Anonimizacja IP: adresy IP hashowane (SHA-256) przed zapisem, pełne IP nieodwracalnie usuwane
• Regularne kopie zapasowe: baza danych i infrastruktura aplikacyjna
• Firewall serwerowy: kontrola dostępu do portów i usług

Środki organizacyjne

• Kontrola dostępu: zasada najmniejszych uprawnień
• Ograniczenie dostępu: dostęp tylko dla osób upoważnionych
• Umowy poufności: NDA z kontrahentami i współpracownikami
• Procedury: procedury reagowania na incydenty
• Zgłaszanie naruszeń: do UODO w terminie do 72 godzin, jeżeli wymagają tego przepisy

10Polityka cookies

Jakie cookies stosujemy obecnie

Kategoria	Cookie	Cel	Czas	Zgoda?
Niezbędne	sb-*-auth-token	sesja Supabase / logowanie	sesja	nie
Niezbędne	sb-*-auth-token-code-verifier	obsługa PKCE / OAuth	sesja	nie
Niezbędne	cookieyes-consent	zapamiętanie zgód cookies	12 miesięcy	nie
Analityczne	_ga	Google Analytics 4 — identyfikator użytkownika	24 miesiące	tak
Analityczne	_ga_FM46JLW4MG	Google Analytics 4 — stan sesji	24 miesiące	tak
Analityczne	_gid	Google Analytics 4 — identyfikator sesji	24 godziny	tak

Zarządzanie zgodą

Zmiana preferencji cookies jest możliwa przez kliknięcie ikony cookie w lewym dolnym rogu strony (baner CookieYes).

Możesz też zarządzać cookies w ustawieniach swojej przeglądarki, jednak wyłączenie cookies niezbędnych może uniemożliwić korzystanie z aplikacji.

Zarządzanie cookies w przeglądarce

localStorage i sessionStorage

Oprócz cookies aplikacja przechowuje technicznie niezbędne dane również w localStorage lub sessionStorage, np. preferencje interfejsu, tymczasowe flagi cooldown oraz tokeny sesji wykorzystywane przez mechanizmy autoryzacji. Dane te nie są odrębnymi plikami cookies i można je usunąć, czyszcząc dane przeglądarki.

Narzędzia zewnętrzne

• Google Analytics 4: wyłącznie po zgodzie na analitykę
• Google Tag Manager: do zarządzania tagami i uruchamiania narzędzi zgodnie z preferencjami zgody
• CookieYes: do zarządzania zgodami cookies

11Śledzenie i analityka linków

Jak działa śledzenie skróconych linków?

Gdy ktoś kliknie w skrócony link, możemy przetwarzać następujące dane:

• ip_hash: techniczny identyfikator oparty o zhashowany adres IP,
• lokalizacja: przybliżona lokalizacja (np. kraj, miasto),
• dane techniczne: typ urządzenia, system operacyjny i przeglądarka,
• referrer: źródło ruchu, jeśli przeglądarka je przekazuje,
• znacznik czasu: data i godzina kliknięcia.

Pełny adres IP może zostać użyty chwilowo do ustalenia przybliżonej lokalizacji lub zapewnienia bezpieczeństwa usługi, a następnie jest hashowany albo usuwany zgodnie z przyjętymi procedurami.

Cele zbierania danych o kliknięciach

• Statystyki dla użytkowników: udostępnianie analityki twórcy linku
• Bezpieczeństwo: wykrywanie nadużyć i ruchu automatycznego
• Jakość usług: poprawa działania platformy
• Ochrona przed spamem: ograniczanie nadużyć i nieprawidłowego ruchu

Prywatność osób klikających

• osoby klikające są przekierowywane do strony docelowej,
• nie profilujemy osób klikających,
• nie tworzymy trwałych profili marketingowych osób klikających,
• zakres danych ograniczamy do minimum potrzebnego do statystyk i bezpieczeństwa.

Analityka własnych serwisów

Na stronach uplau.com i app.uplau.com możemy korzystać z Google Analytics 4 i Google Tag Manager wyłącznie zgodnie z udzieloną zgodą na analitykę. Narzędzia te nie są wykorzystywane w samym mechanizmie przekierowania skróconych linków.

12uTransfer — pliki i udostępnianie

Usługa uTransfer umożliwia przesyłanie i czasowe udostępnianie plików.

Jakie dane przetwarzamy w uTransfer

• metadane pliku,
• treść pliku,
• statystyki pobrań,
• ustawienia udostępniania.

Bezpieczeństwo i sposób przechowywania

Treść plików jest przechowywana na serwerach z kontrolą dostępu, a transmisja odbywa się z wykorzystaniem TLS 1.3.

Ustawienia udostępniania

• data wygaśnięcia,
• automatyczne usuwanie po 90 dniach.

13Zmiany polityki prywatności

Możemy aktualizować niniejszą politykę prywatności w przypadku zmian prawa, zmian organizacyjnych, technicznych albo zmian w sposobie świadczenia usług.

Jak informujemy o zmianach

• Istotne zmiany: mogą być komunikowane emailem lub w aplikacji
• Data aktualizacji: zawsze publikowana na początku dokumentu

Archiwum wersji

Poprzednie wersje polityki mogą być udostępnione na żądanie.