Polityka prywatności

Na potrzeby niniejszej Polityki Prywatności przyjmuje się następujące definicje:

a) Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, zgodnie z art. 4 pkt 1 RODO.

b) Przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, ujawnianie, usuwanie lub niszczenie.

c) Użytkownik – osoba fizyczna korzystająca z Serwisu, w tym osoba, która dokonała rejestracji konta.

d) Serwis – platforma internetowa StockFit dostępna pod adresem stockfit.pl wraz z aplikacją webową.

e) RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.

f) Stripe – zewnętrzny operator płatności (Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA oraz Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Irlandia).

g) Postmark – zewnętrzny dostawca usług e-mail (Wildbit, LLC, 225 Chestnut St., Philadelphia, PA 19106, USA).

Administrator zbiera i przetwarza następujące kategorie danych osobowych Użytkowników:

1. Dane rejestracyjne: adres e-mail, hasło (przechowywane w formie zaszyfrowanej, bez możliwości odczytu przez Administratora).

2. Dane subskrypcyjne: informacje o wybranym planie subskrypcji, historia płatności, identyfikator klienta w systemie Stripe (stripe_customer_id), status subskrypcji.

3. Dane aktywności w Serwisie: obserwowane spółki i rynki, ustawienia alertów cenowych, ustawienia smart alertów, dane wprowadzone w Dzienniku Inwestora (transakcje, notatki), historia sesji, preferencje interfejsu.

4. Dane techniczne: adres IP, typ przeglądarki, system operacyjny, logi dostępu do serwera – zbierane automatycznie w celach bezpieczeństwa i diagnostyki.

5. Korespondencja: treść wiadomości przesyłanych do Administratora za pośrednictwem adresu e-mail.

Administrator nie zbiera danych wrażliwych w rozumieniu art. 9 RODO. Administrator nie zbiera pełnych danych kart płatniczych – dane karty przetwarzane są wyłącznie przez operatora Stripe, z którym Administrator zawarł stosowną umowę powierzenia przetwarzania danych.

Administrator przetwarza dane osobowe Użytkowników w następujących celach i na następujących podstawach prawnych:

1. Zawarcie i wykonanie umowy o świadczenie usług drogą elektroniczną (konto w Serwisie, subskrypcja) – art. 6 ust. 1 lit. b RODO (niezbędność do wykonania umowy). Obejmuje to: zakładanie i obsługę konta, świadczenie usług analitycznych, obsługę płatności, wysyłkę powiadomień wynikających z usługi (alerty, smart alerty, ESPI).

2. Wypełnienie obowiązków prawnych ciążących na Administratorze – art. 6 ust. 1 lit. c RODO. Obejmuje to: przechowywanie dokumentów księgowych i faktur VAT przez okres wymagany przepisami prawa podatkowego (5 lat po zakończeniu roku podatkowego).

3. Prawnie uzasadniony interes Administratora – art. 6 ust. 1 lit. f RODO. Obejmuje to: zapewnienie bezpieczeństwa Serwisu i infrastruktury technicznej, wykrywanie nadużyć i fraudów, dochodzenie lub obrona przed roszczeniami, marketing bezpośredni własnych usług wobec obecnych Użytkowników.

4. Zgoda Użytkownika – art. 6 ust. 1 lit. a RODO. Dotyczy sytuacji, w których przetwarzanie nie wynika z innych podstaw, a Użytkownik wyrazi odrębną zgodę.

Administrator nie podejmuje wobec Użytkowników zautomatyzowanych decyzji, w tym profilowania, które wywoływałoby wobec nich skutki prawne lub w podobny sposób istotnie na nich wpływało.

Dane osobowe Użytkowników są przechowywane przez następujące okresy:

1. Dane konta Użytkownika – przez czas trwania umowy (konto aktywne), a po jej rozwiązaniu – przez okres 3 lat od daty usunięcia konta lub zakończenia ostatniej subskrypcji (termin przedawnienia roszczeń zgodnie z Kodeksem cywilnym), chyba że dłuższy okres przechowywania wynika z przepisów prawa.

2. Dane dotyczące płatności i faktur – przez 5 lat od końca roku podatkowego, w którym dokonano płatności (zgodnie z ustawą o rachunkowości i przepisami podatkowymi).

3. Dane techniczne (logi) – przez 90 dni od ich wygenerowania, chyba że zajdzie potrzeba ich dłuższego przechowywania w związku z incydentem bezpieczeństwa lub postępowaniem prawnym.

4. Dane korespondencji – przez czas niezbędny do rozpatrzenia sprawy i ewentualnego dochodzenia roszczeń, nie dłużej niż 3 lata.

Po upływie wskazanych okresów dane są trwale usuwane lub anonimizowane.

Administrator może przekazywać dane osobowe Użytkowników następującym kategoriom podmiotów:

1. Stripe – operator płatności, któremu przekazywany jest adres e-mail Użytkownika oraz identyfikator klienta w celu obsługi subskrypcji i płatności. Stripe przetwarza dane zgodnie z własną polityką prywatności dostępną na stripe.com. Administrator zawarł ze Stripe stosowną umowę powierzenia przetwarzania danych.

2. Postmark (Wildbit) – dostawca usług poczty elektronicznej, za pośrednictwem którego wysyłane są wiadomości e-mail do Użytkowników (potwierdzenia rejestracji, alerty, powiadomienia). Administrator zawarł z Postmark stosowną umowę powierzenia przetwarzania danych.

3. Dostawcy infrastruktury IT – podmioty zapewniające usługi hostingowe i serwerowe, z którymi Administrator zawarł umowy powierzenia przetwarzania danych.

4. Podmioty uprawnione na podstawie przepisów prawa – organy publiczne lub inne podmioty uprawnione do żądania danych na podstawie obowiązującego prawa (np. sądy, prokuratura, Urząd Ochrony Danych Osobowych).

Dane nie są przekazywane innym podmiotom trzecim w celach komercyjnych bez wyraźnej zgody Użytkownika. Dane nie są sprzedawane ani wynajmowane.

Przekazanie danych do USA (Stripe, Postmark) odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską, zgodnie z art. 46 ust. 2 lit. c RODO, co zapewnia odpowiedni poziom ochrony danych.

Każdemu Użytkownikowi przysługują następujące prawa w związku z przetwarzaniem jego danych osobowych:

1. Prawo dostępu do danych (art. 15 RODO) – prawo do uzyskania informacji o tym, jakie dane osobowe są przetwarzane i na jakich zasadach.

2. Prawo do sprostowania danych (art. 16 RODO) – prawo do żądania poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych osobowych.

3. Prawo do usunięcia danych (art. 17 RODO) – prawo do żądania usunięcia danych osobowych („prawo do bycia zapomnianym”), o ile nie zachodzą podstawy do ich dalszego przetwarzania.

4. Prawo do ograniczenia przetwarzania (art. 18 RODO) – prawo do żądania, by Administrator ograniczył przetwarzanie danych do ich przechowywania.

5. Prawo do przenoszenia danych (art. 20 RODO) – prawo do otrzymania swoich danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.

6. Prawo do sprzeciwu (art. 21 RODO) – prawo do sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora, w tym wobec przetwarzania w celach marketingu bezpośredniego.

7. Prawo do cofnięcia zgody – w przypadku przetwarzania opartego na zgodzie, Użytkownik może w dowolnym momencie cofnąć zgodę bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

8. Prawo do wniesienia skargi do organu nadzorczego – Użytkownik ma prawo złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl), jeżeli uważa, że przetwarzanie jego danych osobowych narusza przepisy RODO.

W celu realizacji powyższych praw należy skontaktować się z Administratorem pod adresem: kontakt@stockfit.pl. Administrator udzieli odpowiedzi bez zbędnej zwłoki, nie później niż w terminie 30 dni od otrzymania żądania.

Serwis StockFit wykorzystuje pliki cookies oraz podobne technologie w następujących celach:

1. Cookies niezbędne – niezbędne do prawidłowego funkcjonowania Serwisu (np. utrzymanie sesji zalogowanego Użytkownika, przechowywanie preferencji interfejsu). Podstawa: niezbędność do świadczenia usługi (art. 6 ust. 1 lit. b RODO). Nie wymagają zgody.

2. Cookies analityczne – zbieranie zanonimizowanych danych statystycznych o sposobie korzystania z Serwisu w celu jego ulepszania. Stosowane wyłącznie po udzieleniu zgody przez Użytkownika.

Serwis przechowuje token autoryzacyjny JWT w mechanizmie localStorage przeglądarki w celu utrzymania sesji zalogowanego Użytkownika. Token jest powiązany z kontem Użytkownika i wygasa automatycznie zgodnie z ustawieniami serwera.

Użytkownik może w każdej chwili zablokować zapisywanie plików cookies lub wyczyścić już zapisane pliki cookies za pośrednictwem ustawień swojej przeglądarki internetowej. Zablokowanie cookies niezbędnych może uniemożliwić prawidłowe korzystanie z Serwisu.

Serwis nie stosuje technologii śledzących służących do wyświetlania spersonalizowanych reklam podmiotów trzecich.

Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych osobowych, adekwatne do ryzyka naruszenia praw i wolności osób fizycznych, w tym:

1. Szyfrowanie haseł Użytkowników przy użyciu bezpiecznych algorytmów kryptograficznych (hashing) – hasła nigdy nie są przechowywane w postaci jawnej.

2. Szyfrowanie komunikacji między przeglądarką a serwerem za pomocą protokołu HTTPS (TLS).

3. Autoryzacja dostępu do danych za pomocą tokenów JWT.

4. Ograniczony dostęp do systemów produkcyjnych i baz danych – wyłącznie dla upoważnionych pracowników i współpracowników.

5. Regularne aktualizacje oprogramowania i bibliotek w celu eliminacji znanych podatności bezpieczeństwa.

6. Politykę minimalnych uprawnień przy dostępie do danych.

W przypadku naruszenia ochrony danych osobowych mogącego powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki – w miarę możliwości w ciągu 72 godzin – zgłosi naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz, w stosownych przypadkach, poinformuje o nim Użytkowników, których dane dotyczą.

Serwis StockFit jest skierowany wyłącznie do osób pełnoletnich (które ukończyły 18 rok życia). Administrator nie zbiera świadomie danych osobowych osób poniżej 16. roku życia.

Jeżeli Administrator dowie się, że zebrał dane osobowe dziecka poniżej 16. roku życia bez weryfikowalnej zgody rodzica lub opiekuna prawnego, podejmie kroki w celu jak najszybszego usunięcia takich danych.

Jeżeli jesteś rodzicem lub opiekunem prawnym i masz informacje, że Twoje dziecko przekazało nam dane osobowe bez Twojej zgody, prosimy o kontakt pod adresem: kontakt@stockfit.pl.

Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności. Zmiany mogą być spowodowane rozwojem technologii, zmianami w przepisach prawa dotyczących ochrony danych osobowych, rozszerzeniem funkcjonalności Serwisu lub innymi uzasadnionymi przyczynami.

O istotnych zmianach w Polityce Prywatności Administrator poinformuje Użytkowników za pośrednictwem poczty elektronicznej na adres wskazany przy rejestracji lub za pośrednictwem komunikatu wyświetlanego po zalogowaniu, z co najmniej 14-dniowym wyprzedzeniem przed wejściem zmian w życie.

Data ostatniej modyfikacji Polityki Prywatności jest zawsze wskazana na dole strony. Kontynuowanie korzystania z Serwisu po wejściu w życie zmian oznacza ich akceptację w zakresie, w jakim nie jest wymagane uzyskanie odrębnej zgody.

We wszystkich sprawach związanych z ochroną danych osobowych, realizacją praw Użytkownika oraz niniejszą Polityką Prywatności można kontaktować się z Administratorem:

E-mail: kontakt@stockfit.pl

Administrator dołoży wszelkich starań, aby odpowiedzieć na zapytanie bez zbędnej zwłoki, nie później niż w terminie 30 dni od jego otrzymania. W przypadku szczególnie skomplikowanych żądań lub dużej liczby żądań termin ten może zostać przedłużony o kolejne 60 dni, o czym Administrator poinformuje Użytkownika przed upływem pierwszego miesiąca, wskazując przyczyny opóźnienia.