Polityka prywatności

I. Administrator danych osobowych

Administratorem danych osobowych przetwarzanych za pośrednictwem platformy EarnByRecom (dalej: Platforma) jest:

NLK INWEST SP. Z O.O.
ul. Brzezina 1, 43-356 Bujaków
NIP: 5532570427
E-mail: kontakt@earnbyrecom.pl
(dalej: Administrator)

II. Podstawy prawne przetwarzania

Dane osobowe przetwarzane są na podstawie:

• art. 6 ust. 1 lit. a RODO — zgoda osoby, której dane dotyczą (np. akceptacja Regulaminu, newsletter, zgoda na przekazanie danych w formularzu polecenia);
• art. 6 ust. 1 lit. b RODO — wykonanie umowy lub podjęcie działań na żądanie osoby przed zawarciem umowy (np. rejestracja Konta, publikacja Oferty, realizacja Polecenia);
• art. 6 ust. 1 lit. c RODO — wypełnienie obowiązku prawnego ciążącego na Administratorze (np. obowiązki podatkowe i rachunkowe);
• art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora (np. bezpieczeństwo Platformy, dochodzenie roszczeń, prowadzenie ograniczonej listy CRM B2B, kontakt z przedsiębiorcami i obsługa sprzeciwów wobec kontaktu).

III. Zakres przetwarzanych danych

Rejestracja i konto użytkownika

• Adres e-mail
• Imię i nazwisko
• Numer telefonu
• Hasło (przechowywane w formie zaszyfrowanej przez Firebase Authentication)
• Historia zgód, cofnięć zgód, wersje zaakceptowanych dokumentów oraz techniczne identyfikatory konta

Publikacja Oferty (Firma)

• Nazwa firmy, NIP
• Imię i nazwisko właściciela
• Numer telefonu, adres e-mail
• Branża, specjalizacja, lokalizacja
• Linki do Google Maps i Facebooka (opcjonalnie)

Ręczne dodanie firmy do CRM

• Dane firmy i osoby kontaktowej podane przez pracownika Administratora lub pozyskane z publicznych rejestrów CEIDG/KRS: nazwa firmy, NIP/KRS, adres działalności, imię i nazwisko osoby reprezentującej, telefon i e-mail, jeśli są dostępne.
• Dane mogą pochodzić także z publicznie dostępnych źródeł biznesowych, takich jak strona internetowa firmy, wizytówka Google, publiczny profil społecznościowy firmy lub informacja przekazana w rozmowie.
• Informacje organizacyjne: kto dodał rekord, do kogo rekord jest przypisany, status rozmowy, notatka z rozmowy, data kolejnych czynności oraz dowód przekazania informacji o przetwarzaniu danych.
• Informacje o zgodach i decyzjach klienta: potwierdzenie chęci założenia konta, akceptacja regulaminu i polityki prywatności, cofnięcie zgody albo oznaczenie „nie kontaktować”.
• Jeżeli firma nie wyrazi zgody na założenie konta, Administrator nie tworzy konta użytkownika i nie wysyła zaproszenia do akceptacji regulaminów.
• Przy pierwszym kontakcie lub w wiadomości e-mail Administrator przekazuje informację o źródle danych, celu kontaktu, okresie przechowywania oraz prawie sprzeciwu.

Formularz Polecenia (Polecający i Klient)

• Imię i nazwisko Polecającego
• Numer telefonu Polecającego
• Adres e-mail Polecającego (opcjonalnie)
• Imię i nazwisko Klienta
• Numer telefonu Klienta
• Adres e-mail Klienta (opcjonalnie)
• Treść zgód z formularza polecenia, timestamp oraz statusy procesu polecenia

Formularz kontaktowy i newsletter

• Imię i nazwisko, adres e-mail, temat i treść wiadomości z formularza kontaktowego.
• Jeżeli zaznaczysz zgodę na newsletter, zapisujemy adres e-mail, wersję zgody, źródło zgody, timestamp i maskowany adres IP.
• Zgoda newsletterowa jest dobrowolna i można ją cofnąć przez link wypisu albo kontakt z Administratorem.

Dane techniczne

• Adres IP
• Typ przeglądarki i systemu operacyjnego
• Data i godzina połączenia
• Pliki cookies (szczegóły w Polityce cookies)

Źródła danych

• Dane konta, oferty, polecenia, formularza kontaktowego i newslettera otrzymujemy bezpośrednio od osoby, która wypełnia formularz albo korzysta z Platformy.
• Dane CRM B2B mogą pochodzić od pracownika Administratora po rozmowie, z publicznych rejestrów CEIDG/KRS, publicznych stron internetowych firm, wizytówek Google lub publicznych profili firmowych.
• Dane techniczne powstają automatycznie podczas korzystania z Platformy.

IV. Cele przetwarzania danych

1. Świadczenie usług Platformy (rejestracja, publikacja Ofert, realizacja Poleceń).
2. Komunikacja z Użytkownikami — powiadomienia SMS/e-mail o nowych Poleceniach, zmianach statusu.
3. Obsługa płatności — przekazanie danych operatorowi płatności (Przelewy24, Stripe).
4. Wypełnienie obowiązków prawnych — księgowość, faktury, archiwizacja.
5. Zapewnienie bezpieczeństwa Platformy — wykrywanie nadużyć, ochrona przed nieautoryzowanym dostępem.
6. Newsletter — wyłącznie za wyraźną zgodą Użytkownika.
7. Dochodzenie i obrona roszczeń.
8. Kontakt B2B z firmami potencjalnie zainteresowanymi Platformą, w tym weryfikacja danych z publicznych rejestrów CEIDG/KRS, przy zachowaniu prawa do sprzeciwu i oznaczenia „nie kontaktować”.
9. Wykazanie zgodności z RODO, w tym prowadzenie historii zgód, cofnięć zgód, utworzenia konta, usunięcia konta i działań administracyjnych.
10. Obsługa żądań dotyczących danych osobowych, w tym przygotowanie eksportu danych, sprostowanie danych, usunięcie konta i realizacja sprzeciwu.
11. Rejestrowanie i obsługa naruszeń ochrony danych osobowych.

V. Odbiorcy danych

Dane osobowe mogą być udostępniane następującym kategoriom odbiorców:

• Firebase (Google Cloud) — uwierzytelnianie użytkowników i przechowywanie danych (serwery w EU);
• Operatorzy płatności — Przelewy24, Stripe — wyłącznie w zakresie niezbędnym do realizacji transakcji;
• Dostawcy usług SMS/e-mail — w zakresie wysyłki powiadomień transakcyjnych;
• Google Cloud Platform — hosting i infrastruktura Platformy (region: europe-west1);
• Dostawcy narzędzi administracyjnych i repozytorium kodu — w zakresie utrzymania, wdrożeń i obsługi incydentów, jeżeli uzyskają dostęp do danych;
• Organy publiczne — w przypadkach wymaganych prawem.

VI. Przekazywanie danych poza Europejski Obszar Gospodarczy

W związku z korzystaniem z usług Google (Firebase, GCP), dane mogą być przetwarzane na serwerach zlokalizowanych poza EOG. W takim przypadku transfer danych odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską lub decyzji o adekwatności ochrony.

VII. Okres przechowywania danych

• Dane konta — do momentu usunięcia Konta lub żądania usunięcia danych przez Użytkownika; po soft delete konto jest blokowane, a hard delete następuje po okresie karencji, o ile nie istnieje obowiązek dalszego przechowywania.
• Dane Poleceń — przez okres 3 lat od daty utworzenia Polecenia (okres przedawnienia roszczeń cywilnoprawnych).
• Dane fakturowe — przez 5 lat od końca roku podatkowego, w którym wystawiono fakturę.
• Zgody — przez okres ich obowiązywania oraz dodatkowo przez okres niezbędny do wykazania ich udzielenia.
• Dane techniczne (logi) — do 12 miesięcy.
• Dane CRM firm, które nie chcą kontaktu — minimalny zakres niezbędny do respektowania sprzeciwu („nie kontaktować”), w szczególności identyfikator firmy/adres e-mail/telefon oraz data i źródło sprzeciwu.
• Log audytowy zgód i działań administracyjnych — przez okres niezbędny do wykazania zgodności z RODO, realizacji praw osoby i obrony roszczeń.
• Dane CRM bez potwierdzenia klienta — do zakończenia procesu kontaktu, usunięcia rekordu roboczego albo oznaczenia sprzeciwu; dowód przekazania informacji RODO przechowujemy w minimalnym zakresie potrzebnym do rozliczalności.
• Rejestr naruszeń danych — przez okres potrzebny do wykazania wykonania obowiązków wynikających z RODO, obsługi kontroli i obrony roszczeń.
• Pre-account zgody newsletterowe — przez okres obowiązywania zgody oraz okres potrzebny do wykazania jej udzielenia lub cofnięcia.

VIII. Prawa osoby, której dane dotyczą

Na podstawie RODO przysługują Ci następujące prawa:

1. Prawo dostępu (art. 15 RODO) — prawo do uzyskania informacji o przetwarzanych danych.
2. Prawo do sprostowania (art. 16 RODO) — prawo do poprawienia nieprawidłowych danych.
3. Prawo do usunięcia (art. 17 RODO) — prawo do żądania usunięcia danych ("prawo do bycia zapomnianym").
4. Prawo do ograniczenia przetwarzania (art. 18 RODO).
5. Prawo do przenoszenia danych (art. 20 RODO) — prawo do otrzymania danych w ustrukturyzowanym formacie.
6. Prawo do sprzeciwu (art. 21 RODO) — prawo do wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie.
7. Prawo do cofnięcia zgody — w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania przed cofnięciem.
8. Prawo do wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

Realizacja praw odbywa się poprzez kontakt na adres: kontakt@earnbyrecom.pl. Odpowiedź zostanie udzielona w terminie 30 dni; w sprawach szczególnie złożonych termin może zostać przedłużony zgodnie z RODO po wcześniejszym poinformowaniu osoby.

Zalogowany użytkownik może uzyskać techniczny eksport swoich danych z konta. Eksport obejmuje dane konta, oferty, zgody, historię zgód, własne polecenia oraz istotne wpisy audytowe dotyczące konta.

IX. Bezpieczeństwo danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, w tym:

• szyfrowanie transmisji danych (SSL/TLS);
• uwierzytelnianie wielopoziomowe (Firebase Authentication);
• kontrola dostępu oparta na rolach;
• regularne kopie zapasowe;
• monitoring bezpieczeństwa infrastruktury (GCP);
• maskowanie danych osobowych w logach systemowych;
• log audytowy czynności dotyczących klienta, zgód, cofnięć zgód oraz usunięć kont.
• procedurę obsługi naruszeń ochrony danych oraz wewnętrzny rejestr naruszeń.

X. Zautomatyzowane podejmowanie decyzji i profilowanie

Platforma nie dokonuje zautomatyzowanego podejmowania decyzji ani profilowania w rozumieniu art. 22 RODO, które wywoływałoby skutki prawne lub w podobny sposób istotnie wpływało na Użytkownika.

XI. Pliki cookies

Platforma wykorzystuje pliki cookies. Szczegółowe informacje na temat rodzajów cookies, celów ich stosowania oraz możliwości zarządzania nimi znajdują się w Polityce cookies.

XII. Zmiany Polityki prywatności

Administrator zastrzega sobie prawo do zmiany niniejszej Polityki prywatności. O istotnych zmianach Użytkownicy zostaną poinformowani drogą elektroniczną co najmniej 14 dni przed ich wejściem w życie. Aktualna wersja Polityki jest zawsze dostępna na Platformie.