Polityka prywatności i plików cookies

Obowiązuje od 20 kwietnia 2026 r.

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest Gdańska Grupa Księgowych Sp. z o.o., z siedzibą pod adresem ul. Cedrowa 29 U9, 80-126 Gdańsk, NIP: 5833498210, KRS: 0001148054, e‑mail: k.matwiejczyk@ggk.com.pl, tel.: +48 604-065-179.

2. Jakie dane zbieramy i na jakiej podstawie

• Dane z formularza kontaktowego — imię, nazwisko, adres e‑mail, numer telefonu, treść wiadomości, nazwa firmy. Podstawa: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — udzielenie odpowiedzi na zapytanie).
• Dane klientów panelu — imię, nazwisko, e‑mail, NIP, dane niezbędne do świadczenia usług księgowych, historia komunikacji i dokumentów. Podstawa: art. 6 ust. 1 lit. b RODO (wykonanie umowy) oraz art. 6 ust. 1 lit. c RODO (obowiązek prawny wynikający z przepisów podatkowych i rachunkowych).
• Dane techniczne (logi serwera) — adres IP, typ i wersja przeglądarki, czas wizyty, odwiedzone URL. Podstawa: art. 6 ust. 1 lit. f RODO (uzasadniony interes — bezpieczeństwo i diagnostyka).
• Dane analityczne (po wyrażeniu zgody) — anonimowe statystyki wizyt w serwisie (Google Analytics 4). Podstawa: art. 6 ust. 1 lit. a RODO (zgoda).
• Zgoda na politykę prywatności — znacznik czasowy akceptacji przy pierwszym logowaniu do panelu. Podstawa: art. 7 RODO (dokumentowanie zgody).

3. Cele przetwarzania

• Odpowiedź na zapytania z formularza kontaktowego.
• Świadczenie usług księgowych, kadrowych i doradczych.
• Prowadzenie panelu klienta i komunikacja z użytkownikami.
• Wypełnianie obowiązków prawnych (przepisy podatkowe, rachunkowe, ZUS).
• Zapewnienie bezpieczeństwa serwisu i analiza techniczna.
• Analiza ruchu w serwisie (wyłącznie po wyrażeniu zgody).

4. Okres przechowywania danych

• Dane z formularza kontaktowego — 12 miesięcy od ostatniego kontaktu lub do chwili wniesienia sprzeciwu.
• Dane klientów — przez czas obowiązywania umowy oraz przez okres wymagany przepisami prawa podatkowego i rachunkowego (co do zasady 5 lat od końca roku obrotowego, a w przypadku dokumentacji ZUS — 10 lat).
• Logi serwera — do 30 dni (rotacja).
• Dane analityczne — retencja danych w Google Analytics ustawiona na 14 miesięcy.

5. Odbiorcy danych — komu przekazujemy dane

Twoje dane mogą być przekazywane następującym kategoriom podmiotów:

• Organy publiczne — urzędy skarbowe, ZUS, GUS i inne instytucje — wyłącznie na podstawie przepisów prawa i w zakresie przez nie określonym.
• Podmioty przetwarzające (procesorzy) — dostawcy usług IT, z którymi zawarliśmy umowy powierzenia przetwarzania danych (art. 28 RODO). Pełna lista poniżej w sekcji 6.
• Biegli rewidenci, kancelarie prawne — w zakresie niezbędnym do realizacji usług.

Nie sprzedajemy danych osobowych ani nie udostępniamy ich podmiotom trzecim w celach marketingowych.

6. Dostawcy usług (procesorzy) i przekazywanie danych poza EOG

Korzystamy z następujących dostawców zewnętrznych, którzy mogą przetwarzać Twoje dane jako podmioty przetwarzające:

6.1. Supabase Inc. — baza danych i uwierzytelnianie

Supabase Inc., 970 Toa Payoh North, Singapur. Serwer bazy danych hostowany jest w regionie eu-central-1 (Frankfurt, Niemcy) — dane nie opuszczają Europejskiego Obszaru Gospodarczego. Supabase korzysta z AWS jako infrastruktury. Polityka prywatności Supabase: supabase.com/privacy.

6.2. Brevo (dawniej Sendinblue) — wysyłka e‑mail

Brevo SAS, 7 rue de Madrid, 75008 Paryż, Francja — spółka z siedzibą w Unii Europejskiej. Dane (adres e‑mail, imię, treść wiadomości) są przekazywane w celu dostarczenia wiadomości e‑mail (powiadomienia transakcyjne). Dane przetwarzane są na serwerach w UE. Polityka prywatności: brevo.com/legal/privacypolicy.

6.3. Vercel Inc. — hosting serwisu www

Vercel Inc., 340 Pine Street Suite 800, San Francisco, CA 94104, USA. Serwis www hostowany jest na platformie Vercel. Dane techniczne (adres IP, nagłówki HTTP) mogą być przetwarzane na serwerach w USA. Podstawą przekazania danych do USA są Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską. Polityka prywatności: vercel.com/legal/privacy-policy.

6.4. Google Analytics 4 — analityka serwisu (po wyrażeniu zgody)

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia (oddział Google LLC, Mountain View, CA, USA). Google Analytics 4 gromadzi zanonimizowane dane o sposobie korzystania ze strony (odwiedzane podstrony, czas sesji, typ urządzenia). Narzędzie uruchamiane jest wyłącznie po udzieleniu zgody na cookies analityczne. Dane mogą być przekazywane do USA — podstawą przekazania są SCC. Włączyliśmy anonimizację IP (IP masking). Polityka prywatności Google: policies.google.com/privacy.

7. Bezpieczeństwo danych

Stosujemy następujące środki techniczne i organizacyjne ochrony danych:

• Szyfrowanie transmisji — komunikacja z serwisem odbywa się wyłącznie przez protokół HTTPS (TLS 1.2+).
• Szyfrowanie danych w bazie — dane przechowywane są na zaszyfrowanych woluminach (AES-256) w ramach infrastruktury Supabase/AWS.
• Kontrola dostępu — dostęp do danych mają wyłącznie upoważnione osoby; stosujemy zasadę minimalnych uprawnień (Row Level Security w bazie danych).
• Uwierzytelnianie dwuskładnikowe (MFA) — dostępne i wymagane dla kont pracowników.
• Regularne kopie zapasowe — automatyczne kopie bazy danych z retencją 7 dni (Supabase).
• Jednorazowe hasła — przy zakładaniu konta użytkownik otrzymuje jednorazowe hasło i jest zobowiązany do ustawienia własnego przy pierwszym logowaniu.
• Polityka haseł — wymagane minimum 8 znaków; hasła są hashowane algorytmem bcrypt.

W przypadku naruszenia bezpieczeństwa danych poinformujemy Prezesa UODO w ciągu 72 godzin oraz — jeśli naruszenie niesie wysokie ryzyko — poinformujemy Cię bezpośrednio.

8. Prawa użytkownika

Na podstawie RODO przysługuje Ci prawo do:

• dostępu do swoich danych (art. 15),
• sprostowania danych (art. 16),
• usunięcia danych — „prawo do bycia zapomnianym" (art. 17) — z zastrzeżeniem obowiązków prawnych,
• ograniczenia przetwarzania (art. 18),
• przenoszenia danych (art. 20),
• sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 21),
• cofnięcia zgody w dowolnym momencie — bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem (dot. cookies analitycznych),
• wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00‑193 Warszawa, uodo.gov.pl).

Wnioski dotyczące realizacji praw prosimy kierować na adres: k.matwiejczyk@ggk.com.pl. Odpowiemy bez zbędnej zwłoki, nie później niż w ciągu miesiąca.

9. Pliki cookies

9.1. Czym są cookies

Pliki cookies to niewielkie pliki tekstowe zapisywane na Twoim urządzeniu przez przeglądarkę podczas korzystania z serwisu.

9.2. Rodzaje cookies stosowanych w serwisie

• Niezbędne (techniczne) — wymagane do prawidłowego działania: sesja logowania (sb-*), preferencje cookies (ggk_cookie_consent). Nie wymagają zgody. Czas życia: sesja / do 1 roku.
• Analityczne — Google Analytics 4 (_ga, _ga_*) — anonimowe statystyki wizyt. Czas życia: do 2 lat. Instalowane wyłącznie po wyrażeniu zgody.

9.3. Zarządzanie zgodą

Przy pierwszej wizycie wyświetlamy baner z prośbą o zgodę na cookies analityczne. Możesz wybrać „Tylko niezbędne" lub „Akceptuję wszystkie". Preferencja zapisywana jest w localStorage i obowiązuje przez 365 dni. Możesz zmienić wybór, usuwając dane przeglądarki lub kontaktując się z nami.

9.4. Zarządzanie cookies w przeglądarce

• Google Chrome
• Mozilla Firefox
• Safari
• Microsoft Edge

10. Profilowanie i zautomatyzowane podejmowanie decyzji

Nie stosujemy profilowania ani w pełni zautomatyzowanego podejmowania decyzji wywołujących skutki prawne w rozumieniu art. 22 RODO.

11. Zmiany polityki

Zastrzegamy sobie prawo do aktualizacji niniejszej polityki w związku ze zmianami prawnymi, technologicznymi lub organizacyjnymi. O istotnych zmianach poinformujemy poprzez komunikat w serwisie lub wiadomość e‑mail. Data ostatniej aktualizacji widnieje na górze strony.

12. Kontakt w sprawach danych osobowych

W sprawach związanych z ochroną danych osobowych prosimy o kontakt: k.matwiejczyk@ggk.com.pl lub pisemnie na adres siedziby: ul. Cedrowa 29 U9, 80-126 Gdańsk.