Polityka prywatności serwisu MójKSeF.online

§1. Informacje ogólne

Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych użytkowników serwisu MojKSeF.online. Administratorem danych jest BIM-IT Michał Zieliński, ul. Gen. J. Hallera 12b/29, 87-140 Chełmża, NIP: 8792519614, e-mail: mz@bim-it.pl. Administrator nie wyznaczył Inspektora Ochrony Danych — wszelkie zapytania dotyczące danych osobowych należy kierować bezpośrednio na powyższy adres e-mail.

§2. Zakres zbieranych danych

Serwis gromadzi dane niezbędne do świadczenia usługi:

• Rejestracja: Adres e-mail (poprzez Google Auth) lub numer telefonu (poprzez Firebase Auth).
• Połączenie z KSeF: Numer NIP oraz Token sesji KSeF. Tokeny są szyfrowane algorytmem AES-256 i służą wyłącznie do autoryzacji zapytań do API Ministerstwa Finansów.
• Faktury — metadane: W celu zapewnienia szybkiego dostępu i ograniczenia liczby zapytań do API KSeF, Serwis przechowuje w bazie danych metadane faktur (numer KSeF, numer faktury, data wystawienia, nazwa i NIP sprzedawcy, kwoty netto/VAT/brutto, waluta). Dane te są pobierane z systemu KSeF i przechowywane na serwerach Google Cloud (Firebase) wyłącznie przez okres opisany w §7.
• Faktury — pliki XML: Przy pierwszym wygenerowaniu podglądu lub pliku PDF, plik XML faktury pobrany z KSeF jest zapisywany w bezpiecznym magazynie (Firebase Storage), aby kolejne operacje nie wymagały ponownego połączenia z KSeF. Pliki XML zawierają pełną treść faktury ustrukturyzowanej.
• Statusy faktur: W przypadku skorzystania z funkcji „Oznacz jako zapłaconą" lub „Oznacz jako odczytaną" (Plan PRO), Serwis przechowuje wyłącznie numer KSeF faktury oraz odpowiedni status (zapłacona/odczytana) — bez powiązania z kontem użytkownika. Pobranie pliku PDF automatycznie oznacza fakturę jako odczytaną.
• W procesie płatności PRO: Adres e-mail, adres IP oraz identyfikator zamówienia — dane niezbędne do realizacji transakcji przez operatora PayU S.A. (Art. 6 ust. 1 lit. b RODO — niezbędność do wykonania umowy).
• Dane do faktury VAT: W procesie zakupu Planu PRO Użytkownik podaje dane firmowe potrzebne do wystawienia faktury: NIP, nazwę firmy, adres (ulica, kod pocztowy, miasto) oraz adres e-mail. Dane te są przechowywane na koncie Użytkownika w celu automatycznego uzupełnienia przy kolejnym zakupie.
• Weryfikacja danych firmy (GUS REGON): Na życzenie Użytkownika Serwis pobiera publicznie dostępne dane firmy (nazwa, adres) z rejestru GUS REGON na podstawie podanego NIP — wyłącznie w celu ułatwienia wypełnienia formularza fakturowego.

§3. Cel przetwarzania

Dane są przetwarzane w celu:

• Świadczenia usługi: Podgląd, przeglądanie i konwersja faktur KSeF do formatu PDF, w tym buforowanie (cache) metadanych i plików XML w celu zapewnienia szybkiego dostępu oraz ograniczenia liczby zapytań do systemu KSeF (Art. 6 ust. 1 lit. b RODO — niezbędność do wykonania umowy).
• Realizacji płatności: Obsługa transakcji za Plan PRO (Art. 6 ust. 1 lit. b RODO).
• Zapewnienia bezpieczeństwa: Ochrona stabilności i integralności serwisu (Art. 6 ust. 1 lit. f RODO).
• Analityki: Anonimowe badanie ruchu na stronie za pomocą Google Analytics (na podstawie Twojej zgody — Art. 6 ust. 1 lit. a RODO).

§4. Udostępnianie danych

Twoje dane nie są i nigdy nie będą sprzedawane. Mogą być przekazywane podmiotom wspierającym nasze usługi:

• Google Cloud / Firebase: Infrastruktura techniczna, baza danych i uwierzytelnianie.
• PayU S.A.: W przypadku zakupu Planu PRO, dane niezbędne do realizacji płatności.
• Ministerstwo Finansów: Wysyłanie tokena KSeF w celu pobrania Twoich faktur.
• ING Księgowość (ING Bank Śląski S.A.): Dane firmowe nabywcy przekazywane w celu automatycznego wystawienia faktury VAT po zakupie Planu PRO.
• GUS (Główny Urząd Statystyczny): Numer NIP przekazywany do publicznego rejestru REGON w celu pobrania danych adresowych firmy — wyłącznie na życzenie Użytkownika.

§5. Bezpieczeństwo danych

Stosujemy zaawansowane środki techniczne, aby chronić Twoje dane:

• Szyfrowanie połączeń protokołem SSL/TLS.
• Szyfrowanie tokenów KSeF kluczem AES-256 przed zapisem w bazie.
• Wykorzystanie bezpiecznej infrastruktury Google Cloud (Firebase).

§6. Prawa użytkownika

Na podstawie RODO przysługują Ci następujące prawa:

• Prawo dostępu do swoich danych (Art. 15 RODO).
• Prawo do sprostowania nieprawidłowych danych (Art. 16 RODO).
• Prawo do usunięcia danych — „prawo do bycia zapomnianym" (Art. 17 RODO). Usunięcie konta skutkuje natychmiastowym i nieodwracalnym skasowaniem powiązanego profilu i tokenów z bazy Firebase.
• Prawo do ograniczenia przetwarzania (Art. 18 RODO).
• Prawo do przenoszenia danych (Art. 20 RODO).
• Prawo do sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie Administratora (Art. 21 RODO).
• Prawo do cofnięcia zgody w dowolnym momencie (np. zgody na Google Analytics), bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
• Prawo do wniesienia skargi do organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa (uodo.gov.pl).

W sprawach dotyczących danych osobowych prosimy o kontakt: mz@bim-it.pl.

§7. Przechowywanie danych

Dane przechowujemy przez następujące okresy:

• Dane konta (e-mail / numer telefonu, NIP-y, zaszyfrowane tokeny): przez cały okres posiadania konta. Usunięcie konta skutkuje natychmiastowym usunięciem tych danych.
• Dane rozliczeniowe (potwierdzenia transakcji PRO, dane z faktur VAT): przez 5 lat od końca roku podatkowego, w którym dokonano płatności, zgodnie z obowiązkami wynikającymi z przepisów podatkowych.
• Dane do faktury (NIP, nazwa firmy, adres, e-mail): przez okres posiadania konta — w celu automatycznego uzupełnienia formularza przy kolejnym zakupie. Usunięcie konta skutkuje usunięciem tych danych.
• Dane analityczne (Google Analytics): zgodnie z ustawieniami retencji Google Analytics (domyślnie 14 miesięcy), wyłącznie za zgodą użytkownika.
• Cache faktur (metadane + pliki XML): przez okres posiadania konta i aktywnej firmy, do której odnoszą się faktury. Usunięcie firmy z konta skutkuje usunięciem powiązanych danych z cache. Użytkownik może w dowolnym momencie wymusić ponowne pobranie danych z KSeF (przycisk „Synchronizuj z KSeF").
• Statusy faktur (numer KSeF + status płatności/odczytana): bezterminowo, ponieważ nie zawierają danych osobowych.

Możesz w każdej chwili usunąć dane firmy lub poprosić o całkowite usunięcie konta.

§8. Pliki Cookies

Strona wykorzystuje niezbędne pliki cookies do utrzymania sesji użytkownika oraz narzędzia analityczne (Google Analytics) w celu optymalizacji działania serwisu. Zgoda na Google Analytics jest dobrowolna i może być wycofana w każdej chwili za pomocą banera wyświetlanego przy wejściu na stronę.