RODO

1. Postanowienia ogólne

  • Administratorem danych osobowych (dalej: „Administrator”) jest seowave Fryderyk Waszak, kontakt: fryderyk.waszak@gmail.com.
  • Administrator nie wyznaczył Inspektora Ochrony Danych.
  • Niniejsza Polityka określa: role, zasady, rejestry i procedury wymagane przez RODO, w tym realizację praw osób, zarządzanie naruszeniami, retencję, współpracę z podmiotami przetwarzającymi oraz rejestrowanie czynności.

2. Zasady przetwarzania (art. 5 RODO)

Administrator przetwarza dane zgodnie z zasadami: legalności, rzetelności i przejrzystości; minimalizacji; ograniczenia celu; prawidłowości; ograniczenia przechowywania; integralności i poufności; rozliczalności.

3. Kategorie procesów (mapa przetwarzania)

  1. Obsługa zapytań (formularz kontaktowy) – podstawa: uzasadniony interes (art. 6 ust. 1 lit. f). Retencja: do 12 miesięcy od ostatniej korespondencji.
  2. Ofertowanie audytu SEO (formularz ofertowy – płatny/bezpłatny) – podstawa: działania przed zawarciem umowy (art. 6 ust. 1 lit. b) oraz — jeśli występuje — zgoda marketingowa (art. 6 ust. 1 lit. a). Retencja: do 24 miesięcy lub do cofnięcia zgody/sprzeciwu.
  3. Realizacja usług płatnych i rozliczenia – podstawa: umowa (art. 6 ust. 1 lit. b) i obowiązek prawny (art. 6 ust. 1 lit. c). Retencja: dokumenty księgowe 5 lat od końca roku podatkowego.
  4. Analityka i marketing online (GA4, Google Ads, Meta) po zgodzie – podstawa: zgoda (art. 6 ust. 1 lit. a) + przepisy ePrivacy. Retencja: wg żywotności cookie lub do cofnięcia zgody.
  5. Bezpieczeństwo i logi serwera – podstawa: uzasadniony interes (art. 6 ust. 1 lit. f). Retencja: do 30 dni (dłużej w razie incydentu).

4. Rejestr Czynności Przetwarzania (RCP) — skrócona karta

Nr Czynność Kategorie danych Osoby Podstawa Odbiorcy / Podmioty przetwarzające (PP) Retencja Transfer poza EOG
1 Zapytania z formularza kontaktowego e-mail, imię/nazwisko (jeśli podasz), treść użytkownicy strony art. 6(1)(f) hosting, dostawca poczty 12 mies. nie
2 Formularz „oferta audytu” e-mail, URL, nazwa firmy/osoba, treść potencjalni klienci art. 6(1)(b)/art. 6(1)(a) hosting, poczta, CRM* 24 mies. możliwy (SCC/DPF)
3 Realizacja usług i księgowość dane do faktury (nazwa, NIP), e-mail klienci art. 6(1)(b)/(c) księgowość, system faktur, bank 5 lat nie
4 Analityka/marketing (po zgodzie) identyfikatory cookie, zdarzenia, urządzenie użytkownicy art. 6(1)(a) Google, Meta, CMP wg cookie / do cofnięcia tak (SCC/DPF)
5 Logi i bezpieczeństwo IP, nagłówki, znaczniki czasu użytkownicy art. 6(1)(f) hosting / CDN 30 dni nie

5. Wykaz podmiotów przetwarzających (PP)

Hosting/serwer/CDN:

  • seohost (Polska, EOG) — utrzymanie serwisu, logi, kopie zapasowe. Status: podmiot przetwarzający; umowa powierzenia.

Poczta/komunikacja:

  • seohost (poczta) (Polska, EOG) — obsługa skrzynek e-mail. Status: podmiot przetwarzający; umowa powierzenia.
  • Gmail / Google (Google Ireland Ltd. + Google LLC) — obsługa korespondencji e-mail. Status: podmiot przetwarzający; umowa powierzenia (Google). Możliwy transfer poza EOG (USA) na podstawie DPF/SCC.

Analityka i marketing (uruchamiane wyłącznie po zgodzie):

  • Google (GA4, Google Ads) — analityka i pomiar kampanii. Status: odrębni administratorzy/odbiorcy; możliwy transfer poza EOG (USA) na podstawie DPF/SCC.
  • Meta (Facebook/Instagram) — pomiar kampanii/remarketing. Status: odrębny administrator/odbiorca; możliwy transfer poza EOG (USA) na podstawie DPF/SCC.

6. Prawa osób, których dane dotyczą (procedura)

  1. Obsługa wniosków: przyjmowanie na fryderyk.waszak@gmail.com; weryfikacja tożsamości odpowiednio do ryzyka.
  2. Terminy: odpowiedź nie później niż w 30 dni (możliwe przedłużenie o kolejne 2 miesiące przy złożonych wnioskach).
  3. Rejestr wniosków: numer sprawy, data wpływu, zakres prawa (dostęp/sprostowanie/usunięcie/ograniczenie/przenoszenie/sprzeciw/cofnięcie zgody), decyzja, data odpowiedzi, uzasadnienie.
  4. Sposób realizacji: w formie, w jakiej wpłynął wniosek, chyba że osoba zażąda inaczej; nieodpłatnie (z wyjątkami w art. 12 ust. 5 RODO).

7. Retencja i minimalizacja

  • Kontakt: 12 mies.
  • Oferty audytu: 24 mies. (lub wcześniej na żądanie/sprzeciw).
  • Księgowość: 5 lat od końca roku podatkowego.
  • Logi: 30 dni.
  • Cookies: wg tabeli cookies / do cofnięcia zgody.
  • Przeglądy retencji: co 12 miesięcy (kasowanie/anonimizacja nadmiarowych danych).

8. Bezpieczeństwo informacji (środki techniczne i organizacyjne)

  • Techniczne: TLS/HTTPS, aktualizacje oprogramowania, backupy, ograniczenia dostępu (MFA gdzie możliwe), szyfrowanie urządzeń, monitorowanie logów, minimalne uprawnienia.
  • Organizacyjne: ewidencja upoważnień (jeśli są osoby przetwarzające), umowy powierzenia, procedura naruszeń, szkolenia „privacy by default”.
  • Testy i audyty: okresowy przegląd konfiguracji (hosting, CMS, GA4/Tag Manager/CMP), testy formularzy (brak wycieku danych do tagów bez zgody).

9. Naruszenia ochrony danych — procedura

  1. Wykrycie i zgłoszenie wewnętrzne (kanał: e-mail).
  2. Ocena ryzyka dla praw i wolności osób (skala: niskie/średnie/wysokie).
  3. Działania ograniczające (np. reset dostępów, blokada tagów, informatyka śledcza).
  4. Rejestr naruszeń: data, opis, kategorie danych/osób, skutek, podjęte działania, czy zgłoszono do UODO.
  5. Zgłoszenie do PUODO: w ciągu 72 h, jeśli ryzyko jest wysokie; poinformowanie osób — gdy ryzyko jest wysokie, w prostym języku.

10. Transfery poza EOG (Google/Meta)

  • Transfer możliwy przy korzystaniu z GA4/Ads/Meta.
  • Podstawa: Standardowe Klauzule Umowne (SCC) + środki uzupełniające; dostawcy mogą działać w ramach EU–US Data Privacy Framework.
  • Zawsze warunkiem uruchomienia jest uprzednia zgoda użytkownika (baner/CMP) na kategorie analityczne/marketingowe.

11. Privacy by design & by default (wdrożenie)

  • Domyślnie wyłączone tagi GA4/Ads/Meta do czasu zgody.
  • Minimalizacja pól w formularzach: e-mail i URL są wystarczające.
  • Brak pre-zaznaczonych zgód.