Drogi Użytkowniku!
Dbamy o Twoją prywatność i chcemy, abyś w czasie korzystania z naszych usług czuł się komfortowo. Poniżej znajdziesz najważniejsze informacje o zasadach przetwarzania przez nas Twoich danych osobowych oraz plikach cookies wykorzystywanych przez naszą Aplikację. Informacje te zostały przygotowane z uwzględnieniem RODO – ogólnego rozporządzenia o ochronie danych.
Administrator danych osobowych
ul. Mostowa 33, 05-800 Pruszków
NIP: 5342688114 · REGON: 540490658
E-mail: info@legitview.eu
Tel.: 535 777 646
Jeśli chcesz skontaktować się z nami w związku z przetwarzaniem Twoich danych osobowych, napisz na dedykowany adres: rodo@legitview.eu. W sprawach handlowych i technicznych — info@legitview.eu.
Administrator nie powołał Inspektora Ochrony Danych (IOD), ponieważ nie zachodzą przesłanki z art. 37 ust. 1 RODO (nie jesteśmy organem publicznym, nie prowadzimy regularnego i systematycznego monitorowania osób na dużą skalę, nie przetwarzamy szczególnych kategorii danych na dużą skalę). Bieżącymi sprawami z zakresu ochrony danych zajmuje się osobiście Administrator.
Osoby widoczne w raportach weryfikacyjnych
Jeżeli w raporcie LegitView zostały przetworzone dane osobowe osoby, która figuruje w publicznym rejestrze państwowym (np. jako przedsiębiorca JDG w CEIDG, członek zarządu w KRS, beneficjent rzeczywisty w CRBR albo zarządzający transportem w KREPTD) — obowiązek informacyjny wobec takiej osoby realizujemy zgodnie z art. 14 RODO na odrębnej stronie:
Informacja o przetwarzaniu danych (art. 14 RODO)
W razie potrzeby realizacji praw (dostęp, sprostowanie, usunięcie, sprzeciw) dostępny jest formularz online: Wniosek RODO lub adres e-mail rodo@legitview.eu.
Twoje uprawnienia
Przysługuje Ci prawo żądania:
Skontaktuj się z nami, jeśli chcesz skorzystać ze swoich praw. Jeśli uznasz, że Twoje dane są przetwarzane niezgodnie z prawem, możesz złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych.
Dane osobowe i prywatność
Poniższe informacje zostały podzielone na dwie sekcje:
- A Sekcja A – przetwarzanie danych użytkowników Aplikacji
- B Sekcja B – przetwarzanie danych dostępnych w ramach usługi
A Przetwarzanie danych w związku z korzystaniem z Usługi
1. Skorzystanie z usług (w tym założenie konta)
| Aspekt | Szczegóły |
|---|---|
| Cel | Realizacja umowy o świadczenie usług oferowanych w Aplikacji |
| Podstawa prawna | Umowa (art. 6 ust. 1 lit. b RODO); dla usług płatnych – obowiązek prawny w zakresie rachunkowości (art. 6 ust. 1 lit. c RODO) |
| Okres przetwarzania | Czas trwania umowy; następnie do upływu okresu przedawnienia roszczeń |
| Konsekwencja niepodania | Brak możliwości skorzystania z usług |
2. Kontakt z nami
| Aspekt | Szczegóły |
|---|---|
| Cel | Obsługa zapytań i zgłoszeń kierowanych do Usługodawcy drogą e-mail lub telefonicznie |
| Podstawa prawna | Umowa lub działania zmierzające do jej zawarcia (art. 6 ust. 1 lit. b RODO) albo prawnie uzasadniony interes komunikacyjny (art. 6 ust. 1 lit. f RODO) |
| Okres przetwarzania | Czas trwania umowy lub do upływu okresu dochodzenia roszczeń |
| Konsekwencja niepodania | Brak możliwości udzielenia odpowiedzi |
3. Działania marketingowe (na podstawie ustawień przeglądarki)
| Aspekt | Szczegóły |
|---|---|
| Cel | Marketing bezpośredni – wyświetlanie spersonalizowanych reklam |
| Podstawa prawna | Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) |
| Okres przetwarzania | Do momentu wygaśnięcia lub usunięcia plików cookies marketingowych |
| Konsekwencja niepodania | Brak spersonalizowanych sugestii produktów lub usług |
4. Działania analityczne — Google Analytics 4 (po Twojej zgodzie)
| Aspekt | Szczegóły |
|---|---|
| Narzędzie | Google Analytics 4 (Measurement ID G-RV7PM9FHV9). Tag gtag.js ładowany z www.googletagmanager.com. |
| Administrator narzędzia | Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia (działa w naszym imieniu jako podmiot przetwarzający, art. 28 RODO). Współadministrator dla infrastruktury USA: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. |
| Cel | Anonimowy pomiar ruchu (liczba wizyt, źródła, popularność podstron, czas spędzony), optymalizacja UX. Bez profilowania marketingowego, bez retargetingu, bez Google Signals, bez personalizacji reklam. |
| Podstawa prawna | Twoja świadoma zgoda — art. 6 ust. 1 lit. a RODO oraz art. 398 ustawy z dnia 12 lipca 2024 r. Prawo komunikacji elektronicznej (Dz.U. 2024 poz. 1221). GA4 jest aktywowany dopiero po klik „Rozumiem" w bannerze cookies. |
| Consent Mode v2 | Domyślnie analytics_storage: denied, ad_storage: denied, ad_user_data: denied, ad_personalization: denied. Przed Twoją zgodą wysyłany jest jedynie zanonimizowany sygnał („cookieless ping") bez identyfikatorów — pozwala to zliczyć łączną liczbę wizyt bez naruszenia prywatności. |
| Anonimizacja IP | anonymize_ip: true — adres IP jest skracany przed zapisem w GA4 (ostatni oktet w IPv4, ostatnie 80 bitów w IPv6). Pełny adres IP nigdy nie trafia do raportów ani eksportu. |
| Cookies | _ga (14 mies.), _ga_RV7PM9FHV9 (14 mies.) — szczegóły w Polityce cookies. |
| Retencja danych w GA4 | Dane zdarzenia: 14 miesięcy. Dane użytkownika: 14 miesięcy. Po tym okresie GA4 automatycznie usuwa dane indywidualne; zostają tylko agregaty (suma wizyt, źródła ruchu). |
| Transfer do USA | Google jako globalny dostawca przetwarza część danych w USA. Podstawa transferu: EU–U.S. Data Privacy Framework (decyzja KE C(2023) 4745 final z 10.07.2023) + Standardowe Klauzule Umowne (SCC, decyzja KE 2021/914) zawarte w umowie powierzenia z Google Ireland. Google posiada aktywną certyfikację DPF. |
| Cofnięcie zgody | W każdej chwili możesz cofnąć zgodę: (a) usuń cookies lv_cookie_consent, _ga, _ga_RV7PM9FHV9 w ustawieniach przeglądarki, lub (b) napisz na rodo@legitview.eu. Cofnięcie zgody nie wpływa na zgodność przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. |
| Konsekwencja niepodania | Brak — Aplikacja działa identycznie z analityką lub bez. Bez Twojej zgody nie zobaczymy statystyk dotyczących Twojej wizyty. |
5. Zgoda na treści marketingowe
| Aspekt | Szczegóły |
|---|---|
| Cel | Wysyłka informacji marketingowych i ofert specjalnych; analiza efektywności wysyłki |
| Podstawa prawna | Twoja zgoda (art. 6 ust. 1 lit. a RODO); analiza efektywności – prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) |
| Okres przetwarzania | Do wycofania zgody; przetwarzanie do momentu cofnięcia pozostaje zgodne z prawem |
| Konsekwencja niepodania | Brak materiałów marketingowych i informacji o ofertach |
6. Newsletter
| Aspekt | Szczegóły |
|---|---|
| Cel | Wysyłanie newslettera; analiza efektywności wysyłki |
| Podstawa prawna | Umowa o świadczenie usługi newslettera (art. 6 ust. 1 lit. b RODO); analiza – prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) |
| Okres przetwarzania | Do momentu wypisania się z newslettera; analiza – do momentu uwzględnienia sprzeciwu |
| Konsekwencja niepodania | Brak możliwości otrzymywania informacji o Aplikacji i usługach |
7. Roszczenia
| Aspekt | Szczegóły |
|---|---|
| Cel | Ustalenie, dochodzenie lub obrona ewentualnych roszczeń |
| Podstawa prawna | Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) |
| Okres przetwarzania | Do upływu okresu przedawnienia roszczeń lub do uwzględnienia sprzeciwu |
| Konsekwencja niepodania | Brak możliwości ustalenia, dochodzenia lub obrony roszczeń |
B Dane biznesowe przetwarzane w ramach usługi
Dane przetwarzane w ramach usługi pochodzą wyłącznie z publicznie dostępnych, oficjalnych rejestrów państwowych:
- CEIDG — Centralna Ewidencja i Informacja o Działalności Gospodarczej (administrator: Minister Rozwoju i Technologii),
- KRS — Krajowy Rejestr Sądowy (administrator: Minister Sprawiedliwości),
- KREPTD — Krajowy Rejestr Elektroniczny Przedsiębiorców Transportu Drogowego (administrator: Główny Inspektor Transportu Drogowego); zakres ujawnianych danych — art. 82h, publiczna dostępność online — art. 82j ustawy z dnia 6 września 2001 r. o transporcie drogowym (Dz.U. 2025 poz. 1490 t.j.); integracja live od 04.05.2026 w ramach komunikacji wzajemnie uwierzytelnianej (mTLS),
- Biała Lista VAT — Wykaz podatników VAT (administrator: Minister Finansów),
- VIES — VAT Information Exchange System (administrator: Komisja Europejska),
- CRBR — Centralny Rejestr Beneficjentów Rzeczywistych (administrator: Minister Finansów),
- REGON BIR — Baza Internetowa REGON (administrator: Główny Urząd Statystyczny).
Kategorie danych osobowych, które mogą się pojawić w wynikach
- Dane identyfikacyjne podmiotów gospodarczych: firma / nazwa, NIP, REGON, KRS, adres siedziby, forma prawna, data rejestracji,
- Dane osób fizycznych prowadzących JDG (z CEIDG): imię i nazwisko, adres głównego miejsca wykonywania działalności, data rozpoczęcia/zawieszenia/wznowienia/wykreślenia, obywatelstwa, telefon i e-mail (jeśli zostały ujawnione w CEIDG przez przedsiębiorcę),
- Wspólnicy spółek cywilnych (s.c.): imiona, nazwiska, NIP, REGON każdego wspólnika — pobierane z CEIDG/REGON dla NIP spółki cywilnej oraz dodatkowo dla NIP indywidualnych wspólników,
- Reprezentanci spółek z KRS: imię i nazwisko członków zarządu, funkcja w organie, ostatnie 4 cyfry numeru PESEL (są jawne w odpisach KRS — udostępniamy je w niezmienionej, maskowanej postaci, np. „1234"), prokurenci wraz z rodzajem prokury, wspólnicy / udziałowcy sp. z o.o. wraz z liczbą udziałów,
- Likwidatorzy i syndycy w przypadku postępowań likwidacyjnych / upadłościowych ujawnionych w KRS,
- Beneficjenci rzeczywiści z CRBR: imię i nazwisko, obywatelstwo, kraj zamieszkania, data urodzenia, charakter i wielkość udziałów; PESEL beneficjenta jest ujawniany w CRBR w postaci zamaskowanej (np. „1234***15") i w takiej samej zamaskowanej postaci jest prezentowany w Aplikacji,
- Zarządzający transportem z KREPTD: imię i nazwisko zarządzającego, numer i typ certyfikatu kompetencji zawodowych (CKZ — krajowy / międzynarodowy, jednolity post-2011 zgodnie z Rozp. UE 1071/2009), data wydania, kraj wydania, lista innych firm w których ta sama osoba pełni funkcję zarządzającego (FirmyDzielaceCert), informacja czy zarządzający jest powiązany ze spółką cywilną poprzez konkretnego wspólnika,
- Pełnomocnicy i wspólnicy z Białej Listy VAT: imię i nazwisko, NIP (jeżeli ujawnione przez MF),
- Dane statusowe podmiotu: status VAT (czynny, zwolniony, wykreślony, odmowa rejestracji, przywrócony) wraz z datami i podstawami prawnymi, status w CEIDG (aktywna, zawieszona, wykreślona), status w KRS (aktywny, w likwidacji, w upadłości), status w KREPTD (ważne / cofnięte / zawieszone licencje i zezwolenia, liczba pojazdów),
- Numery rachunków bankowych ujawnione w Białej Liście VAT,
- Numery licencji i zezwoleń transportowych oraz liczba pojazdów (KREPTD),
- Kody PKD przedmiotu działalności (CEIDG, KRS, REGON).
Pełen, szczegółowy katalog źródeł i kategorii danych — wraz z administratorami publicznymi i podstawami prawnymi udostępniania — znajduje się w odrębnym dokumencie „Informacja o przetwarzaniu danych osobowych pobranych z publicznych rejestrów państwowych (art. 14 RODO)".
Cele i podstawy prawne przetwarzania (per cel)
| Cel | Podstawa prawna | Retencja |
|---|---|---|
| Jednorazowa weryfikacja kontrahenta (sprawdzenie pojedynczego NIP we wszystkich 8 rejestrach, prezentacja wyniku, generowanie raportu PDF) | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora i Usługobiorcy polegający na umożliwieniu bezpiecznego obrotu gospodarczego i weryfikacji kontrahentów (motyw 47 RODO — fraud prevention) | 12 miesięcy w historii zapytań, następnie automatyczne usunięcie |
| Monitoring tracked NIP — codzienna, automatyczna obserwacja wybranych podmiotów we wszystkich 8 rejestrach (raz dziennie o godzinie wybranej przez Usługobiorcę), z wykrywaniem zmian i wysyłką alertów e-mail | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (regularna obserwacja zmian statusu kontrahenta), w zw. z motywem 47 RODO | Do zakończenia monitoringu przez Usługobiorcę albo do usunięcia konta; historia alertów: 24 miesiące od daty wykrycia |
| Weryfikacja masowa (bulk audit) — jednoczesne sprawdzenie listy NIP-ów z importu CSV/XLSX | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (efektywna weryfikacja portfela kontrahentów) | Wyniki audytu masowego: 12 miesięcy od dnia zakończenia audytu; lista NIP-ów wejściowa: usuwana po zakończeniu audytu |
| Generowanie raportu PDF dla potrzeb dokumentacyjnych Usługobiorcy (dowód weryfikacji, np. dla potrzeb własnej dokumentacji KYC/AML) | Art. 6 ust. 1 lit. f RODO | Raport w bazie 12 miesięcy; Usługobiorca pobiera go i przechowuje wedle własnych potrzeb |
| Powiadomienia e-mail o zmianach u monitorowanych kontrahentów, awariach źródeł danych, stanie limitu zapytań | Art. 6 ust. 1 lit. b RODO — wykonanie umowy z Usługobiorcą | Do końca obowiązywania umowy; treści maili nie są archiwizowane na serwerze poza logiem wysyłki |
- Interes Administratora i Usługobiorców — zapewnienie bezpieczeństwa obrotu B2B, ograniczenie ryzyka oszustwa, należyta staranność handlowa — jest prawnie uzasadniony (motyw 47 RODO wprost wymienia fraud prevention),
- Przetwarzanie jest niezbędne do realizacji tego interesu (brak alternatywy mniej ingerującej w prywatność — dane już są publicznie dostępne w rejestrach państwowych),
- Interes ten nie jest nadrzędny wobec interesów osób, których dane dotyczą tylko w zakresie informacji już jawnych z mocy ustawy (CEIDG, KRS, REGON itp.) — osoby fizyczne prowadzące działalność lub pełniące funkcje w organach spółek muszą liczyć się z publicznym charakterem tych danych.
Niezależnie od powyższego, osobie której dane są w raporcie przysługują wszystkie prawa wynikające z art. 15–22 RODO, w tym w szczególności prawo sprzeciwu (art. 21 RODO) — zgłoszone na rodo@legitview.eu sprzeciwy są rozpatrywane indywidualnie; jeżeli nie wykażemy istnienia ważnych prawnie uzasadnionych podstaw do przetwarzania nadrzędnych wobec interesów osoby, przetwarzanie zostaje wstrzymane.
Profilowanie i automatyczne decyzje (art. 22 RODO)
Verdict / podsumowanie LegitView wyświetlany w wynikach (OK / drobne różnice / rozbieżności danych) jest wynikiem deterministycznych reguł porównujących dane z 7 niezależnych źródeł publicznych (np. zgodność nazwy w KRS z nazwą w REGON i Białej Liście). Verdict nie wykorzystuje uczenia maszynowego, modelu statystycznego ani sztucznej inteligencji w rozumieniu art. 3 pkt 1 Rozp. UE 2024/1689 (AI Act).
Verdict nie stanowi decyzji wyłącznie zautomatyzowanej w rozumieniu art. 22 ust. 1 RODO — pełni wyłącznie funkcję wsparcia decyzyjnego. Ostateczną decyzję biznesową (np. zawarcie umowy z kontrahentem) podejmuje zawsze człowiek — Usługobiorca — na podstawie własnej oceny.
Jeżeli jesteś osobą fizyczną, której dane pojawiły się w raporcie LegitView i uważasz, że verdict, kafelek statusowy lub konkretna informacja są nieprawdziwe albo doprowadziły do niekorzystnej decyzji wobec Ciebie, możesz wystąpić do nas z żądaniem ponownej weryfikacji wyniku przez człowieka, wyrazić własne stanowisko oraz zakwestionować wynik. Kanał kontaktu: rodo@legitview.eu. Stosujemy odpowiednio standardy art. 22 ust. 3 RODO, niezależnie od kwalifikacji prawnej naszego mechanizmu.
Niezależnie od powyższego: jeżeli wybierzesz analitykę zachowań w Aplikacji (opt-in w banerze cookies), prowadzimy profilowanie marketingowe polegające na automatycznej ocenie, jakimi funkcjami możesz być zainteresowany — na podstawie informacji o wyświetlanych treściach. To profilowanie również nie skutkuje decyzjami prawnymi ani podobnie istotnymi wobec Ciebie.
Działania analityczne
1. Analiza danych biznesowych
W ramach działania Aplikacji prowadzimy analizy danych z rejestrów publicznych oraz danych o działaniach użytkowników – polegające na zestawianiu i porównywaniu danych w celu ich prezentowania w czytelnej formie raportów weryfikacyjnych.
2. Analiza zachowań użytkowników
Prowadzimy działania analityczne mające na celu zwiększenie intuicyjności Aplikacji – jeśli na to zezwolisz. Analizujemy m.in. czas spędzony na poszczególnych podstronach i elementy, w które klikasz, co pozwala nam optymalizować układ i funkcjonalność Aplikacji.
Bezpieczeństwo danych
Przetwarzając Twoje dane osobowe stosujemy środki organizacyjne i techniczne zgodne z właściwymi przepisami prawa, w tym z art. 32 RODO. Serwer aplikacji działa w infrastrukturze Hetzner Online GmbH (Niemcy, EOG). Połączenie z Aplikacją jest szyfrowane za pomocą certyfikatu SSL/TLS (TLS 1.3 z HSTS).
Konkretne środki bezpieczeństwa
- hasła użytkowników — zahashowane algorytmem PBKDF2-SHA256 (600 000 iteracji, losowy salt per konto); nie przechowujemy haseł w formie odwracalnej,
- sesja użytkownika — ciasteczko HttpOnly + Secure + SameSite=Lax, TTL 8 godzin,
- ochrona CSRF — kontrola nagłówka
Origin/Refererdla wszystkich operacji modyfikujących, - nagłówki bezpieczeństwa — Content Security Policy, X-Frame-Options: DENY, HSTS, X-Content-Type-Options,
- rate limiting per rejestr państwowy — chroni przed nadużyciem API i niekontrolowanym masowym pobieraniem danych,
- komunikacja wzajemnie uwierzytelniana (mTLS) z rejestrami administracji publicznej, gdzie jest wymagana (KREPTD/GITD — produkcyjny certyfikat PROD od 04.05.2026),
- tokeny dostępu do zewnętrznych API (np. CEIDG) przechowywane wyłącznie po stronie serwera w zmiennych środowiska (
.env) i nigdy nie są przekazywane do przeglądarki użytkownika, - log audytowy (audit_log) każdego logowania, zmiany hasła, akceptacji regulaminu, wniosku RODO, zmiany ról i uprawnień — przechowywany do 3 lat + 1 rok bufor (łącznie 4 lata) (uzasadnienie: art. 118 Kodeksu cywilnego — termin przedawnienia roszczeń związanych z prowadzeniem działalności gospodarczej wynosi 3 lata, koniec biegu na ostatni dzień roku kalendarzowego),
- logi dostępu serwera (access log): IP, URL, kod odpowiedzi — 30 dni, następnie rotacja,
- kopia zapasowa bazy SQLite — co godzinę, retencja 7 dni; szyfrowanie w spoczynku zapewnia warstwa systemu plików hostingu.
Procedura incydentu (art. 33–34 RODO)
W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator zgłasza incydent Prezesowi UODO bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od jego stwierdzenia (art. 33 RODO), chyba że naruszenie nie powoduje ryzyka naruszenia praw lub wolności osób fizycznych. W razie wysokiego ryzyka zawiadamiamy również osoby, których dane dotyczą (art. 34 RODO). Zgłoszenia incydentu bezpieczeństwa można kierować na rodo@legitview.eu.
Rejestr czynności przetwarzania (RCPD, art. 30 RODO) i ocena skutków (DPIA, art. 35 RODO)
Administrator prowadzi wewnętrzny rejestr czynności przetwarzania zgodnie z art. 30 RODO, dokumentujący wszystkie procesy przetwarzania danych w Aplikacji (konta użytkowników, historia zapytań, monitoring NIP, weryfikacja masowa, wnioski RODO). Dla funkcjonalności monitoring tracked NIP (która polega na regularnym i systematycznym pobieraniu danych z 8 rejestrów publicznych w odniesieniu do wielu podmiotów) przeprowadzono ocenę skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO oraz Komunikatem Prezesa UODO z dnia 17.06.2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających DPIA (M.P. 2019 poz. 666). Ocena potwierdziła, że ryzyko dla praw i wolności osób, których dane dotyczą, jest niskie — przy zachowaniu wdrożonych środków bezpieczeństwa i ograniczeniu danych wyłącznie do informacji jawnych z mocy ustawy. RCPD i DPIA są dokumentami wewnętrznymi i nie podlegają publikacji; mogą zostać przedstawione Prezesowi UODO na żądanie.
Cyberbezpieczeństwo (NIS2 / ustawa o KSC)
W dniu ~2-3.04.2026 weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) transponująca dyrektywę UE 2022/2555 (NIS2). LegitView jako podmiot świadczący usługi cyfrowe w formie B2B SaaS na obecną skalę (mikroprzedsiębiorca w rozumieniu art. 2 dyrektywy NIS2 — < 50 osób i ≤ 10 mln EUR obrotu rocznego) co do zasady nie jest podmiotem kluczowym ani ważnym w rozumieniu znowelizowanej ustawy o KSC. Niezależnie od tego Administrator stosuje proporcjonalne środki zarządzania ryzykiem cybernetycznym (procedurę incydentu, kopie zapasowe, mTLS dla wybranych integracji, audit log) wzorowane na art. 21 NIS2. Status formalny zostanie ponownie oceniony przy przekroczeniu progu mikroprzedsiębiorcy.
Odbiorcy danych — podmioty przetwarzające (subprocesorzy)
Twoje dane osobowe są powierzane wyłącznie zaufanym dostawcom infrastruktury technicznej, wybranym z uwzględnieniem wymogów art. 28 RODO. Z każdym subprocesorem zawarliśmy umowę powierzenia przetwarzania danych osobowych (DPA — Data Processing Agreement). Pełna, aktualna lista subprocesorów na dzień obowiązywania niniejszej Polityki:
| Subprocesor | Funkcja | Lokalizacja | Zabezpieczenia |
|---|---|---|---|
| Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen, Niemcy |
Hosting serwera aplikacji + bazy danych (VPS), backupy | Niemcy (EOG) | DPA Hetzner zgodne z RODO, ISO 27001, certyfikowane data center, szyfrowanie dysku |
| home.pl S.A. ul. Zbożowa 4, 70-653 Szczecin, Polska |
Serwer poczty wychodzącej (SMTP) — wysyłka maili transakcyjnych: rejestracja, reset hasła, alerty monitoringu, faktury | Polska (EOG) | DPA home.pl zgodne z RODO, połączenie szyfrowane STARTTLS |
| Google LLC 1600 Amphitheatre Pkwy, Mountain View, CA, USA |
Google Fonts CDN — fonty „Inter" i „DM Sans" pobierane bezpośrednio przez przeglądarkę użytkownika (dane techniczne: IP, User-Agent) | USA | Standardowe Klauzule Umowne (SCC), certyfikat EU-U.S. Data Privacy Framework (DPF). Rozważana migracja do self-hostowanych fontów w kolejnej wersji. |
| Google Ireland Limited Gordon House, Barrow Street, Dublin 4, Irlandia (infrastruktura USA: Google LLC, Mountain View) |
Google Analytics 4 — anonimowy pomiar ruchu na legitview.eu (po świadomej zgodzie użytkownika w bannerze cookies). Measurement ID G-RV7PM9FHV9. Consent Mode v2 (domyślnie denied), anonimizacja IP, bez Google Signals, bez personalizacji reklam, bez integracji z Google Ads. |
EOG (Irlandia) + USA | Umowa powierzenia art. 28 RODO z Google Ireland (Google Ads Data Processing Terms zaakceptowane w panelu GA4). Standardowe Klauzule Umowne (SCC, decyzja KE 2021/914) + certyfikat EU-U.S. Data Privacy Framework (decyzja KE C(2023) 4745 final z 10.07.2023). Dane zdarzeń i użytkowników: retencja 14 miesięcy. |
Zmiana subprocesora. O zmianie albo dodaniu nowego subprocesora informujemy z co najmniej 30-dniowym wyprzedzeniem za pośrednictwem Serwisu lub e-maila do Usługobiorców (zgodnie z art. 28 ust. 2 RODO oraz § 6 Umowy powierzenia stanowiącej Załącznik nr 1 do Regulaminu). Usługobiorca, który nie wyraża zgody na zmianę, ma prawo rozwiązać Umowę.
Zewnętrzne API rejestrów publicznych (CEIDG, KRS, KREPTD, Biała Lista VAT, VIES, CRBR, REGON BIR) nie są subprocesorami w rozumieniu art. 28 RODO — są to odrębni administratorzy tych rejestrów (odpowiednio organy administracji publicznej i Komisja Europejska). Aplikacja jedynie odpytuje publicznie dostępne API w celu pobrania danych jawnych z mocy ustawy.
Pliki cookies i inne zbliżone technologie
Nasza Aplikacja korzysta z plików cookies i innych zbliżonych technologii (np. localStorage, sessionStorage). Pliki te są zapisywane w pamięci Twojego urządzenia i nie powodują zmian w jego ustawieniach.
Wykaz plików cookies i technologii zbliżonych
| Nazwa | Cel | Czas życia | Kategoria |
|---|---|---|---|
session |
Podtrzymanie zalogowania użytkownika po stronie aplikacji (Flask session, HttpOnly, Secure, SameSite=Lax) | 8 godzin / do zamknięcia przeglądarki | Niezbędne (bez zgody) |
lv_cookie_consent |
Zapamiętuje wybór użytkownika w banerze zgody na cookies | 12 miesięcy | Niezbędne |
_lv_recent_nips (localStorage) |
Lokalna lista ostatnio sprawdzanych NIP-ów — dostępna wyłącznie w przeglądarce użytkownika, nie jest wysyłana na serwer | Do ręcznego wyczyszczenia | Niezbędne (funkcjonalność aplikacji) |
_ga (Google Analytics) |
Główny identyfikator GA4 — przypisany do anonimowej sesji użytkownika. Ustawiany wyłącznie po Twojej zgodzie w bannerze cookies. | 14 miesięcy | Analityczne (opt-in) |
_ga_RV7PM9FHV9 (Google Analytics) |
Identyfikator stanu sesji dla usługi GA4 (Measurement ID G-RV7PM9FHV9). Ustawiany wyłącznie po Twojej zgodzie. | 14 miesięcy | Analityczne (opt-in) |
denied). Pomiar jest zanonimizowany (skrócony adres IP), bez profilowania marketingowego, bez Google Signals, bez personalizacji reklam. Szczegóły w sekcji „4. Działania analityczne" powyżej oraz w Polityce cookies. Nie używamy Meta Pixel, Google Ads, retargetingu ani innych narzędzi marketingowych.
Fonty Google Fonts
Aplikacja ładuje fonty „Inter" i „DM Sans" bezpośrednio z serwerów Google (fonts.googleapis.com oraz fonts.gstatic.com). Powoduje to, że Twoja przeglądarka łączy się z infrastrukturą Google LLC (USA) przy każdym otwarciu strony, co — zgodnie z opinią Trybunału w Sprawie C-311/18 (Schrems II) oraz orzeczeniem sądu niemieckiego z 2022 r. w sprawie Google Fonts — jest traktowane jako przekazanie adresu IP do państwa trzeciego (USA). Podstawą prawną takiego transferu są standardowe klauzule umowne (SCC) oraz certyfikacja Google w ramach EU-U.S. Data Privacy Framework. Jeżeli nie chcesz, aby Twoje IP trafiło do Google podczas wizyty na naszej stronie, możesz zablokować te domeny w ustawieniach przeglądarki (np. uBlock Origin → filtr „no remote fonts"). Rozważamy migrację do self-hostowanych fontów w kolejnej wersji Aplikacji.
Logi serwera
Niezależnie od cookies serwer aplikacji zapisuje techniczne logi dostępu (HTTP access log) obejmujące: adres IP, żądany URL, kod odpowiedzi, czas żądania, User-Agent przeglądarki. Logi te są niezbędne do utrzymania bezpieczeństwa systemu (wykrywanie ataków, debugowanie błędów) na podstawie art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes). Są przechowywane maksymalnie 30 dni, po czym nadpisywane przez rotację logów.
Możesz zarządzać plikami cookies za pomocą ustawień przeglądarki:
Usługi zewnętrzne / Odbiorcy danych
Korzystamy z usług podmiotów zewnętrznych wspierających nas w prowadzeniu działalności. Powierzamy im Twoje dane – przetwarzają je wyłącznie na nasze udokumentowane polecenie.
| Kategoria | Odbiorca / dostawca | Przekazanie poza EOG |
|---|---|---|
| Hosting serwera aplikacji | Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen, Niemcy |
Nie (EOG – Niemcy) |
| Poczta e-mail i domena | home.pl sp. z o.o. ul. Zbożowa 4, 70-653 Szczecin NIP: 8522103252 |
Nie (EOG – Polska) |
| Korespondencja z użytkownikami | home.pl sp. z o.o. (skrzynka info@legitview.eu) | Nie (EOG – Polska) |
Ponadto: odpowiednie organy publiczne w zakresie, w jakim jesteśmy zobowiązani do udostępnienia im danych.
Przekazywanie danych osobowych poza EOG
Infrastruktura techniczna (hosting, poczta, baza danych) Aplikacji LegitView.eu opiera się wyłącznie na dostawcach działających w obrębie Europejskiego Obszaru Gospodarczego – serwerze Hetzner Online GmbH w Niemczech oraz usłudze pocztowej home.pl w Polsce. Dane osobowe przetwarzane w ramach świadczenia usługi (konto użytkownika, raporty weryfikacyjne, historia zapytań) nie są przekazywane poza EOG.
Jedynym wyjątkiem jest pobranie przez Twoją przeglądarkę fontów Google Fonts z domen fonts.googleapis.com i fonts.gstatic.com podczas wizyty na naszej stronie — co może wiązać się z transferem adresu IP urządzenia do USA (Google LLC). Transfer opiera się na standardowych klauzulach umownych (SCC) oraz EU-U.S. Data Privacy Framework. Szczegóły — sekcja „Pliki cookies / Google Fonts" powyżej.
Wniosek RODO — realizacja praw
Aby skorzystać ze swoich praw (art. 15–21 RODO) — dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw — skorzystaj z formularza online lub napisz na dedykowany adres e-mail:
Formularz wniosku RODO · rodo@legitview.eu
Rozpatrujemy wniosek bez zbędnej zwłoki, nie później niż w ciągu miesiąca (art. 12 ust. 3 RODO). Obsługa wniosku jest bezpłatna. W wypadku uzasadnionych wątpliwości co do Twojej tożsamości możemy poprosić o dodatkowe informacje służące identyfikacji (art. 12 ust. 6 RODO) — wyłącznie w zakresie koniecznym, nie żądamy skanów dowodów osobistych.