Polityka prywatności

§ 1. Administrator danych osobowych

Administratorem danych osobowych (dalej: ADMINISTRATOR) w rozumieniu art. 4 pkt 7 RODO jest:

Administrator, po przeprowadzeniu analizy wymogów art. 37 RODO oraz ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz.U. 2018 poz. 1000 z późn. zm.), stwierdza, że nie jest zobowiązany do powołania Inspektora Ochrony Danych (IOD). We wszelkich sprawach dotyczących przetwarzania danych osobowych prosimy kontaktować się bezpośrednio z Administratorem na wskazany powyżej adres e-mail.

§ 2. Definicje

Ilekroć w niniejszym dokumencie mowa o:

RODO

- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Dane osobowe

- wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 1 RODO).

Przetwarzanie

- operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany (art. 4 pkt 2 RODO).

Użytkownik

- każda osoba fizyczna odwiedzająca serwis arlek.pl lub korzystająca z jednej bądź kilku usług oferowanych przez Administratora.

Klient

- osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, która zawarła z Administratorem umowę o świadczenie usług.

Serwis

- strona internetowa działająca pod domeną arlek.pl oraz jej subdomenami.

Profilowanie

- dowolna forma zautomatyzowanego przetwarzania danych osobowych polegająca na wykorzystaniu danych do oceny niektórych czynników osobowych (art. 4 pkt 4 RODO). Administrator oświadcza, że nie stosuje profilowania.

Plik cookie

- krótki plik tekstowy zapisywany w urządzeniu końcowym Użytkownika podczas korzystania z serwisu, umożliwiający jego identyfikację i dostosowanie treści.

TADPF

- Trans-Atlantic Data Privacy Framework (decyzja wykonawcza Komisji Europejskiej (UE) 2023/1795 z dnia 10 lipca 2023 r.) - ramy prawne legalizujące transfer danych osobowych z Unii Europejskiej do certyfikowanych podmiotów w USA.

SCC

- Standard Contractual Clauses (Standardowe Klauzule Umowne, decyzja wykonawcza Komisji (UE) 2021/914) - alternatywny mechanizm transferu danych poza EOG.

AI Act

- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji, stosowane od 2 lutego 2025 r. (zakazy) oraz 2 sierpnia 2026 r. (pozostałe przepisy GPAI).

DSA

- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych (Digital Services Act).

UŚUDE

- Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (tekst jedn. Dz.U. 2020 poz. 344 z późn. zm.).

§ 3. Kategorie zbieranych danych

W zależności od rodzaju kontaktu i zakresu usługi, Administrator przetwarza następujące kategorie danych osobowych:

3.1. Dane kontaktowe (obowiązkowe w każdej relacji)

• imię i nazwisko (lub firma),
• adres e-mail,
• numer telefonu (opcjonalnie w formularzu, obowiązkowo w umowie),
• nazwa firmy / działalności gospodarczej.

3.2. Dane rozliczeniowe (wyłącznie przy zawarciu umowy)

• NIP, REGON, KRS (jeśli dotyczy),
• adres siedziby / adres do doręczeń,
• numer rachunku bankowego (tylko w zakresie niezbędnym do rozliczeń).

3.3. Dane techniczne (automatyczne, zbierane przy każdej wizycie)

• adres IP urządzenia końcowego,
• identyfikator sesji,
• typ i wersja przeglądarki (user agent),
• system operacyjny,
• rozdzielczość ekranu,
• adres URL strony odsyłającej (referrer),
• data i godzina wizyty,
• identyfikatory plików cookies.

3.4. Dane dotyczące usługi (wyłącznie aktywni Klienci)

• materiały przekazane przez Klienta (teksty, grafiki, zdjęcia),
• dane dostępowe do systemów Klienta (przekazywane w sposób szyfrowany, przechowywane w menedżerze haseł),
• historia korespondencji e-mail i zgłoszeń serwisowych.

3.5. Szczególne kategorie danych (art. 9 RODO)

Administrator nie przetwarza danych szczególnych kategorii, o których mowa w art. 9 ust. 1 RODO (dane dotyczące zdrowia, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych, przynależności do związków zawodowych, danych genetycznych, biometrycznych ani dotyczących seksualności). Jeżeli Klient przekaże Administratorowi takie dane jako treść projektową (np. w portfolio realizacji dla podmiotu medycznego), obowiązek ich legalnego pozyskania spoczywa na Kliencie jako osobnym administratorze.

§ 4. Cele przetwarzania i podstawy prawne

Każda operacja przetwarzania danych osobowych ma zidentyfikowany cel oraz podstawę prawną zgodnie z art. 6 RODO:

4.1. Dobrowolność podania danych

Podanie danych osobowych jest dobrowolne, ale w niektórych przypadkach niezbędne do realizacji celu:

• w formularzu kontaktowym - niezbędne są imię i adres e-mail (brak danych uniemożliwia udzielenie odpowiedzi),
• przy zawarciu umowy - niezbędne są dane identyfikacyjne i rozliczeniowe (wymóg ustawy o rachunkowości oraz VAT),
• przy zakładaniu konta hostingowego - niezbędne są dane zgodnie z regulaminem operatora (LH.pl, dhosting.pl).

§ 5. Źródła danych

Administrator pozyskuje dane osobowe z następujących źródeł:

1. Bezpośrednio od Użytkownika / Klienta - za pośrednictwem formularzy kontaktowych, korespondencji e-mail, rozmów telefonicznych, komunikatorów (np. WhatsApp, Signal), spotkań osobistych.
2. Z publicznie dostępnych rejestrów państwowych - w celu weryfikacji wiarygodności kontrahenta: Centralna Ewidencja i Informacja o Działalności Gospodarczej (CEIDG), Krajowy Rejestr Sądowy (KRS), Wykaz podatników VAT (tzw. "biała lista") prowadzony przez Szefa KAS, VIES (VAT UE).
3. Od stron trzecich - wyłącznie za zgodą osoby - np. gdy Klient przekazuje kontakt polecony.

Zgodnie z art. 14 RODO, w przypadku pozyskania danych z innego źródła niż bezpośrednio od osoby, której dotyczą, Administrator spełnia obowiązek informacyjny w rozsądnym terminie, nie dłuższym niż miesiąc.

§ 6. Odbiorcy danych

Administrator udostępnia dane osobowe następującym kategoriom odbiorców - wyłącznie w zakresie niezbędnym do realizacji celu przetwarzania i na podstawie umów powierzenia przetwarzania (art. 28 RODO) lub właściwej podstawy prawnej:

6.1. Podmioty przetwarzające (art. 28 RODO)

• dhosting.pl sp. z o.o., ul. Podwale 62, 50-010 Wrocław - hosting serwisu arlek.pl i skrzynek e-mail. Serwery w Polsce.
• LH.pl sp. z o.o., ul. Pamiątkowa 2/56, 61-512 Poznań - hosting stron Klientów (jeśli Klient wybierze tę opcję). Serwery w Polsce.
• Biuro rachunkowe - obsługa księgowa i podatkowa (dane rozliczeniowe Klientów).
• Dostawca systemu e-faktur - wystawianie i archiwizacja faktur.

6.1.bis. Partnerzy biznesowi (lead-generation)

W przypadku zapytań ofertowych składanych za pośrednictwem podstrony marketing-internetowy lub serwisu marketing-arlek.pl, których zakres przekracza zakres usług Administratora lub wymaga specjalistycznej wiedzy partnera, dane kontaktowe (imię, e-mail, telefon, opis zapytania) mogą zostać przekazane wyselekcjonowanemu partnerowi biznesowemu Administratora w celu przedstawienia oferty.

• Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda wyrażona w formularzu zapytania) lub art. 6 ust. 1 lit. f RODO (uzasadniony interes - pośrednictwo w procesie sprzedaży usług pokrewnych).
• Lista aktualnych partnerów: dostępna na żądanie pod adresem biuro@arlek.pl.
• Status partnera po przekazaniu: partner staje się niezależnym administratorem danych i przetwarza je na podstawie własnej polityki prywatności.
• Sprzeciw: Użytkownik ma prawo wnieść sprzeciw wobec takiego przekazania w dowolnym momencie - drogą e-mail.

6.2. Niezależni administratorzy (współadministracja)

• Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia - usługi Google Analytics, Google Ads, Google Fonts. Szczegóły w § 12.
• Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA - CDN i ochrona DDoS (opcjonalnie dla wybranych domen).
• Meta Platforms Ireland Limited - tylko dla Użytkowników korzystających z wtyczek społecznościowych (Facebook, Instagram).

6.3. Organy państwowe i uprawnione podmioty

Dane mogą być przekazywane organom państwowym, sądom, prokuratorze, Krajowej Administracji Skarbowej - wyłącznie na podstawie obowiązujących przepisów prawa i w zakresie z nich wynikającym (art. 6 ust. 1 lit. c RODO).

6.4. Rejestr czynności przetwarzania

Administrator, jako mikroprzedsiębiorca, korzysta z wyłączenia z obowiązku prowadzenia Rejestru Czynności Przetwarzania (art. 30 ust. 5 RODO). Niezależnie od tego prowadzi wewnętrzną dokumentację procesorów dostępną organowi nadzorczemu na żądanie.

§ 7. Transfer danych do państw trzecich

Niektórzy odbiorcy danych posiadają siedzibę lub serwery poza Europejskim Obszarem Gospodarczym (EOG) - głównie w Stanach Zjednoczonych Ameryki. Transfer danych do państw trzecich odbywa się wyłącznie na podstawie mechanizmów przewidzianych w rozdziale V RODO:

7.1. Transfer do USA - podstawa prawna

1. Decyzja adekwatności - TADPF (Trans-Atlantic Data Privacy Framework) - decyzja wykonawcza Komisji Europejskiej (UE) 2023/1795 z 10 lipca 2023 r. Transfer do podmiotów certyfikowanych w Data Privacy Framework jest w pełni legalny. Status certyfikacji: dataprivacyframework.gov.
2. Standardowe Klauzule Umowne (SCC) - decyzja wykonawcza Komisji (UE) 2021/914 z 4 czerwca 2021 r. - stosowane jako dodatkowe zabezpieczenie lub w przypadku podmiotów niecertyfikowanych w TADPF.
3. Mechanizmy legalizujące transfer - Administrator polega na decyzji adekwatności TADPF oraz Standardowych Klauzulach Umownych (SCC) jako mechanizmach legalizujących transfer, zgodnie z rozdziałem V RODO.

7.2. Lista aktualnych transferów

• Google LLC (USA) - certyfikowany w TADPF - Google Analytics, Google Ads, Google Fonts (ładowane z CDN Google).
• Cloudflare, Inc. (USA) - certyfikowany w TADPF - CDN, ochrona DDoS.
• Meta Platforms, Inc. (USA) - certyfikowana w TADPF - tylko w zakresie zintegrowanych wtyczek.

Użytkownik ma prawo otrzymać kopię zabezpieczeń stosowanych przy transferze danych - żądanie należy kierować na adres biuro@arlek.pl.

§ 8. Okres przechowywania danych

Dane osobowe są przechowywane przez okres niezbędny do realizacji celu, dla którego zostały zebrane, z uwzględnieniem obowiązków wynikających z przepisów prawa oraz okresów przedawnienia roszczeń:

• Dane z formularzy kontaktowych, na które nie wpłynęła odpowiedź / nie doszło do umowy - 12 miesięcy od ostatniej interakcji.
• Dane klientów umownych - zakres operacyjny - przez czas trwania umowy.
• Dane klientów umownych - obrona roszczeń - 3 lata po zakończeniu umowy (art. 118 k.c. - roszczenia z działalności gospodarczej) lub 6 lat dla roszczeń z tytułu odsetek (art. 118 k.c.).
• Faktury i księgi rachunkowe - 5 lat od końca roku kalendarzowego wystawienia (art. 74 ustawy o rachunkowości, art. 70 Ordynacji podatkowej).
• Logi serwera WWW (dostępowe i błędów) - 12 miesięcy.
• Cookies i identyfikatory analityczne - zgodnie z tabelą w § 11 (maks. 26 miesięcy dla GA4).
• Dane z newslettera - do momentu wycofania zgody + 30 dni na obsługę procesu usunięcia.

Po upływie okresu przechowywania dane są trwale usuwane lub nieodwracalnie anonimizowane w sposób uniemożliwiający przypisanie ich do konkretnej osoby.

§ 9. Prawa osób, których dane dotyczą

W związku z przetwarzaniem danych osobowych przysługują Ci następujące prawa wynikające z RODO:

9.1. Sposób realizacji praw

Wniosek należy złożyć na adres biuro@arlek.pl lub pisemnie na adres siedziby Administratora. Odpowiedź zostanie udzielona bez zbędnej zwłoki, nie później niż w terminie 1 miesiąca od otrzymania wniosku (art. 12 ust. 3 RODO). W przypadku skomplikowanego charakteru wniosku termin może zostać przedłużony o kolejne 2 miesiące, o czym zostaniesz poinformowany.

Realizacja praw jest bezpłatna. Administrator może pobrać rozsądną opłatę lub odmówić rozpatrzenia wniosku, jeżeli ten jest ewidentnie nieuzasadniony lub nadmierny (art. 12 ust. 5 RODO).

W celu weryfikacji tożsamości wnioskodawcy Administrator może zażądać dodatkowych informacji (art. 12 ust. 6 RODO).

§ 10. Zabezpieczenia techniczne i organizacyjne

Zgodnie z art. 32 RODO, Administrator wdrożył odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa adekwatny do ryzyka - uwzględniając stan wiedzy technicznej, koszt wdrożenia, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych:

10.1. Zabezpieczenia techniczne

• Szyfrowanie transmisji - wyłącznie HTTPS z certyfikatem SSL/TLS (minimum TLS 1.2, preferowany TLS 1.3), HSTS preload, polityki CSP.
• Uwierzytelnianie dwuskładnikowe (2FA) - dla wszystkich kont administracyjnych (WordPress, hosting, e-mail, repozytoria kodu).
• Polityka haseł - minimum 14 znaków, losowe, przechowywane w menedżerze haseł (KeePassXC/1Password).
• Kopie zapasowe - codzienne backupy szyfrowane, przechowywane z zasadą 3-2-1 (3 kopie, 2 nośniki, 1 off-site).
• Aktualizacje bezpieczeństwa - stała aktualizacja WordPressa, wtyczek, PHP oraz systemu operacyjnego serwera.
• Firewall aplikacyjny (WAF) - Cloudflare lub reguły hostingu LiteSpeed (ochrona przed SQL injection, XSS, CSRF, rate-limiting).
• Monitoring bezpieczeństwa - logowanie zdarzeń, detekcja anomalii, skanowanie plików malware.
• Separacja środowisk - oddzielne środowiska: produkcyjne, staging, deweloperskie.

10.2. Zabezpieczenia organizacyjne

• pisemne upoważnienia do przetwarzania (osoby współpracujące),
• obowiązek zachowania poufności (NDA),
• szkolenia z zakresu ochrony danych,
• zasada minimum uprawnień (least privilege),
• polityka czystego biurka i czystego ekranu,
• procedura obsługi incydentów i naruszeń (§ 22).

Administrator stosuje branżowe dobre praktyki w zakresie cyberbezpieczeństwa, inspirowane między innymi normami ISO/IEC 27001. Administrator nie jest formalnie objęty Dyrektywą NIS2 (nie spełnia progu wielkości dla podmiotów średnich i dużych, ani nie działa w sektorze krytycznym).

§ 11. Pliki cookies - informacja szczegółowa

Podstawa prawna: art. 399 ustawy z dnia 12 lipca 2024 r. Prawo komunikacji elektronicznej (Dz.U. 2024 poz. 1221), stanowiącej polską transpozycję Dyrektywy 2002/58/WE (ePrivacy Directive). Ustawa Prawo telekomunikacyjne z 2004 r. została uchylona z dniem 10 listopada 2024 r.

11.1. Podział cookies według pochodzenia

• Cookies własne (first-party) - ustawiane przez domenę arlek.pl.
• Cookies podmiotów trzecich (third-party) - ustawiane przez inne domeny (Google, Cloudflare, YouTube).

11.2. Podział cookies według celu

11.3. Mechanizm zgody - baner cookies

Przy pierwszej wizycie prezentujemy baner zgody z opcjami: "Akceptuj wszystkie", "Odrzuć wszystkie" (równoważny wizualnie) oraz "Dostosuj". Zgoda jest:

• dobrowolna, konkretna, świadoma i jednoznaczna (art. 4 pkt 11 RODO),
• wyrażona aktywnie - brak pre-zaznaczonych checkboxów (wyrok TSUE C-673/17 Planet49),
• możliwa do wycofania w dowolnym momencie z taką samą łatwością, z jaką została udzielona (art. 7 ust. 3 RODO).

11.4. Zarządzanie cookies przez Użytkownika

Niezależnie od banera, Użytkownik może samodzielnie zarządzać cookies w przeglądarce:

• Google Chrome: Ustawienia → Prywatność i bezpieczeństwo → Pliki cookie,
• Mozilla Firefox: Ustawienia → Prywatność i bezpieczeństwo → Ciasteczka,
• Safari: Preferencje → Prywatność,
• Microsoft Edge: Ustawienia → Pliki cookie i uprawnienia witryny.

Wyłączenie cookies niezbędnych może uniemożliwić prawidłowe korzystanie z serwisu.

§ 12. Google Analytics i narzędzia analityczne

Administrator wykorzystuje Google Analytics 4 (dostarczane przez Google Ireland Limited) w celu analizy ruchu na stronie i optymalizacji jej treści. Dane zbierane są wyłącznie po uzyskaniu zgody Użytkownika wyrażonej w banerze cookies.

12.1. Konfiguracja prywatności GA4

• Anonimizacja IP - GA4 domyślnie nie zapisuje pełnych adresów IP.
• Wyłączone funkcje reklamowe - o ile Użytkownik nie zaakceptował cookies marketingowych.
• Krótki okres retencji - 2 miesiące (minimum możliwe w GA4) dla danych zdarzeniowych powiązanych z ID użytkownika; dane zagregowane zachowane bezterminowo w celach raportowych.
• Consent Mode v2 - Google Tag Manager wysyła sygnały zgody zgodnie z wyborem Użytkownika; w przypadku odmowy - GA4 nie otrzymuje żadnych danych identyfikujących.

12.2. Rezygnacja z Google Analytics (opt-out)

• wtyczka przeglądarki: tools.google.com/dlpage/gaoptout,
• zmiana ustawień w banerze cookies arlek.pl (link "Ustawienia prywatności" w stopce),
• tryb incognito / prywatny przeglądarki.

Polityka prywatności Google: policies.google.com/privacy.

§ 13. Formularze kontaktowe i ofertowe

Serwis udostępnia formularze kontaktowe (Contact Form 7 oraz własne formularze PHP) służące do nawiązania pierwszego kontaktu, pobrania oferty lub wysłania zapytania.

13.1. Dane zbierane w formularzu

• pola obowiązkowe: imię, e-mail,
• pola opcjonalne: numer telefonu, nazwa firmy, temat zapytania, treść wiadomości,
• automatycznie rejestrowane: adres IP, timestamp wysłania, user agent (w celach antyspamowych i dowodowych).

13.2. Zabezpieczenia

• CAPTCHA (Google reCAPTCHA v3 lub Cloudflare Turnstile) - po uzyskaniu zgody,
• honeypot (pułapka dla botów) - niewidoczne pole formularza,
• rate-limiting - maksymalnie 3 wysyłki z jednego IP na godzinę,
• walidacja po stronie serwera (sanitizacja i escapowanie danych),
• token CSRF (WordPress nonce).

13.3. Przetwarzanie wiadomości

Wiadomości z formularzy są dostarczane na skrzynkę biuro@arlek.pl hostowaną przez dhosting.pl (Polska). Wiadomości są przechowywane w celach korespondencyjnych i dowodowych przez okres 12 miesięcy (brak umowy) lub zgodnie z § 8 (w przypadku zawarcia umowy).

§ 14. Newsletter i komunikacja marketingowa

Administrator nie prowadzi obecnie aktywnego newslettera ani nie wysyła automatycznych wiadomości marketingowych. W przypadku uruchomienia takiej usługi w przyszłości, przetwarzanie będzie zgodne z:

• art. 6 ust. 1 lit. a RODO (zgoda, możliwa do wycofania w każdej chwili),
• art. 10 ust. 2 UŚUDE (wymóg uprzedniej zgody na informację handlową drogą elektroniczną),
• art. 398 PKE (zgoda na używanie automatycznych systemów wywołujących i telekomunikacyjnych urządzeń końcowych w celach marketingu bezpośredniego),
• zasadą podwójnej weryfikacji (double opt-in) - link potwierdzający subskrypcję.

Każda wiadomość marketingowa będzie zawierać:

• oznaczenie nadawcy (Arlek.pl, NIP),
• wyraźne oznaczenie jako "Informacja handlowa",
• link do rezygnacji (jeden klik - zgodnie z wymogami Gmail/Yahoo dot. RFC 8058).

§ 15. Zautomatyzowane podejmowanie decyzji i profilowanie

Administrator nie stosuje zautomatyzowanego podejmowania decyzji, w tym profilowania, wywołującego skutki prawne wobec osób, których dane dotyczą, w rozumieniu art. 22 RODO.

Jedynym elementem zbliżonym do profilowania jest standardowa analityka ruchu (Google Analytics 4) wykorzystywana w formie zagregowanej - wyłącznie do statystyk, bez indywidualnej oceny pojedynczych Użytkowników. Nie wpływa to na ofertę cenową ani inne decyzje biznesowe wobec konkretnego Użytkownika.

§ 16. Sztuczna inteligencja - zgodność z AI Act

Rozporządzenie (UE) 2024/1689 (AI Act) stosowane jest etapowo: zakazane praktyki i przepisy ogólne od 2 lutego 2025 r., przepisy dla modeli ogólnego przeznaczenia (GPAI) od 2 sierpnia 2026 r.

16.1. Wykorzystanie AI w działalności Arlek.pl

Administrator korzysta z narzędzi opartych na sztucznej inteligencji wyłącznie jako użytkownik końcowy (wdrażający) w rozumieniu art. 3 pkt 4 AI Act, w następujących scenariuszach:

• wspomaganie tworzenia kodu (narzędzia typu Claude Code, GitHub Copilot),
• wspomaganie redakcji tekstów i copywritingu,
• analiza danych i raportowanie.

16.2. Oznaczanie treści wygenerowanych przez AI

Zgodnie z art. 50 ust. 4 AI Act (Rozp. UE 2024/1689 - przepis stosowany od 2 sierpnia 2026 r.), treści tekstowe, graficzne, audio lub video, które zostały w pełni lub w znacznym stopniu wygenerowane albo zmanipulowane przez system AI i które mogą być uznane przez odbiorcę za autentyczne, będą oznaczane przez Administratora w sposób widoczny (np. adnotacja "Treść wygenerowana z pomocą AI"). Już teraz Administrator dobrowolnie stosuje to oznaczanie.

Treści powstałe przy wsparciu AI, ale w których finalny kształt jest efektem istotnej edycji redakcyjnej przez człowieka (human-in-the-loop), nie podlegają temu obowiązkowi (motyw 134 AI Act).

16.3. Niestosowanie zakazanych praktyk AI (art. 5 AI Act)

Administrator oświadcza, że nie stosuje systemów AI zakazanych na mocy art. 5 AI Act, w szczególności:

• systemów wykorzystujących techniki podprogowe lub manipulacyjne,
• systemów wykorzystujących słabości osób ze względu na wiek, niepełnosprawność lub sytuację społeczno-ekonomiczną,
• scoringu społecznego (social scoring),
• zdalnej identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej.

§ 17. Logowanie i monitoring serwera

Serwer hostingowy automatycznie prowadzi dzienniki zdarzeń (access log, error log) zawierające: adres IP, timestamp, metodę HTTP, żądany URL, kod odpowiedzi, user agent. Celem jest:

• zapewnienie bezpieczeństwa serwisu - detekcja prób ataków, bruteforce, SQL injection,
• diagnostyka błędów i wydajności,
• wypełnienie obowiązków wynikających z art. 18 UŚUDE (obowiązek archiwizacji danych adresowych).

Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes) oraz art. 6 ust. 1 lit. c RODO (obowiązek prawny). Okres retencji: 12 miesięcy.

§ 18. Media społecznościowe

Administrator prowadzi profile w mediach społecznościowych: Facebook, Instagram, LinkedIn. Korzystanie z tych serwisów podlega politykom prywatności odpowiednich operatorów:

• Meta Platforms Ireland Ltd. (Facebook, Instagram): facebook.com/privacy/policy,
• LinkedIn Ireland Unlimited Company: linkedin.com/legal/privacy-policy.

W zakresie statystyk fanpage'a na Facebooku Administrator działa jako współadministrator z Meta (wyrok TSUE C-210/16 Wirtschaftsakademie) - porozumienie o współadministracji dostępne: facebook.com/legal/terms/page_controller_addendum.

Linki do profili społecznościowych Administratora (Facebook, Instagram, LinkedIn) są implementowane jako statyczne odnośniki HTML - przekierowują na zewnętrzne serwisy dopiero po kliknięciu przez Użytkownika. Piksele i skrypty marketingowe (np. Meta Pixel) ładują się wyłącznie po wyrażeniu przez Użytkownika zgody w banerze cookies.

§ 19. Dzieci - wiek zgody

Zgodnie z art. 8 RODO oraz art. 4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, w Polsce zgoda na przetwarzanie danych osobowych w związku z usługami społeczeństwa informacyjnego jest ważna, jeżeli udzielona została przez osobę, która ukończyła 16 lat.

Usługi Administratora są kierowane do przedsiębiorców i osób dorosłych. Serwis nie jest przeznaczony dla dzieci poniżej 16 roku życia. Jeżeli Administrator stwierdzi, że przetwarza dane osoby poniżej 16 lat bez zgody rodzica / opiekuna prawnego, dane te zostaną niezwłocznie usunięte.

§ 20. Transfer danych w ramach grupy kapitałowej

Administrator jest mikroprzedsiębiorcą w rozumieniu ustawy z dnia 6 marca 2018 r. Prawo przedsiębiorców i nie wchodzi w skład żadnej grupy kapitałowej. Dane osobowe nie są przekazywane w ramach struktury korporacyjnej - z uwagi na jej brak.

§ 21. Obowiązki administratora (DPIA)

21.1. Rejestr czynności przetwarzania

Administrator korzysta z wyłączenia mikroprzedsiębiorcy z obowiązku prowadzenia Rejestru Czynności Przetwarzania (art. 30 ust. 5 RODO). Mimo to prowadzi wewnętrzną dokumentację procesorów oraz podstaw prawnych przetwarzania - dostępną organowi nadzorczemu na żądanie.

21.2. Ocena skutków dla ochrony danych (DPIA)

Zgodnie z art. 35 RODO, Administrator przeprowadza Data Protection Impact Assessment (DPIA) wyłącznie w przypadku operacji mogących powodować wysokie ryzyko dla praw i wolności osób fizycznych. Obecne operacje przetwarzania nie mieszczą się w katalogach wskazanych w komunikacie Prezesa UODO z dnia 17 czerwca 2019 r. (DPIA obowiązkowa) - DPIA nie została wdrożona.

21.3. Polityka Privacy by Design and by Default (art. 25 RODO)

Wszystkie nowe usługi i funkcjonalności są projektowane z uwzględnieniem ochrony danych "od etapu projektowania" oraz "domyślnie" - m.in. minimalizacja danych, pseudonimizacja, wyłączone domyślnie trackery, krótkie okresy retencji.

§ 22. Naruszenie ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych, Administrator działa zgodnie z art. 33 i art. 34 RODO:

1. Zgłoszenie do organu nadzorczego - bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw lub wolności osób fizycznych.
2. Zawiadomienie osób, których dane dotyczą - jeżeli naruszenie może powodować wysokie ryzyko dla praw lub wolności - bez zbędnej zwłoki, językiem prostym i zrozumiałym.
3. Dokumentacja - prowadzenie wewnętrznego rejestru naruszeń (okoliczności, skutki, podjęte działania).

Zgłoszenia naruszeń od Użytkowników prosimy kierować na adres: biuro@arlek.pl z tytułem "Zgłoszenie naruszenia ochrony danych".

§ 23. Klauzula informacyjna art. 13 RODO (skondensowana)

W celu spełnienia obowiązku informacyjnego z art. 13 RODO informujemy skrótowo:

1. Administrator: Paweł Józwiak ARLEK.PL, ul. Dobrego Urobku 35, 40-810 Katowice, NIP 2220901114, biuro@arlek.pl.
2. Cele i podstawy prawne: kontakt (art. 6 ust. 1 lit. b RODO), umowa (art. 6 ust. 1 lit. b RODO), obowiązki prawne (art. 6 ust. 1 lit. c), uzasadniony interes (art. 6 ust. 1 lit. f), zgoda (art. 6 ust. 1 lit. a).
3. Odbiorcy: hosting (dhosting.pl, LH.pl), księgowość, Google, Cloudflare, Meta (w zakresie wskazanym).
4. Transfer do państw trzecich: USA - na podstawie TADPF / SCC.
5. Okres przechowywania: zgodnie z tabelą w § 8.
6. Prawa: dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw, wycofanie zgody, skarga do organu nadzorczego.
7. Zautomatyzowane decyzje: brak.
8. Podanie danych: dobrowolne, w określonych przypadkach niezbędne (§ 4.1).

§ 24. Zmiany polityki prywatności

Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce, wynikających w szczególności z:

• zmian w przepisach prawa,
• zmian w zakresie świadczonych usług,
• zmian u dostawców usług (procesorów),
• wytycznych organów nadzorczych (EROD, UODO) i orzecznictwa TSUE.

O każdej zmianie poinformujemy poprzez aktualizację daty w nagłówku oraz - w przypadku zmian istotnych - informację na stronie głównej lub wiadomością e-mail (o ile posiadamy Twój adres). Aktualna wersja dokumentu jest zawsze dostępna pod adresem https://arlek.pl/polityka-prywatnosci/.

Historia wersji dokumentu dostępna na żądanie - kontakt: biuro@arlek.pl.

§ 25. Kontakt w sprawach ochrony danych

W każdej sprawie dotyczącej ochrony danych osobowych i prywatności jesteśmy do dyspozycji: