revievv

Polityka Prywatności

revievv.io

Data obowiązywania: 10.03.2026

Wersja: 2.1

§1. Administrator Danych Osobowych

Administratorem danych osobowych jest: Tomstack Tomasz Turek z siedzibą pod adresem: ul. Szkolna 2K, 42-512 Preczów, NIP: 6010041104

Kontakt: [email protected]

§2. Jakie dane zbieramy

2.1 Dane konta użytkownika

  • Adres email (obowiązkowy przy rejestracji)
  • Hasło (przechowywane wyłącznie w formie skrótu bcrypt)
  • Nazwa użytkownika / wyświetlana nazwa
  • Dane organizacji (nazwa, rola w organizacji)

2.2 Dane generowane w toku korzystania z usługi

  • Pliki wgrywane przez użytkownika (modele STEP, dokumenty PDF, obrazy)
  • Komentarze, piny i wątki dyskusji w ramach Review
  • Metadane Review (tytuł, opis, ustawienia dostępu, data wygaśnięcia)
  • Logi aktywności (daty logowania, adresy IP, rodzaj przeglądarki i systemu operacyjnego)

2.3 Dane osób zaproszonych do Review (Recenzentów)

Osoby korzystające z linku do Review bez posiadania konta nie podają nam swoich danych osobowych, chyba że podadzą imię/nick w komentarzu lub zostały zaproszone email. W przypadku zaproszenia email zbieramy wyłącznie adres email Recenzenta.

2.4 Dane techniczne i cookies

  • Cookies sesyjne (niezbędne) — wyłącznie w app.revievv.io (uwierzytelnienie, sesja)
  • Cookies analityczne DataFast (wymagają zgody) — wyłącznie na revievv.io (strona marketingowa)
  • Logi zgód cookie: zarządzane przez Cookiebot (Cybot A/S, Dania) — wyłącznie na revievv.io

2.5 Informacja o braku monitorowania treści

Usługodawca nie monitoruje, nie skanuje, nie analizuje ani nie ocenia zawartości plików wgrywanych przez użytkowników do Serwisu. Pliki są przechowywane, konwertowane i udostępniane wyłącznie na polecenie użytkownika w celu świadczenia usługi.

§3. Podstawy prawne i cele przetwarzania

  • Wykonanie umowy (art. 6 ust. 1 lit. b RODO) — obsługa konta, świadczenie usługi, płatności
  • Uzasadniony interes (art. 6 ust. 1 lit. f RODO) — bezpieczeństwo, logi, wykrywanie nadużyć, marketing do klientów
  • Zgoda (art. 6 ust. 1 lit. a RODO) — marketing do nie-klientów; cookies analityczne
  • Obowiązek prawny (art. 6 ust. 1 lit. c RODO) — przepisy podatkowe, rachunkowe

§4. Podmioty przetwarzające dane (Podprzetwarzający)

W celu świadczenia usługi powierzamy dane następującym podmiotom:

  • Hetzner Online GmbH – VPS (Helsinki, Finlandia, UE)
  • Cloudflare, Inc. – Cloudflare R2 (Europa), CDN/WAF. Certyfikacja DPF + SCC
  • Resend, Inc. – email transakcyjne; USA. Certyfikacja DPF + SCC
  • Stripe, LLC (dawniej Stripe, Inc.) – płatności; USA. Certyfikacja DPF + SCC. EMEA: Stripe Payments Europe, Limited (SPEL), Irlandia
  • DataFast (JustShipIt Pte. Ltd.) – analityka; Singapur. SCC. Wymaga zgody cookie
  • Cybot A/S (Cookiebot) – zarządzanie zgodami cookie; Dania (EOG)

Każdy podmiot przetwarza dane wyłącznie na nasze polecenie i zgodnie z umową powierzenia.

§5. Transfer danych poza EOG

Serwer aplikacji (VPS) — Finlandia (UE), brak transferu.

Cloudflare, Stripe, Resend (USA) — certyfikacja EU-U.S. Data Privacy Framework (DPF) + SCC jako dodatkowe zabezpieczenie.

DataFast / JustShipIt Pte. Ltd. (Singapur) — brak pełnej decyzji o adekwatności. Transfer zabezpieczony SCC.

Cookiebot / Cybot A/S — EOG, brak transferu.

Uwaga: Decyzja DPF (2023/1795) obowiązuje na dzień publikacji. Potwierdzona wyrokiem Sądu UE (T-553/23, Latombe). Odwołanie do TSUE (C-703/25 P) nie zawiesza obowiązywania.

§6. Okres przechowywania danych

  • Dane konta: przez czas trwania konta + max. 5 lat dla danych księgowych
  • Pliki wgrane do Review: usuwane niezwłocznie po usunięciu Review lub konta
  • Logi systemowe: 90 dni
  • Kopie zapasowe: automatycznie rotowane i usuwane po 30 dniach. Służą wyłącznie do odtworzenia całości systemu w przypadku awarii; nie są wykorzystywane do odtwarzania pojedynczych rekordów. Po usunięciu konta/Review dane mogą być obecne w backupach do 30 dni.
  • Dane analityczne (DataFast): 3–5 lat; dane marketingowe: do cofnięcia zgody

§7. Prawa osoby, której dane dotyczą

Przysługują Ci następujące prawa:

  • Prawo dostępu do danych (art. 15 RODO)
  • Prawo do sprostowania danych (art. 16 RODO)
  • Prawo do usunięcia danych (art. 17 RODO)
  • Prawo do ograniczenia przetwarzania (art. 18 RODO)
  • Prawo do przenoszenia danych (art. 20 RODO)
  • Prawo do sprzeciwu (art. 21 RODO)
  • Prawo do cofnięcia zgody w dowolnym momencie

Wnioski: [email protected]

Prawo skargi: Prezes UODO, ul. Stanisława Moniuszki 1A, 00-014 Warszawa.

§8. Pliki cookies

8.1 Cookies niezbędne

Cookies sesyjne do uwierzytelnienia i sesji. Nie wymagają zgody (art. 399 ust. 3 PKE — konieczne do świadczenia usługi żądanej przez użytkownika).

8.2 Cookies analityczne — DataFast (tylko revievv.io)

Narzędzie DataFast działa wyłącznie na stronie marketingowej revievv.io. Cookies analityczne:

  • Aktywowane wyłącznie po zgodzie (baner Cookiebot);
  • Zbierają zanonimizowane dane o ruchu i konwersjach;
  • Powiązane z danymi o przychodach z Stripe (atrybucja);
  • Nie służą do profilowania ani reklamy behawioralnej;
  • Nie śledzą aktywności w app.revievv.io.

Podstawa prawna: art. 399 ust. 1–2 PKE w zw. z art. 400 PKE (odesłanie do standardów RODO — art. 6 ust. 1 lit. a RODO).

Zmiana preferencji: 'Ustawienia cookies' w stopce strony.

8.3 Zarządzanie zgodami — Cookiebot

Baner cookie: Cookiebot (Cybot A/S, Kopenhaga, Dania). Logi zgody przechowywane w EOG.

§9. Bezpieczeństwo danych

  • Komunikacja wyłącznie przez HTTPS/TLS
  • Pliki na Cloudflare R2 z szyfrowaniem po stronie serwera
  • Hasła hashowane bcrypt
  • Izolacja danych między organizacjami
  • Weryfikacja sesji i uprawnień przy każdym żądaniu API
  • Serwer VPS w Finlandii (UE), zarządzany przez Hetzner
  • Brak automatycznego skanowania zawartości plików — przetwarzanie wyłącznie techniczne

§10. Zmiany Polityki Prywatności

O istotnych zmianach poinformujemy drogą mailową lub komunikatem w aplikacji z wyprzedzeniem co najmniej 14 dni.

§11. Kontakt