Polityka prywatności

§1 Postanowienia ogólne

Niniejsza Polityka Prywatności ma charakter informacyjny – nie jest źródłem obowiązków dla Klientów Serwisu. Zawiera zasady przetwarzania danych osobowych przez Administratora, w tym podstawy, cele i zakres przetwarzania, prawa osób, których dane dotyczą, a także informacje o stosowanych plikach cookies oraz narzędziach analitycznych.

Administratorem danych osobowych zbieranych za pośrednictwem Serwisu jest MG MARCIN GŁÓD z siedzibą w Jaroszowie, 58-120 Jaroszów 4F/4, NIP 8842536076, REGON 385455452, adres poczty elektronicznej: kontakt@swiadectwo-energetyczne24.pl, telefon: 783 640 717 – zwany dalej „Administratorem".

Dane osobowe przetwarzane są zgodnie z obowiązującymi przepisami prawa, w szczególności Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: „RODO") oraz ustawą o ochronie danych osobowych.

Korzystanie z Serwisu oraz zawieranie umów jest dobrowolne. Podanie danych osobowych jest dobrowolne, z dwoma wyjątkami: (1) jeżeli jest niezbędne do zawarcia i wykonania Umowy o świadczenie Usługi – brak podania uniemożliwia zawarcie Umowy; (2) jeżeli wynika to z obowiązków ustawowych ciążących na Administratorze (np. obowiązki podatkowe i rachunkowe).

Administrator dokłada szczególnej staranności w celu ochrony praw osób, których dane dotyczą, zapewniając w szczególności, że dane są przetwarzane zgodnie z prawem, zbierane w oznaczonych i uzasadnionych celach, merytorycznie poprawne i adekwatne, przechowywane nie dłużej niż jest to niezbędne oraz zabezpieczone odpowiednimi środkami technicznymi i organizacyjnymi.

Pojęcia pisane wielką literą, niezdefiniowane w niniejszej Polityce, mają znaczenie nadane im w Regulaminie Serwisu.

§2 Cele i podstawy prawne przetwarzania

Administrator przetwarza dane osobowe w następujących celach:

• zawarcie i wykonanie Umowy o sporządzenie Świadectwo charakterystyki energetycznej, w tym kontakt z Klientem w sprawach związanych z realizacją Zamówienia – art. 6 ust. 1 lit. b RODO;
• obsługa zapytań przesłanych przez formularz kontaktowy lub pocztę elektroniczną – art. 6 ust. 1 lit. b oraz lit. f RODO (prawnie uzasadniony interes Administratora w postaci odpowiadania na korespondencję);
• realizacja obowiązków podatkowo-rachunkowych, w tym wystawianie i przechowywanie faktur VAT – art. 6 ust. 1 lit. c RODO w związku z przepisami o rachunkowości i podatku od towarów i usług;
• marketing własnych usług Administratora (np. powiadomienia o promocjach) – wyłącznie po wyrażeniu odrębnej zgody w Formularzu Zamówienia – art. 6 ust. 1 lit. a RODO;
• realizacja sygnałów zgód marketingowych / reklamowych w narzędziach Google (w tym w powiązaniu z Google Analytics 4 i trybem Consent Mode) – wyłącznie po wyborze kategorii „Marketing” w banerze lub ustawieniach cookies – art. 6 ust. 1 lit. a RODO;
• prowadzenie statystyki, analiza ruchu w Serwisie i poprawa jego funkcjonalności – w zakresie narzędzi Google Analytics 4 oraz PostHog wyłącznie po wyrażeniu zgody w ustawieniach cookies (kategoria „Analityka”) – art. 6 ust. 1 lit. a RODO; w pozostałym zakresie (np. logi serwera, dane techniczne hostingu) – art. 6 ust. 1 lit. f RODO;
• zapewnienie bezpieczeństwa Serwisu, ochrona przed nadużyciami, ustalenie, dochodzenie lub obrona roszczeń – art. 6 ust. 1 lit. f RODO.

§3 Zakres przetwarzanych danych

Z Formularza Zamówienia: imię, nazwisko, adres e-mail, numer telefonu, adres nieruchomości (ulica, numer budynku i lokalu, kod pocztowy, miasto), parametry techniczne nieruchomości (m.in. powierzchnia, wysokość, rok budowy, rodzaj ogrzewania, rodzaj wentylacji, rodzaj okien, materiały konstrukcyjne), zdjęcia oraz inne załączniki przekazane przez Klienta. W przypadku wyboru opcji wystawienia faktury – nazwa firmy, NIP oraz adres siedziby firmy.

Z Formularza Kontaktowego: imię i nazwisko, adres e-mail lub numer telefonu, treść wiadomości, informacja o stronie źródłowej oraz parametry kampanii marketingowej (UTM), jeżeli zostały przekazane przez przeglądarkę.

Logi systemowe i dane techniczne: adres IP, identyfikator i wersja przeglądarki, system operacyjny, znacznik czasu, adres strony, z której nastąpiło przejście do Serwisu, oraz zdarzenia związane z bezpieczeństwem.

§4 Okres przechowywania danych

• dane związane z zawarciem i wykonaniem Umowy – przez czas realizacji Umowy oraz okres przedawnienia roszczeń (co do zasady 3 lub 6 lat – w zależności od rodzaju roszczenia);
• dane zawarte na fakturach VAT i w dokumentacji księgowej – przez okres wymagany przepisami podatkowymi i rachunkowymi (co do zasady 5 lat licząc od końca roku kalendarzowego, w którym powstał obowiązek podatkowy);
• dane przetwarzane na podstawie zgody marketingowej – do cofnięcia zgody, nie dłużej jednak niż 3 lata od ostatniej aktywności Klienta;
• zapytania kontaktowe – przez czas niezbędny do udzielenia odpowiedzi i ewentualnego dalszego kontaktu, a następnie przez okres przedawnienia roszczeń.

§5 Odbiorcy danych

Administrator może przekazywać dane osobowe Klientów wyłącznie podmiotom, którym powierzenie przetwarzania jest niezbędne do realizacji Umowy lub obowiązków prawnych. Kategorie odbiorców obejmują:

Na dzień ostatniej aktualizacji niniejszej Polityki typowi realizatorzy techniczni i usługowi obejmują m.in.: Vercel Inc. (hosting Serwisu), Supabase (baza danych i przechowywanie plików — zwykle w regionie EOG), Resend (poczta transakcyjna), operator płatności obsługujący płatności Przelewy24 (podmiot wskazywany na bramce płatności), a także — po wyrażeniu odpowiednich zgód w ustawieniach cookies — Google (Google Analytics 4) oraz PostHog (analityka produktowa).

• Osobę uprawnioną sporządzającą Świadectwo charakterystyki energetycznej (audytora) – w zakresie niezbędnym do wykonania Usługi;
• Centralny Rejestr Charakterystyki Energetycznej Budynków prowadzony przez ministra właściwego do spraw budownictwa – w zakresie wymaganym przepisami Ustawy o charakterystyce energetycznej budynków;
• operatora płatności – Klient zostaje przekierowany do bramki płatności w celu opłacenia Zamówienia; przetwarzanie danych po stronie operatora płatności odbywa się zgodnie z jego polityką prywatności;
• dostawców infrastruktury chmurowej i hostingu zlokalizowanych w Europejskim Obszarze Gospodarczym – w celu utrzymania Serwisu, bazy danych i bezpiecznego przechowywania załączników;
• dostawcę usługi poczty transakcyjnej – w celu wysyłki potwierdzeń zamówień, faktur oraz Świadectwo;
• dostawców narzędzi analitycznych – w celach statystycznych i optymalizacji Serwisu;
• biuro rachunkowe / księgowe – wyłącznie w zakresie wykonania obowiązków księgowych i podatkowych;
• organy administracji publicznej i sądy – gdy obowiązek przekazania danych wynika z przepisów prawa.

§6 Przekazywanie danych poza EOG

Co do zasady dane osobowe Klientów są przechowywane na terenie Europejskiego Obszaru Gospodarczego. Konfiguracja Serwisu przewiduje możliwość korzystania z instancji PostHog w regionie EOG; w zakresie, w jakim Administrator korzysta z narzędzi lub regionów dostawców posiadających infrastrukturę poza EOG (np. w Stanach Zjednoczonych), dane mogą być przekazywane poza EOG na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską oraz w ramach programu EU-U.S. Data Privacy Framework lub innych mechanizmów przewidzianych przez RODO, zapewniających odpowiedni stopień ochrony.

§7 Prawa osób, których dane dotyczą

Każdej osobie, której dane dotyczą, przysługują następujące prawa:

• prawo dostępu do danych – art. 15 RODO;
• prawo do sprostowania danych – art. 16 RODO;
• prawo do usunięcia danych („prawo do bycia zapomnianym") – art. 17 RODO;
• prawo do ograniczenia przetwarzania danych – art. 18 RODO;
• prawo do przenoszenia danych – art. 20 RODO;
• prawo do wniesienia sprzeciwu wobec przetwarzania danych – art. 21 RODO;
• prawo do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego na podstawie zgody przed jej cofnięciem – art. 7 ust. 3 RODO.

W celu realizacji powyższych praw należy wysłać wiadomość e-mail na adres kontakt@swiadectwo-energetyczne24.pl. Administrator spełnia żądanie albo odmawia jego spełnienia niezwłocznie, nie później niż w ciągu miesiąca od jego otrzymania. Jeżeli – z uwagi na skomplikowany charakter żądania lub liczbę żądań – Administrator nie będzie mógł spełnić żądania w ciągu miesiąca, spełni je w ciągu kolejnych dwóch miesięcy, informując o tym uprzednio osobę zgłaszającą żądanie.

W przypadku stwierdzenia, że przetwarzanie danych osobowych narusza przepisy RODO, osobie, której dane dotyczą, przysługuje prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

§8 Pliki cookies i narzędzia analityczne

Serwis korzysta z plików cookies (tzw. „ciasteczek") – plików tekstowych przechowywanych na urządzeniu końcowym użytkownika. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania na urządzeniu oraz unikalny identyfikator. W ramach Serwisu stosowane są m.in. cookies sesyjne (usuwane po zamknięciu przeglądarki) oraz stałe (przechowywane do upływu zadanego czasu lub do ich usunięcia przez użytkownika). Wybrane ustawienia zgód na cookies mogą być zapisane w pamięci lokalnej przeglądarki (localStorage) wyłącznie na urządzeniu użytkownika.

Pliki cookies oraz powiązane skrypty wykorzystywane są w następujących celach (z podziałem zgodnym z banerem i ustawieniami cookies w Serwisie):

• Cookies i mechanizmy niezbędne – zapewniają prawidłowe działanie Serwisu, zapamiętanie preferencji cookies w obrębie urządzenia, w tym zapis w localStorage, oraz mechanizmy bezpieczeństwa panelu administracyjnego (np. cookie sesyjne typu httpOnly służące do uwierzytelnienia administratora);
• Cookies i skrypty analityczne – służą do mierzenia ruchu w Serwisie, analizy zachowań użytkowników i poprawy funkcjonalności. Po wyrażeniu zgody na kategorię „Analityka” Serwis może ładować m.in. Google Analytics 4 (podmioty z grupy Google odpowiedzialne za usługę w danym regionie, z wykorzystaniem trybu zgód Consent Mode) oraz PostHog (analityka produktowa, z możliwością konfiguracji przetwarzania w regionie EOG). Do momentu wyrażenia takiej zgody narzędzia te nie są uruchamiane w sposób zbierający dane osobowe w rozumieniu praktyki wdrożenia Serwisu. Dane są gromadzone w sposób pseudonimowy.
• Zgody marketingowe / reklamowe (Google) – po wyrażeniu zgody na kategorię „Marketing” aktualizowane są sygnały zgody w narzędziach Google (w tym w zakresie powiązanym z Google Analytics 4), co może wpływać na pomiar i personalizację reklam zgodnie z dokumentacją Google.
• Analityka hostingu (Vercel) – dostawca hostingu (Vercel Inc.) może zbierać podstawowe dane techniczne i statystyki korzystania z Serwisu (m.in. Web Analytics) zgodnie z własną polityką prywatności; zakres zależy od konfiguracji wdrożenia i jest niezależny od kategorii „Analityka” w banerze cookies dotyczących GA4 i PostHog.

Użytkownik może w każdej chwili zmienić ustawienia swojej przeglądarki, aby zablokować obsługę cookies, każdorazowo uzyskiwać informacje o ich umieszczeniu lub usunąć już zapisane pliki. Większość przeglądarek domyślnie dopuszcza zapisywanie cookies na urządzeniu końcowym. Wyłączenie cookies analitycznych nie wpływa na podstawowe funkcje Serwisu, jednak ograniczenie cookies niezbędnych może utrudnić korzystanie z niektórych jego obszarów.

Szczegółowe informacje na temat zarządzania cookies dostępne są w ustawieniach popularnych przeglądarek:

• Edge
• Chrome
• Safari
• Firefox
• Opera

Urządzenia mobilne:

• Android
• Safari (iOS)

§9 Wersje robocze formularza w przeglądarce

W celu ułatwienia wypełniania Formularza Zamówienia Serwis wykorzystuje mechanizm pamięci lokalnej przeglądarki (localStorage) do tymczasowego zapisywania niewysłanych wersji Formularza. Dane te są przechowywane wyłącznie na urządzeniu końcowym Klienta i nie są przesyłane do Administratora dopóki Formularz nie zostanie wysłany. Klient może w każdej chwili usunąć takie dane z poziomu ustawień swojej przeglądarki (czyszcząc dane witryny lub pamięć lokalną).

§10 Bezpieczeństwo danych

Administrator stosuje środki techniczne i organizacyjne adekwatne do zagrożeń oraz kategorii przetwarzanych danych, w tym:

• szyfrowanie transmisji danych za pomocą protokołu SSL/TLS;
• ograniczenie dostępu do danych wyłącznie do upoważnionych osób współpracujących z Administratorem oraz do Osób uprawnionych sporządzających Świadectwo;
• kontrolę dostępu do panelu administracyjnego za pośrednictwem tokena dostępowego oraz cookie typu httpOnly;
• regularne wykonywanie kopii bezpieczeństwa oraz aktualizację używanego oprogramowania;
• powierzanie przetwarzania danych wyłącznie podmiotom dającym gwarancję wdrożenia odpowiednich środków bezpieczeństwa.

§11 Profilowanie i decyzje zautomatyzowane

Administrator nie podejmuje wobec Klienta decyzji wywołujących skutki prawne lub w podobny sposób istotnie na niego wpływających w sposób wyłącznie zautomatyzowany w rozumieniu art. 22 RODO. Wykorzystywane narzędzia analityczne mogą zbierać dane w sposób pseudonimowy w celu prowadzenia statystyki i ulepszania Serwisu; takie czynności nie stanowią profilowania w rozumieniu art. 22 RODO.

§12 Zmiany Polityki Prywatności

Administrator zastrzega sobie prawo do zmiany Polityki Prywatności z ważnych przyczyn, w szczególności w razie zmiany obowiązujących przepisów prawa, zmiany stosowanych narzędzi lub zakresu świadczonych Usług. Aktualna wersja Polityki jest zawsze dostępna w Serwisie, a data ostatniej aktualizacji wskazana jest na początku dokumentu.

§13 Postanowienia końcowe

W sprawach nieuregulowanych w niniejszej Polityce Prywatności stosuje się odpowiednio przepisy RODO oraz inne właściwe przepisy prawa polskiego.

Wszelkie pytania, wnioski i żądania związane z przetwarzaniem danych osobowych prosimy kierować na adres e-mail: kontakt@swiadectwo-energetyczne24.pl, telefonicznie pod numerem 783 640 717 lub pisemnie na adres siedziby Administratora wskazany w §1.