Polityka prywatności

Administratorem Twoich danych osobowych jest ML GROUP INVEST Sp. z o.o., z siedzibą przy ul. Adama Mickiewicza 83, 48-100 Głubczyce, Polska, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: 0000179753, NIP: 7481587576, REGON: 381683570 (dalej: Administrator).

Kontakt w sprawach związanych z przetwarzaniem danych osobowych: hello@prostafakturaksef.pl.

W zależności od sposobu korzystania z Usługi możemy przetwarzać:

• Dane rejestracyjne konta: adres e-mail, hasło (przechowywane jako hash bcrypt — nie znamy hasła w postaci jawnej), imię, nazwisko.
• Dane firmy: nazwa firmy, NIP, adres siedziby, kod pocztowy, miasto, kraj — wprowadzone dobrowolnie do uzupełnienia profilu i wystawienia faktury VAT.
• Dane transakcyjne: historia zamówień Planu Pro, kwoty, daty, metoda płatności (BLIK, P24, karta), status płatności, ID transakcji u operatora płatności.
• Dane techniczne: adres IP, identyfikator sesji (cookie ksef_sid), data ostatniego logowania, user agent przeglądarki — wyłącznie w celach zabezpieczeń i rate-limitów.
• Dane wynikające z używania wtyczki: licencja (klucz, data ważności, plan), aktywacje (domena WordPress, kod aktywacji, data ostatniej walidacji).
• Korespondencja: treść wiadomości e-mail wysłanych do hello@prostafakturaksef.pl oraz zgłoszenia reklamacyjne.

NIE przetwarzamy danych faktur wystawianych przez Klienta z poziomu jego instalacji WordPress. Faktury sprzedaży i kosztowe Klienta pozostają wyłącznie w jego bazie WordPress oraz w infrastrukturze Krajowego Systemu e-Faktur Ministerstwa Finansów. Treść faktur Klienta jest dodatkowo szyfrowana w bazie danych Klienta (AES-256-GCM). Administrator nie ma dostępu do treści tych faktur ani danych kontrahentów Klienta.

Niektóre dane są powierzane podmiotom przetwarzającym (procesorom), którzy świadczą na rzecz Administratora usługi techniczne. Wszystkie podmioty podpisały z Administratorem umowy powierzenia przetwarzania zgodne z art. 28 RODO.

• Hetzner Online GmbH (Niemcy) — hosting serwerów, przechowywanie baz danych i plików serwisu. Dane: wszystkie kategorie z § 2.
• Resend, Inc. (USA, mechanizm SCC) — wysyłka transakcyjnych wiadomości e-mail (powiadomienia o limicie, reset hasła, e-maile aktywacyjne). Dane: adres e-mail odbiorcy + treść wiadomości.
• Operator płatności online (PayU S.A. / Przelewy24 / Stripe — w zależności od wybranej metody) — obsługa płatności za Plan Pro. Dane: imię, nazwisko, e-mail, kwota transakcji, ID zamówienia. Operator jest odrębnym administratorem w zakresie wymaganym przepisami o usługach płatniczych.
• Cloudflare Inc. (USA, mechanizm SCC) — CDN, DDoS protection, cache strony marketingowej. Może przetwarzać adresy IP i metadane requestów.
• Biuro księgowe obsługujące ML GROUP INVEST Sp. z o.o. — wyłącznie dane konieczne do rozliczenia faktur i ksiąg rachunkowych.

Nie sprzedajemy ani nie udostępniamy Twoich danych podmiotom trzecim w celach marketingowych. Nie przekazujemy danych do krajów spoza Europejskiego Obszaru Gospodarczego inaczej niż w oparciu o standardowe klauzule umowne UE (SCC) lub mechanizmy gwarantujące odpowiedni poziom ochrony.

W związku z przetwarzaniem danych przysługują Ci następujące prawa:

• Prawo dostępu — uzyskanie informacji jakie dane przetwarzamy, w jakim celu i przez jaki okres.
• Prawo do sprostowania — żądanie poprawy nieaktualnych lub błędnych danych.
• Prawo do usunięcia („prawo do bycia zapomnianym") — żądanie usunięcia danych, z wyjątkiem przypadków objętych obowiązkiem prawnym (np. faktury VAT — przechowywane przez 5 lat).
• Prawo do ograniczenia przetwarzania — w sytuacjach określonych w art. 18 RODO.
• Prawo do przenoszenia danych — otrzymanie danych w ustrukturyzowanym, powszechnie używanym formacie (JSON).
• Prawo sprzeciwu — wobec przetwarzania opartego na art. 6 ust. 1 lit. f (uzasadniony interes).
• Prawo wycofania zgody — w każdej chwili, jeśli przetwarzanie odbywa się na podstawie zgody (art. 6 ust. 1 lit. a) — bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem.
• Prawo do skargi — do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (uodo.gov.pl).

Aby skorzystać z któregokolwiek z praw, napisz na hello@prostafakturaksef.pl — odpowiadamy w terminie do 30 dni od otrzymania zgłoszenia.

Serwis używa plików cookies w minimalnym, koniecznym zakresie. Nie używamy cookies trzecich w celach marketingowych ani profilowania reklam.

Cookies niezbędne (bez zgody)

• ksef_sid — identyfikator sesji po zalogowaniu. Typ: HttpOnly, Secure, SameSite=None. Okres: 30 dni od ostatniej aktywności. Cel: utrzymanie zalogowania w panelu klienta / admina.
• ksef_imp_admin — backup sesji administratora podczas podglądu konta klienta (impersonacja). Okres: do 30 dni. Tylko jeśli admin wszedł w tryb podglądu.

Funkcjonalne

• Lokalna pamięć przeglądarki (localStorage) — preferencje UI (np. aktywna zakładka filtrowania). Nie zawiera danych osobowych.

Możesz w każdej chwili usunąć cookies w ustawieniach przeglądarki, ale może to uniemożliwić korzystanie z konta (wymagane ponowne logowanie).

• Połączenie z serwerem wyłącznie HTTPS (TLS 1.2+).
• Hasła użytkowników przechowywane jako hash bcrypt (cost ≥ 10).
• Tokeny KSeF i klucze prywatne certyfikatów XAdES — szyfrowane AES-256-GCM z kluczem opartym o AUTH_KEY WordPressa.
• Treść faktur w bazie po stronie klienta (payload JSON, XML) — szyfrowane AES-256-GCM.
• Cache plików PDF zabezpieczony przed bezpośrednim dostępem URL (Deny from all + losowy hash w nazwie pliku).
• Sesje administratora i klienta — odrębne tabele, regularne unieważnianie wygasłych tokenów.
• Rate-limit prób logowania (8 na 15 minut per e-mail, 10 na 10 minut per IP) i rejestracji.
• Cykliczna walidacja licencji + emergency disable na wypadek wykrycia nadużyć.

Administrator nie podejmuje wobec Ciebie zautomatyzowanych decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na Ciebie, w rozumieniu art. 22 RODO. Limity Planu Darmowego (5 faktur / miesiąc) wynikają z umowy i nie są profilowaniem.

Administrator może aktualizować niniejszą Politykę. O istotnych zmianach informujemy pocztą elektroniczną na adres e-mail przypisany do konta z co najmniej 14-dniowym wyprzedzeniem. Bieżąca wersja jest zawsze dostępna pod adresem https://prostafakturaksef.pl/polityka-prywatnosci.

Polityka wchodzi w życie z dniem 24 maja 2026.