Plenti Enterprise

Polityka Prywatności Plenti Enterprise

Wersja 1.0, obowiązuje od 11.05.2026

Polityka prywatności Plenti Enterprise

Wersja 1.0 - obowiązuje od 1 maja 2026 r.

1. Administrator danych osobowych

Administratorem danych osobowych jest Plenti S.A. z siedzibą w Warszawie, ul. Wilcza 33, 00-544 Warszawa, NIP: [DO UZUPEŁNIENIA], KRS: [DO UZUPEŁNIENIA], REGON: [DO UZUPEŁNIENIA] (dalej: "Administrator" lub "Plenti").

Kontakt w sprawach ochrony danych osobowych: kontakt@plenti.app.

2. Zakres i cele przetwarzania danych

2.1. Dane konta Użytkownika

- Zakres: adres e-mail, imię, nazwisko, awatar (opcjonalnie).

- Cel: utworzenie i obsługa Konta, uwierzytelnianie, komunikacja związana z Usługą.

- Podstawa prawna: art. 6 ust. 1 lit. b RODO - wykonanie umowy.

- Okres przechowywania: czas trwania Konta + 30 dni po jego usunięciu.

2.2. Hasło

- Zakres: hash hasła (algorytm argon2id). Plenti nie przechowuje haseł w formie jawnej.

- Cel: uwierzytelnianie Użytkownika.

- Podstawa prawna: art. 6 ust. 1 lit. b RODO - wykonanie umowy.

- Okres przechowywania: czas trwania Konta.

2.3. Uwierzytelnianie dwuskładnikowe (2FA)

- Zakres: metoda 2FA (TOTP lub SMS), zaszyfrowany sekret TOTP (AES-256-GCM), numer telefonu (przy metodzie SMS), zaszyfrowane kody zapasowe.

- Cel: dodatkowe zabezpieczenie Konta przed nieuprawnionym dostępem.

- Podstawa prawna: art. 6 ust. 1 lit. b RODO - wykonanie umowy, art. 6 ust. 1 lit. f RODO - uzasadniony interes Administratora (bezpieczeństwo).

- Okres przechowywania: do momentu wyłączenia 2FA lub usunięcia Konta.

2.4. Dane Organizacji

- Zakres: nazwa firmy, NIP, adres siedziby (ulica, miasto, kod pocztowy), awatar (opcjonalnie).

- Cel: identyfikacja Klienta, świadczenie Usługi, wystawianie dokumentów rozliczeniowych.

- Podstawa prawna: art. 6 ust. 1 lit. b RODO - wykonanie umowy, art. 6 ust. 1 lit. c RODO - obowiązek prawny (przepisy podatkowe).

- Okres przechowywania: czas trwania Umowy + okres wymagany przepisami podatkowymi (5 lat).

2.5. Dane sesji

- Zakres: identyfikator sesji (przechowywany jako hash), identyfikator aktywnego członkostwa, znacznik czasu weryfikacji 2FA, data wygaśnięcia sesji.

- Cel: utrzymanie sesji zalogowanego Użytkownika, zarządzanie dostępem.

- Podstawa prawna: art. 6 ust. 1 lit. b RODO - wykonanie umowy.

- Okres przechowywania: 30 dni od ostatniej aktywności lub do wylogowania.

2.6. Logi audytu

- Zakres: typ wykonanej akcji, identyfikator aktora (Użytkownika), typ i identyfikator obiektu, metadane zdarzenia, data i czas.

- Cel: zapewnienie bezpieczeństwa, rozliczalności i możliwości audytu działań w Organizacji.

- Podstawa prawna: art. 6 ust. 1 lit. f RODO - uzasadniony interes Administratora (bezpieczeństwo, rozliczalność).

- Okres przechowywania: Plan Starter - 30 dni, Plany Growth i Enterprise - czas trwania Umowy.

2.7. Dane sprzętowe i serwisowe

- Zakres: informacje o aktywach sprzętowych (nazwa, numer seryjny, kategoria, status), przypisania sprzętu do pracowników, zgłoszenia serwisowe (tytuł, opis, status, komentarze, załączniki - max 5 plików po 5 MB w formatach JPG, PNG, WebP, PDF), dokumentacja sprzętowa (treść markdown, zdjęcia).

- Cel: zarządzanie flotą sprzętową, obsługa zgłoszeń serwisowych.

- Podstawa prawna: art. 6 ust. 1 lit. b RODO - wykonanie umowy.

- Okres przechowywania: czas trwania subskrypcji Organizacji + 30 dni.

2.8. Oferty i zapytania

- Zakres: treść ofert, pozycje z cenami, dokumenty PDF, dane kontaktowe odbiorców ofert, warunki akceptacji.

- Cel: obsługa procesu ofertowego, generowanie dokumentów, archiwizacja.

- Podstawa prawna: art. 6 ust. 1 lit. b RODO - wykonanie umowy.

- Okres przechowywania: czas trwania subskrypcji Organizacji + 30 dni.

2.9. Dane rozliczeniowe

- Zakres: aktywny Plan, liczba pracowników, subskrypcje sprzętowe, dzień rozliczenia (1-28), daty aktywacji i anulowania.

- Cel: naliczanie opłat, obsługa rozliczeń.

- Podstawa prawna: art. 6 ust. 1 lit. b RODO - wykonanie umowy, art. 6 ust. 1 lit. c RODO - obowiązek prawny (przepisy podatkowe i rachunkowe).

- Okres przechowywania: czas trwania Umowy + 5 lat (obowiązek przechowywania dokumentacji podatkowej).

2.10. Zaproszenia i tokeny e-mail

- Zakres: adres e-mail zapraszanej osoby, rola w Organizacji, hash tokenu, data wygaśnięcia.

- Cel: realizacja procesu zapraszania Użytkowników, weryfikacja adresu e-mail, resetowanie hasła.

- Podstawa prawna: art. 6 ust. 1 lit. b RODO - wykonanie umowy.

- Okres przechowywania: do momentu wykorzystania lub wygaśnięcia tokenu + 30 dni.

2.11. Powiadomienia

- Zakres: typ zdarzenia, tytuł i treść powiadomienia, status doręczenia e-mail, preferencje powiadomień (na poziomie Organizacji i Użytkownika).

- Cel: informowanie Użytkowników o istotnych zdarzeniach, obsługa komunikacji operacyjnej.

- Podstawa prawna: art. 6 ust. 1 lit. b RODO - wykonanie umowy.

- Okres przechowywania: czas trwania Konta.

3. Pliki cookie

Platforma wykorzystuje wyłącznie niezbędne pliki cookie techniczne:

- __ent_session - cookie sesji uwierzytelniającej. Atrybuty: httpOnly, secure, sameSite=lax. Czas życia: 30 dni. Cel: utrzymanie sesji zalogowanego Użytkownika.

- __ent_2fa_pending - cookie tymczasowy w procesie weryfikacji 2FA. Atrybuty: httpOnly, secure, sameSite=lax. Czas życia: 10 minut. Cel: obsługa procesu uwierzytelniania dwuskładnikowego.

Platforma nie stosuje plików cookie analitycznych, reklamowych ani śledzących. Zgoda na pliki cookie nie jest wymagana, ponieważ wykorzystywane są wyłącznie cookie niezbędne do świadczenia Usługi (zgodnie z art. 173 ust. 3 ustawy Prawo telekomunikacyjne).

4. Odbiorcy danych

Dane osobowe mogą być udostępniane następującym kategoriom odbiorców (podmiotom przetwarzającym):

- Dostawca hostingu - Hetzner Online GmbH (Niemcy/Finlandia, UE). Cel: hosting aplikacji, przechowywanie plików i kopii zapasowych. Serwery zlokalizowane na terenie Unii Europejskiej.

- Dostawca poczty e-mail - SendGrid (Twilio Inc., USA). Cel: wysyłka wiadomości transakcyjnych (potwierdzenia rejestracji, resetowanie hasła, zaproszenia, powiadomienia). Transfer danych do USA na podstawie standardowych klauzul umownych (SCC).

- Dostawca SMS - Apifonica B.V. (Holandia, UE). Cel: dostarczanie kodów SMS w ramach uwierzytelniania dwuskładnikowego. Udostępniany zakres: numer telefonu, treść SMS.

Administrator nie sprzedaje danych osobowych podmiotom trzecim i nie udostępnia ich w celach marketingowych.

## 5. Przekazywanie danych poza UE/EOG

Dane osobowe są przechowywane i przetwarzane na serwerach zlokalizowanych na terenie Unii Europejskiej (Hetzner - Niemcy/Finlandia).

W związku z korzystaniem z usługi SendGrid (Twilio Inc., USA) do wysyłki e-maili transakcyjnych, dane osobowe (adres e-mail) mogą być przekazywane do Stanów Zjednoczonych. Transfer odbywa się na podstawie standardowych klauzul umownych (SCC) zgodnie z art. 46 ust. 2 lit. c RODO.

6. Prawa osób, których dane dotyczą

Na podstawie RODO przysługują Państwu następujące prawa:

- Prawo dostępu (art. 15 RODO) - uzyskanie informacji o przetwarzanych danych i kopii danych.

- Prawo do sprostowania (art. 16 RODO) - żądanie poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych. Dane konta i Organizacji można edytować bezpośrednio w ustawieniach Platformy.

- Prawo do usunięcia (art. 17 RODO) - żądanie usunięcia danych, gdy przetwarzanie nie jest już niezbędne do celu, w którym zostały zebrane, lub gdy dane są przetwarzane niezgodnie z prawem. Prawo to nie przysługuje w zakresie, w jakim przetwarzanie jest niezbędne do wywiązania się z obowiązku prawnego.

- Prawo do ograniczenia przetwarzania (art. 18 RODO) - żądanie ograniczenia przetwarzania w przypadkach określonych w RODO.

- Prawo do przenoszenia danych (art. 20 RODO) - otrzymanie danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.

- Prawo do sprzeciwu (art. 21 RODO) - wniesienie sprzeciwu wobec przetwarzania danych opartego na uzasadnionym interesie Administratora (art. 6 ust. 1 lit. f RODO).

- Prawo do wniesienia skargi (art. 77 RODO) - złożenie skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl.

Aby skorzystać z powyższych praw, należy skontaktować się z Administratorem na adres: kontakt@plenti.app. Administrator rozpatrzy wniosek w terminie 30 dni od jego otrzymania.

7. Zabezpieczenia techniczne i organizacyjne

Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych, w szczególności:

- Hasła - przechowywane wyłącznie jako hash algorytmu argon2id (pamięć: 19456 KiB, iteracje: 2). Hasła nigdy nie są logowane ani przechowywane w formie jawnej.

- Sekrety 2FA - szyfrowane algorytmem AES-256-GCM. W bazie danych przechowywany jest wyłącznie zaszyfrowany tekst.

- Tokeny sesji i e-mail - w bazie danych przechowywany jest wyłącznie hash SHA-256 tokenu. Forma jawna istnieje tylko w pliku cookie (sesja) lub linku e-mail (token jednorazowy).

- Szyfrowanie transmisji - cała komunikacja odbywa się przez protokół HTTPS z wymuszeniem HSTS.

- Nagłówki bezpieczeństwa - Content-Security-Policy (CSP), X-Frame-Options: DENY, Referrer-Policy: strict-origin-when-cross-origin, Permissions-Policy ograniczający dostęp do kamera/mikrofon/geolokalizacja.

- Izolacja danych - architektura multi-tenant z izolacją danych na poziomie organizacji. Każde zapytanie do bazy danych jest automatycznie filtrowane po identyfikatorze organizacji.

- Blokada konta - automatyczna blokada po wielokrotnych nieudanych próbach uwierzytelniania 2FA.

- Kopie zapasowe - regularne, zaszyfrowane kopie zapasowe przechowywane w obrębie UE.

- Logowanie zdarzeń - wszystkie istotne działania są rejestrowane w logu audytu.

8. Przetwarzanie danych pracowników Klienta

1. W zakresie danych osobowych pracowników Klienta (członków Organizacji) wprowadzonych na Platformę przez Administratora Organizacji, Plenti działa jako Podmiot przetwarzający w rozumieniu art. 28 RODO, a Klient jest Administratorem tych danych.

2. Plenti przetwarza dane pracowników Klienta wyłącznie w celu świadczenia Usługi i na udokumentowane polecenie Klienta.

3. Szczegółowe warunki powierzenia przetwarzania danych określa Umowa powierzenia przetwarzania danych (DPA), dostępna na żądanie dla Klientów korzystających z Planów Growth i Enterprise.

4. Plenti zobowiązuje się do:

  • przetwarzania danych wyłącznie zgodnie z udokumentowanymi instrukcjami Klienta,

  • zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności,

  • wdrożenia odpowiednich środków technicznych i organizacyjnych (opisanych w punkcie 7),

  • wspomagania Klienta w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą,

  • usunięcia lub zwrotu danych po zakończeniu Umowy (zgodnie z postanowieniami Regulaminu dotyczącymi rozwiązania umowy).

9. Profilowanie i zautomatyzowane podejmowanie decyzji

Platforma nie stosuje profilowania ani zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO, które wywołałoby skutki prawne wobec Użytkowników lub w podobny sposób istotnie na nich wpływało.

10. Zmiany Polityki prywatności

1. Administrator zastrzega sobie prawo do zmiany niniejszej Polityki prywatności.

2. O każdej zmianie Użytkownicy zostaną powiadomieni co najmniej 14 dni przed wejściem w życie nowej wersji, drogą e-mailową oraz poprzez powiadomienie na Platformie.

3. Aktualna wersja Polityki prywatności jest zawsze dostępna na Platformie pod adresem /polityka-prywatnosci.

4. Korzystanie z Platformy po wejściu w życie zmian oznacza akceptację nowej wersji Polityki prywatności.

11. Kontakt

W sprawach związanych z ochroną danych osobowych prosimy o kontakt:

- E-mail: kontakt@plenti.app

- Adres korespondencyjny: Plenti S.A., ul. Wilcza 33, 00-544 Warszawa

Organ nadzorczy: Prezes Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl.