Polityka prywatności — QA10 sp. z o.o.

Niniejsza Polityka prywatności określa zasady przetwarzania danych osobowych użytkowników serwisu internetowego qa10.io przez QA10 sp. z o.o. Realizuje obowiązek informacyjny wynikający z art. 13 i art. 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. („RODO”).

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest QA10 sp. z o.o. z siedzibą w Katowicach, ul. Mariacka 37, 40-014 Katowice, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0001232199, NIP 9542906279, REGON 544435060, o kapitale zakładowym 5 000,00 zł.

Kontakt z Administratorem: hello@qa10.io, telefon +48 880 839 850.

2. Inspektor Ochrony Danych

Administrator nie wyznaczył Inspektora Ochrony Danych — przetwarzanie nie spełnia przesłanek z art. 37 ust. 1 RODO (brak przetwarzania szczególnych kategorii danych na dużą skalę, brak regularnego i systematycznego monitorowania osób). We wszystkich sprawach dotyczących przetwarzania danych osobowych właściwy jest bezpośredni kontakt z Administratorem na adres hello@qa10.io.

3. Zakres i źródła danych

Administrator przetwarza dane osobowe pozyskiwane bezpośrednio od Ciebie — gdy korzystasz z formularzy, kalkulatora, subskrybujesz newsletter lub kontaktujesz się z nami w inny sposób — oraz dane techniczne związane z dostępem do serwisu (adres IP, identyfikator sesji, dane przeglądarki).

Kategorie przetwarzanych danych obejmują w szczególności:

dane identyfikacyjne i kontaktowe: imię i nazwisko, adres e-mail, numer telefonu, nazwa firmy, stanowisko;
dane firmowe: NIP, branża (PKD), liczba pracowników, wielkość organizacji;
treść korespondencji i zapytań kierowanych do Administratora;
dane wprowadzone do kalkulatora ROI (parametry procesów biznesowych — wyłącznie po stronie urządzenia użytkownika; przesyłane do Administratora tylko po wysłaniu formularza lead);
dane techniczne: adres IP, identyfikator przeglądarki, znaczniki czasu, parametry UTM, dane sesji.

4. Cele i podstawy prawne przetwarzania

Każda operacja przetwarzania ma określoną podstawę prawną wynikającą z art. 6 ust. 1 RODO. Mapę celów, podstaw i okresów retencji przedstawia poniższa tabela.

Cel przetwarzania	Podstawa prawna	Okres retencji
Obsługa zapytania przesłanego przez formularz kontaktowy lub wiadomość e-mail.	Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora polegający na prowadzeniu korespondencji handlowej.	Do 3 lat od ostatniego kontaktu lub do wniesienia skutecznego sprzeciwu.
Zawarcie i wykonanie umowy o świadczenie usług (Audyt AiP, Engineering Lab, Finansowanie).	Art. 6 ust. 1 lit. b RODO — wykonanie umowy lub działania na żądanie przed jej zawarciem.	Przez okres obowiązywania umowy oraz do upływu terminu przedawnienia roszczeń (do 6 lat — art. 118 KC).
Wysyłka raportu PDF (lead magnet) i serii edukacyjnej Dig.IT.	Art. 6 ust. 1 lit. a RODO — zgoda osoby, której dane dotyczą.	Do wycofania zgody, nie dłużej niż 3 lata od ostatniej interakcji.
Marketing bezpośredni produktów i usług Administratora drogą elektroniczną (newsletter, materiały handlowe).	Art. 6 ust. 1 lit. a RODO oraz art. 398 ust. 1 Prawa komunikacji elektronicznej — zgoda.	Do wycofania zgody.
Realizacja obowiązków księgowych i podatkowych (faktury, ewidencja).	Art. 6 ust. 1 lit. c RODO — obowiązek prawny ciążący na Administratorze (Ordynacja podatkowa, ustawa o rachunkowości, ustawa o VAT).	5 lat licząc od końca roku kalendarzowego, w którym powstał obowiązek podatkowy.
Ustalenie, dochodzenie lub obrona przed roszczeniami.	Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora.	Do upływu terminu przedawnienia roszczeń (do 6 lat).
Zapewnienie bezpieczeństwa serwisu i ochrona przed botami (Cloudflare Turnstile).	Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora polegający na zabezpieczeniu serwisu.	24 godziny od weryfikacji (token sesji).
Analityka odwiedzin (Plausible Analytics — bez identyfikacji użytkownika).	Art. 6 ust. 1 lit. f RODO — interes Administratora; przetwarzanie nie obejmuje danych osobowych w rozumieniu art. 4 pkt 1 RODO.	Dane zagregowane bezterminowo; brak danych jednostkowych.

5. Dobrowolność podania danych

Podanie danych osobowych jest dobrowolne, jednak niezbędne do skorzystania z określonych funkcji serwisu. Brak podania danych oznaczonych jako obowiązkowe w formularzu kontaktowym lub formularzu lead uniemożliwi obsługę zapytania lub wysyłkę materiału. Podanie danych w celu zawarcia umowy stanowi warunek jej zawarcia w rozumieniu art. 13 ust. 2 lit. e RODO.

6. Odbiorcy danych — podmioty przetwarzające

Twoje dane osobowe mogą być powierzane do przetwarzania podmiotom świadczącym usługi na rzecz Administratora, na podstawie umów powierzenia przetwarzania danych zawartych zgodnie z art. 28 RODO.

Kategorie odbiorców:

Dostawca hostingu i obsługa formularzy: Vercel Inc. (USA) — środowisko uruchomieniowe aplikacji, obsługa endpointów API.
Ochrona przed botami i fallback hosting: Cloudflare, Inc. (USA) — usługa Turnstile, opcjonalnie Cloudflare Pages.
Analityka: Plausible Insights OÜ (Estonia, Unia Europejska) — narzędzie analityczne nieprzetwarzające danych osobowych.
Dostawca usług AI: Anthropic, PBC (USA) — przetwarzanie zapytań kierowanych do modeli Claude w zakresie funkcji produktowych Administratora.
Dostawca infrastruktury chmurowej: Amazon Web Services, Inc. (USA) — usługi obliczeniowe Bedrock dla agentów AI.
Obsługa wysyłki wiadomości: dostawcy usług e-mail i automatyzacji (m.in. operatorzy webhook n8n, dostawcy SMTP).
Doradcy zewnętrzni: biuro księgowe, doradcy podatkowi, kancelarie prawne — w zakresie realizacji obowiązków prawnych Administratora.
Organy publiczne: wyłącznie w zakresie i na podstawie obowiązujących przepisów (np. organy podatkowe, sądy, ZUS).

Aktualna lista podmiotów przetwarzających udostępniana jest na żądanie, kierowane na adres hello@qa10.io.

7. Przekazywanie danych poza Europejski Obszar Gospodarczy

Część odbiorców danych (Vercel, Cloudflare, Anthropic, AWS) ma siedzibę w Stanach Zjednoczonych. Przekazywanie danych do tych podmiotów odbywa się w oparciu o:

decyzję wykonawczą Komisji Europejskiej (UE) 2023/1795 z dnia 10 lipca 2023 r. stwierdzającą odpowiedni stopień ochrony danych osobowych w ramach EU–US Data Privacy Framework — w odniesieniu do dostawców certyfikowanych w ramach DPF;
standardowe klauzule umowne (SCC) przyjęte decyzją Komisji Europejskiej (UE) 2021/914 — w odniesieniu do dostawców niecertyfikowanych w ramach DPF;
dodatkowe środki techniczne i organizacyjne wynikające z analizy ryzyka transferu (Transfer Impact Assessment).

Kopię zastosowanych zabezpieczeń możesz uzyskać kierując żądanie na adres hello@qa10.io.

8. Zautomatyzowane podejmowanie decyzji i profilowanie

Administrator nie podejmuje wobec Ciebie zautomatyzowanych decyzji w rozumieniu art. 22 RODO — tj. decyzji wywołujących skutki prawne lub w podobny sposób istotnie na Ciebie wpływających, podejmowanych wyłącznie w sposób zautomatyzowany.

Kalkulator ROI dostępny pod adresem /kalkulator/ stanowi narzędzie szacunkowe oparte na metodyce Activity-Based Costing. Obliczenia odbywają się po stronie Twojej przeglądarki, a wynik ma charakter wyłącznie informacyjny — nie stanowi decyzji, oferty handlowej ani zobowiązania Administratora.

9. Twoje prawa

W związku z przetwarzaniem danych osobowych przysługują Ci następujące prawa:

prawo dostępu do treści danych oraz uzyskania ich kopii (art. 15 RODO);
prawo sprostowania danych nieprawidłowych lub uzupełnienia niekompletnych (art. 16 RODO);
prawo usunięcia danych — „prawo do bycia zapomnianym” (art. 17 RODO);
prawo ograniczenia przetwarzania (art. 18 RODO);
prawo przenoszenia danych (art. 20 RODO) — w zakresie danych przetwarzanych na podstawie zgody lub umowy w sposób zautomatyzowany;
prawo sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie Administratora, w tym sprzeciwu wobec marketingu bezpośredniego (art. 21 RODO);
prawo wycofania zgody w dowolnym momencie — bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem (art. 7 ust. 3 RODO);
prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Realizacja żądań następuje bez zbędnej zwłoki, nie później niż w terminie 30 dni od otrzymania żądania. W uzasadnionych przypadkach termin ten może zostać przedłużony o kolejne 60 dni — o czym zostaniesz poinformowany (art. 12 ust. 3 RODO). Żądania kieruj na hello@qa10.io.

10. Bezpieczeństwo danych

Administrator stosuje środki techniczne i organizacyjne odpowiednie do zidentyfikowanego ryzyka, zgodnie z art. 32 RODO. Obejmują one m.in. szyfrowanie transmisji (TLS 1.3), kontrolę dostępu opartą na zasadzie najmniejszych uprawnień, uwierzytelnianie wieloskładnikowe (MFA) dla osób upoważnionych do przetwarzania danych, rejestrowanie zdarzeń bezpieczeństwa, regularne kopie zapasowe oraz procedury zarządzania incydentami.

11. Pliki cookies i technologie podobne

Zasady stosowania plików cookies oraz technologii podobnych opisane są w odrębnym dokumencie: Polityka cookies. Serwis qa10.io nie wykorzystuje cookies śledzących ani marketingowych.

12. Zmiany Polityki prywatności

Administrator zastrzega prawo do aktualizacji niniejszej Polityki w przypadku zmiany przepisów prawa, zmiany praktyk przetwarzania danych lub zmiany zakresu świadczonych usług. O istotnych zmianach poinformujemy poprzez umieszczenie informacji na stronie serwisu, a — jeżeli to wymagane — przez bezpośredni komunikat do osób, których dane dotyczą.

13. Kontakt

We wszystkich sprawach dotyczących przetwarzania danych osobowych prosimy o kontakt:

e-mail: hello@qa10.io
telefon: +48 880 839 850
adres do korespondencji: QA10 sp. z o.o., ul. Mariacka 37, 40-014 Katowice.