Niniejsza polityka opisuje, jakie dane osobowe gromadzimy w serwisie MedFiszki.pl, w jakim celu, na jakiej podstawie prawnej oraz jakie prawa Ci przysługują. Dokument jest zgodny z RODO (rozporządzenie 2016/679) oraz ustawą o świadczeniu usług drogą elektroniczną.
1. Administrator danych
Administratorem Twoich danych osobowych jest Dominik Wilk, prowadząc(y/a) działalność nierejestrowaną w rozumieniu art. 5 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców, pod marką „MedFiszki", w domenie medfiszki.pl.
Kontakt w sprawach związanych z danymi osobowymi: kontakt@medfiszki.pl.
Działalność nierejestrowana nie wymaga wpisu do CEIDG, ale podlega tym samym obowiązkom co przedsiębiorca w zakresie ochrony danych osobowych konsumentów. Po przekroczeniu limitów ustawowych administrator zostanie zarejestrowany w CEIDG, a niniejsza polityka zaktualizowana.
2. Jakie dane zbieramy i w jakim celu
Przetwarzamy wyłącznie dane, które samodzielnie podasz nam podczas korzystania z serwisu lub które są niezbędne do jego prawidłowego działania.
2.1. Założenie i obsługa konta
- imię – do personalizacji panelu i komunikacji;
- adres e-mail – jako identyfikator logowania, do wysyłki maila weryfikacyjnego i resetu hasła;
- hasło – przechowywane wyłącznie w postaci skrótu (hash), nigdy w postaci jawnej.
Podstawa prawna: art. 6 ust. 1 lit. b RODO (niezbędność do wykonania umowy o świadczenie usługi konta).
2.2. Logowanie przez Google
Jeżeli wybierzesz logowanie przez Google, otrzymujemy od Google Twój adres e-mail oraz imię i (opcjonalnie) zdjęcie profilowe. Nie mamy dostępu do Twojego hasła Google. Przekazanie tych danych odbywa się na podstawie odrębnej zgody udzielonej przez Ciebie Google w trakcie logowania.
Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy) oraz art. 6 ust. 1 lit. a RODO (zgoda udzielona przez Ciebie w oknie logowania Google).
2.3. Zakup fiszek
- imię i nazwisko – do oznaczenia zamówienia i ewentualnej obsługi reklamacji;
- adres e-mail – na który wysyłamy potwierdzenie zakupu i dostęp do zakupionych treści;
- dane o zakupionych pozycjach i kwocie;
- identyfikator płatności Stripe – numer sesji płatności umożliwiający powiązanie zamówienia z wpłatą.
Nie mamy dostępu do danych Twojej karty płatniczej – cała płatność odbywa się po stronie Stripe (patrz pkt 4).
Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy sprzedaży) oraz art. 6 ust. 1 lit. c RODO (obowiązki podatkowe i rachunkowe, o ile dotyczą).
2.4. Reklamacje i kontakt
Jeżeli skontaktujesz się z nami przez formularz lub e-mail, przetwarzamy treść Twojej wiadomości oraz adres e-mail, z którego została wysłana, w celu udzielenia odpowiedzi.
Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes – obsługa zapytań).
2.5. Logi serwera
Serwer hostujący stronę (Vercel) automatycznie rejestruje techniczne informacje o żądaniach: adres IP, datę i czas, ścieżkę URL, kod odpowiedzi, identyfikator przeglądarki (User-Agent). Logi służą wyłącznie diagnostyce i bezpieczeństwu.
Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes – zapewnienie bezpieczeństwa i ciągłości działania serwisu).
3. Cookies i podobne technologie
Używamy wyłącznie cookies i pamięci lokalnej (localStorage) niezbędnych do działania serwisu: sesji logowania, koszyka oraz zapamiętania motywu jasny/ciemny i wyboru w bannerze cookies.
Nie korzystamy z analityki, pikseli reklamowych ani cookies marketingowych. Szczegółowy wykaz znajdziesz w Polityce cookies.
4. Komu przekazujemy dane (procesorzy)
Powierzamy przetwarzanie danych zaufanym podmiotom, które świadczą nam usługi techniczne. Każdy z nich gwarantuje odpowiedni poziom ochrony zgodny z RODO.
- Vercel Inc. (USA) – hosting frontendu, logi serwera. Przekazanie poza EOG odbywa się w oparciu o standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską.
- Railway Corp. (USA / region docelowy) – hosting bazy danych (konta, zamówienia, hashe haseł). Również SCC.
- Cloudflare, Inc. (USA / globalna sieć) – usługa R2 do przechowywania plików z fiszkami (.apkg). SCC.
- Resend, Inc. (USA) – wysyłka maili transakcyjnych (potwierdzenia, weryfikacja, reset hasła). SCC.
- Stripe Payments Europe Ltd. (Irlandia, EOG) – obsługa płatności kartowych, BLIK, Apple Pay, Google Pay, Link. Stripe pełni rolę odrębnego administratora w zakresie danych płatniczych.
- Google Ireland Ltd. (Irlandia, EOG) – wyłącznie w przypadku logowania przez Google. Google pełni rolę odrębnego administratora.
Nie sprzedajemy ani nie udostępniamy Twoich danych żadnym innym podmiotom w celach marketingowych.
5. Jak długo przechowujemy dane
- Konto użytkownika – do czasu jego usunięcia przez Ciebie lub przez nas po długim okresie nieaktywności (z wyprzedzeniem informacyjnym na e-mail).
- Dane zamówień – przez okres wynikający z przepisów podatkowych i przedawnienia roszczeń (do 6 lat), nawet jeżeli usuniesz konto.
- Korespondencja – do 12 miesięcy od zamknięcia sprawy.
- Logi serwera – maksymalnie 90 dni.
6. Twoje prawa
W zakresie przetwarzania Twoich danych przysługują Ci prawa:
- dostępu do danych (art. 15 RODO);
- sprostowania (art. 16);
- usunięcia – „prawo do bycia zapomnianym" (art. 17);
- ograniczenia przetwarzania (art. 18);
- przenoszenia danych (art. 20);
- sprzeciwu wobec przetwarzania (art. 21);
- cofnięcia zgody w dowolnym momencie, jeśli przetwarzanie odbywa się na podstawie zgody;
- wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl), jeżeli uważasz, że przetwarzamy dane niezgodnie z prawem.
Aby skorzystać z powyższych praw, napisz na kontakt@medfiszki.pl. Odpowiemy w terminie do 30 dni.
7. Profilowanie i decyzje zautomatyzowane
Nie podejmujemy wobec Ciebie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), które wywołują wobec Ciebie skutki prawne lub w podobny sposób istotnie na Ciebie wpływają.
8. Bezpieczeństwo
Stosujemy środki techniczne i organizacyjne zapewniające ochronę Twoich danych: szyfrowanie połączenia (HTTPS/TLS), haszowanie haseł, ograniczony dostęp do bazy, regularne aktualizacje zależności. Pomimo tego żaden system nie jest w 100% odporny – jeżeli podejrzewasz naruszenie, niezwłocznie nas powiadom.
9. Zmiany polityki
Możemy aktualizować niniejszą politykę, aby odzwierciedlała zmiany w usłudze lub przepisach. O istotnych zmianach poinformujemy Cię e-mailem lub komunikatem w serwisie. Data ostatniej aktualizacji znajduje się na początku dokumentu.