Strona głównaCennik
Wiedza finansowaIntegracje i instrukcje
Logowanie

Polityka Prywatności

Serwisu i Systemu Prevacash

W tym dokumencie znajdziesz zasady przetwarzania danych osobowych oraz wykorzystywania plików cookies w związku z korzystaniem z serwisu internetowego prevacash.com oraz aplikacji Prevacash dostępnej pod adresem app.prevacash.com.

Administratorem Twoich danych osobowych jest Kamil Krzysztof, prowadzący jednoosobową działalność gospodarczą pod firmą Kamil Krzysztof ITsphere, ul. Wincentego Danka 5, 31-229 Kraków, wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), NIP: 7372200331, REGON: 384861227 (dalej: „Administrator").

W razie jakichkolwiek wątpliwości związanych z polityką prywatności, w każdej chwili możesz skontaktować się z nami, wysyłając wiadomość na adres: support@prevacash.com.

Skrócona wersja - najważniejsze informacje

Dbamy o Twoją prywatność, ale również o Twój czas. Dlatego przygotowaliśmy skróconą wersję najważniejszych zasad związanych z ochroną prywatności.

  1. Twoje dane finansowe i biznesowe (kontrahenci, faktury, pracownicy, scenariusze) są szyfrowane na Twoim urządzeniu (w przeglądarce) za pomocą algorytmu AES-256-GCM i NIGDY nie opuszczają go w formie niezaszyfrowanej. Nie mamy dostępu do Twoich odszyfrowanych danych - jest to architektura zero-knowledge.
  2. Jedyną daną osobową zbieraną przy rejestracji w aplikacji (app.prevacash.com) jest Twój adres e-mail. Nie zbieramy imienia, nazwiska, numeru telefonu ani adresu. Dane rozliczeniowe (imię, nazwisko, NIP, adres) zbieramy dopiero w momencie zakupu subskrypcji - poprzez formularz operatora płatności Stripe, a nie na naszych serwerach.
  3. Aplikacja Prevacash (app.prevacash.com) NIE korzysta z żadnych narzędzi analitycznych ani śledzących - brak Google Analytics, brak Facebook Pixel, brak cookies marketingowych, brak profilowania.
  4. Strona marketingowa (prevacash.com) korzysta z Google Analytics 4, Meta Pixel (Facebook) oraz Google Ads w celach analitycznych i reklamowych. Wszystkie te technologie są domyślnie WYŁĄCZONE i aktywowane dopiero po wyrażeniu zgody za pośrednictwem bannera CookieYes (Google Consent Mode v2).
  5. Powierzamy przetwarzanie danych osobowych tylko sprawdzonym podmiotom. Pełna lista podmiotów przetwarzających znajduje się w dalszej części dokumentu.
  6. Nie sprzedajemy Twoich danych osobowych. Nie profilujemy Cię w aplikacji. Nie podejmujemy wobec Ciebie zautomatyzowanych decyzji.

Jeżeli powyższe informacje nie są dla Ciebie wystarczające, poniżej znajdziesz dalej idące szczegóły.

1. Dane osobowe - jakie dane zbieramy

A. Rejestracja w aplikacji (app.prevacash.com)

Dane zbierane:

  • adres e-mail (obowiązkowe),
  • hasło (obowiązkowe; hashowane przez Supabase Auth - nigdy nie przechowywane w formie jawnej),
  • preferencja językowa (pl/en) - automatycznie na podstawie ustawień przeglądarki.

NIE zbieramy przy rejestracji:

  • imienia i nazwiska,
  • numeru telefonu,
  • adresu zamieszkania,
  • NIP / PESEL,
  • daty urodzenia,
  • nazwy firmy.

B. Logowanie

Dane przetwarzane:

  • adres e-mail i hasło,
  • token CAPTCHA (Cloudflare Turnstile),
  • adres IP (wyłącznie do celów ograniczania częstotliwości żądań / rate limiting - nie jest przechowywany trwale przez aplikację; przechowywany przez Upstash Redis z krótkim czasem wygaśnięcia, maksymalnie 15 minut).

C. Płatność za subskrypcję (via Stripe)

Dane zbierane w procesie płatności - w formularzu dostarczanym przez Stripe Inc., a NIE na serwerach Administratora:

  • imię i nazwisko (obowiązkowe),
  • nazwa firmy (opcjonalne),
  • NIP (opcjonalne - wymagany do wystawienia faktury VAT),
  • adres, kod pocztowy, miasto, kraj (obowiązkowe),
  • e-mail rozliczeniowy (opcjonalne),
  • dane karty płatniczej: numer karty, data ważności, CVV/CVC (obowiązkowe) - wprowadzane bezpośrednio w bezpiecznym formularzu (iframe) Stripe i NIGDY nie przechodzą przez serwery Administratora.

D. Newsletter (prevacash.com)

Dane zbierane w formularzu zapisu:

  • adres e-mail (obowiązkowe),
  • imię (opcjonalne),
  • zgoda na otrzymywanie informacji handlowych (obowiązkowe).

Dane przesyłane do MailerLite Limited (system mailingowy) za pośrednictwem API server-side.

E. Kontakt e-mailowy

W przypadku kontaktu na adres support@prevacash.com przetwarzamy:

  • adres e-mail nadawcy,
  • treść wiadomości,
  • inne dane dobrowolnie podane przez nadawcę w treści wiadomości.

F. Dane przechowywane na serwerze (Supabase - PostgreSQL, region EU Frankfurt)

Na serwerze przechowujemy wyłącznie:

  • dane konta: UUID użytkownika, adres e-mail, hash hasła (bcrypt), datę utworzenia konta, datę potwierdzenia e-maila, preferencję językową, timestampy logowania, czynniki MFA (jeśli włączone),
  • parametry szyfrowania: zaszyfrowany klucz DEK (wrapped DEK), sól, parametry KDF - serwer NIE posiada klucza do odszyfrowania DEK,
  • kody odzyskiwania MFA (hashowane),
  • dane subskrypcji: identyfikatory Stripe (Customer ID, Subscription ID), status subskrypcji, nazwa planu, daty okresów rozliczeniowych,
  • zaszyfrowane dane dostępowe do integracji (iFirma, inFakt, Fakturownia) - szyfrowane AES-256-GCM kluczem serwerowym; serwer może je odszyfrować wyłącznie w celu wykonania zapytania do API dostawcy na żądanie Użytkownika,
  • opcjonalnie: zaszyfrowane kopie dokumentów (Synchronizacja chmurowa) - serwer NIE posiada klucza deszyfrującego i NIE MOŻE odczytać tych danych (architektura zero-knowledge).

G. Dane biznesowe i finansowe (Dane lokalne)

Twoje dane biznesowe i finansowe (kontrahenci, pracownicy, faktury, transakcje cykliczne, scenariusze, ustawienia firmy, statystyki) są przechowywane i przetwarzane WYŁĄCZNIE na Twoim urządzeniu, w zaszyfrowanej lokalnej bazie danych w przeglądarce (RxDB / IndexedDB). Administrator nie ma do nich dostępu.

Nawet w przypadku włączenia opcjonalnej Synchronizacji chmurowej, na serwerze przechowywane są jedynie zaszyfrowane bloby danych, których serwer nie jest w stanie odszyfrować.

Przetwarzanie danych finansowych (projekcje cash flow, prognozowanie płatności, scenariusze „co-jeśli", alerty, statystyki) odbywa się w całości po stronie Twojego urządzenia. Serwer nie uczestniczy w tych obliczeniach.

Rozpoznawanie faktur (OCR) oraz import danych z plików Excel/CSV odbywają się w całości w przeglądarce - przesłane pliki nigdy nie opuszczają Twojego urządzenia.

2. Cele, podstawy prawne i okresy przetwarzania danych osobowych

A. Realizacja umowy o świadczenie usług

Cel: rejestracja i prowadzenie Konta, świadczenie Usług (dostęp do Systemu Prevacash), obsługa płatności i subskrypcji, wysyłka e-maili transakcyjnych (potwierdzenie rejestracji, przypomnienia o trialu, potwierdzenia płatności, zmiany subskrypcji).

Podstawa prawna: niezbędność przetwarzania do wykonania umowy (art. 6 ust. 1 lit. b RODO).

Okres przetwarzania: do czasu usunięcia Konta przez Użytkownika lub rozwiązania Umowy.

B. Wypełnienie obowiązków podatkowych

Cel: wystawianie faktur, przechowywanie dokumentacji księgowej.

Podstawa prawna: obowiązek prawny ciążący na Administratorze (art. 6 ust. 1 lit. c RODO).

Okres przetwarzania: do czasu upływu terminów przedawnienia zobowiązań podatkowych (5 lat od końca roku podatkowego, w którym powstało zobowiązanie).

C. Ustalenie, dochodzenie i obrona ewentualnych roszczeń

Cel: ochrona praw Administratora w postępowaniach prawnych.

Podstawa prawna: uzasadniony prawnie interes Administratora (art. 6 ust. 1 lit. f RODO).

Okres przetwarzania: do czasu upływu terminów przedawnienia roszczeń wynikających z obowiązujących przepisów prawa.

D. Zapewnienie bezpieczeństwa Serwisu i Systemu Prevacash

Cel: ochrona przed nieuprawnionym dostępem, atakami, nadużyciami; ograniczanie częstotliwości żądań (rate limiting); weryfikacja CAPTCHA; logi serwera.

Podstawa prawna: uzasadniony prawnie interes Administratora (art. 6 ust. 1 lit. f RODO).

Okres przetwarzania: adresy IP w ramach rate limitingu - automatyczne wygasanie po oknie czasowym (maksymalnie 15 minut); logi serwera - zgodnie z polityką Vercel (zależne od planu).

E. Newsletter (prevacash.com)

Cel: przesyłanie informacji o zarządzaniu finansami firmy, planowaniu cash flow, nowych funkcjonalnościach Systemu Prevacash i promocjach Usług.

Podstawa prawna: zgoda Użytkownika (art. 6 ust. 1 lit. a RODO) oraz umowa o świadczenie usługi Newsletter (art. 6 ust. 1 lit. b RODO).

Okres przetwarzania: do czasu wycofania zgody (wypisania się z Newslettera).

F. Analityka i marketing na stronie prevacash.com

Cel: analiza ruchu na stronie marketingowej, optymalizacja kampanii reklamowych, śledzenie konwersji.

Podstawa prawna: zgoda Użytkownika (art. 6 ust. 1 lit. a RODO) - wyrażana za pośrednictwem bannera CookieYes; wszystkie technologie śledzące są domyślnie wyłączone (Google Consent Mode v2 z domyślnym stanem „denied").

Okres przetwarzania: do czasu wycofania zgody lub osiągnięcia celu przetwarzania.

WAŻNE: Cel ten dotyczy wyłącznie strony marketingowej prevacash.com. Aplikacja Prevacash (app.prevacash.com) NIE korzysta z żadnych narzędzi analitycznych ani marketingowych.

G. Udzielanie odpowiedzi na wiadomości e-mail

Cel: komunikacja z klientami i potencjalnymi klientami.

Podstawa prawna: uzasadniony prawnie interes Administratora (art. 6 ust. 1 lit. f RODO).

Okres przetwarzania: do czasu upływu terminów przedawnienia roszczeń.

3. Architektura zero-knowledge - ochrona danych biznesowych

Prevacash stosuje architekturę Local-First / Zero-Knowledge, co oznacza:

  1. Dane biznesowe i finansowe Użytkownika (kontrahenci, pracownicy, faktury, transakcje cykliczne, scenariusze, ustawienia firmy) są szyfrowane po stronie urządzenia Użytkownika algorytmem AES-256-GCM, zanim jakikolwiek fragment danych opuści przeglądarkę.
  2. Klucz szyfrujący (DEK - Data Encryption Key) jest generowany losowo przy tworzeniu Konta. Klucz ten jest chroniony przez klucz derywowany z hasła Użytkownika (KEK - Key Encryption Key, algorytm PBKDF2-SHA256, 600 000 iteracji). DEK istnieje w formie niezaszyfrowanej wyłącznie w pamięci RAM przeglądarki.
  3. Serwer Administratora NIE ZNA hasła Użytkownika, NIE POSIADA klucza deszyfrującego i NIE JEST W STANIE odczytać danych biznesowych Użytkownika - nawet w przypadku naruszenia bezpieczeństwa serwera.
  4. Nawet opcjonalna Synchronizacja chmurowa działa w architekturze zero-knowledge - serwer przechowuje wyłącznie zaszyfrowane bloby danych, których nie może odszyfrować.
  5. Serwer pełni wyłącznie funkcje: uwierzytelniania, proxy do zewnętrznych API fakturowania, obsługi płatności, przechowywania zaszyfrowanych kopii zapasowych i wysyłki e-maili transakcyjnych.
  6. Wszystkie obliczenia finansowe (projekcje cash flow, prognozowanie płatności, symulacje scenariuszy, alerty, statystyki) wykonywane są w całości po stronie urządzenia Użytkownika.

W konsekwencji: dane biznesowe i finansowe Użytkownika nie stanowią danych osobowych przetwarzanych przez Administratora, ponieważ Administrator nie ma do nich dostępu i nie jest w stanie ich odczytać.

4. Uprawnienia Użytkownika (RODO)

RODO przyznaje Ci następujące uprawnienia związane z przetwarzaniem Twoich danych osobowych:

  1. prawo dostępu do danych osobowych (art. 15 RODO) - masz pełny wgląd w swoje dane przez interfejs aplikacji; możesz też skontaktować się z nami mailowo,
  2. prawo do sprostowania danych osobowych (art. 16 RODO) - możesz zmienić hasło i preferencję językową w ustawieniach Konta; edycja danych rozliczeniowych możliwa jest w ustawieniach subskrypcji (Stripe),
  3. prawo do usunięcia danych osobowych (art. 17 RODO) - zaimplementowane w pełni: usunięcie Konta powoduje kaskadowe, nieodwracalne usunięcie wszystkich danych z serwerów Administratora (dane uwierzytelniające, parametry szyfrowania, dane subskrypcji, dane integracji, zaszyfrowane kopie chmurowe, kody odzyskiwania) oraz danych lokalnych z urządzenia, na którym dokonano usunięcia,
  4. prawo do ograniczenia przetwarzania danych osobowych (art. 18 RODO) - z uwagi na architekturę local-first, Użytkownik kontroluje swoje dane bezpośrednio na urządzeniu; w zakresie danych przetwarzanych na serwerze - kontakt mailowy,
  5. prawo do przenoszenia danych (art. 20 RODO) - zaimplementowane: możesz wyeksportować swoje dane w formacie zaszyfrowanego pliku .prevacash lub niezaszyfrowanego pliku JSON za pośrednictwem funkcji eksportu w ustawieniach Konta,
  6. prawo do wniesienia sprzeciwu co do przetwarzania danych osobowych (art. 21 RODO) - w zakresie przetwarzania opartego na uzasadnionym interesie Administratora,
  7. prawo do wniesienia skargi do organu nadzorczego - Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl),
  8. prawo do odwołania zgody na przetwarzanie danych osobowych, jeżeli takową zgodę wyraziłeś - wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, które miało miejsce przed jej wycofaniem.

Zasady związane z realizacją wskazanych uprawnień zostały opisane szczegółowo w art. 15-22 RODO. Wskazane powyżej uprawnienia nie są bezwzględne i zgodnie z obowiązującym prawem nie będą przysługiwać Ci w stosunku do wszystkich czynności przetwarzania Twoich danych osobowych.

Jeżeli wystąpisz do nas z wnioskiem o wykonanie któregoś z powyższych uprawnień, ustosunkujemy się do niego niezwłocznie, jednak nie później niż w ciągu miesiąca od dnia otrzymania. Jeśli z uwagi na skomplikowany charakter żądania lub liczbę żądań nie będziemy mogli spełnić Twojego żądania w ciągu miesiąca, spełnimy je w ciągu kolejnych dwóch miesięcy, uprzednio informując Cię o zamierzonym przedłużeniu terminu.

Wnioski dotyczące realizacji uprawnień należy kierować na adres: support@prevacash.com.

5. Bezpieczeństwo

Gwarantujemy poufność wszelkich przekazanych nam danych osobowych. Zapewniamy podjęcie wszelkich środków bezpieczeństwa i ochrony danych osobowych wymaganych przez przepisy o ochronie danych osobowych. Dane osobowe są gromadzone z należytą starannością i odpowiednio chronione przed dostępem do nich przez osoby do tego nieupoważnione.

Stosowane środki bezpieczeństwa obejmują w szczególności:

  • szyfrowanie danych biznesowych po stronie klienta (AES-256-GCM) - architektura zero-knowledge,
  • szyfrowanie danych dostępowych do integracji po stronie serwera (AES-256-GCM),
  • hashowanie haseł (bcrypt, zarządzane przez Supabase Auth),
  • politykę bezpieczeństwa treści (Content Security Policy) z restrykcyjnymi regułami,
  • nagłówki bezpieczeństwa HTTP (HSTS, X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy, Permissions-Policy),
  • ograniczanie częstotliwości żądań (rate limiting) na wszystkich krytycznych endpointach,
  • weryfikację CAPTCHA (Cloudflare Turnstile) przy rejestracji, logowaniu, resecie i zmianie hasła oraz usunięciu konta,
  • opcjonalne uwierzytelnianie wieloskładnikowe (MFA/TOTP),
  • Row Level Security (RLS) na wszystkich tabelach bazy danych - każdy Użytkownik widzi wyłącznie swoje dane,
  • split-key session recovery - klucz szyfrujący podzielony między sessionStorage i IndexedDB,
  • automatyczne blokowanie sesji po 15 minutach bezczynności,
  • wymuszanie HTTPS (HSTS) i szyfrowanie transmisji.

6. Odbiorcy danych - podmioty przetwarzające

A. Podmioty przetwarzające dane w ramach aplikacji (app.prevacash.com)

1) Supabase Inc.

Funkcja: uwierzytelnianie, baza danych (PostgreSQL), zarządzanie sesjami

Dane: adres e-mail, hash hasła, metadane użytkownika (preferencja językowa), zaszyfrowane dokumenty synchronizacji (Supabase NIE może ich odszyfrować), dane subskrypcji, zaszyfrowane credentials integracji, kody odzyskiwania MFA (hashowane), parametry szyfrowania

Lokalizacja serwerów: EU - Frankfurt (eu-central-1)

supabase.com · DPA

2) Stripe Inc.

Funkcja: przetwarzanie płatności, zarządzanie subskrypcjami, fakturowanie

Dane: adres e-mail, dane rozliczeniowe (imię, nazwisko, firma, NIP, adres), dane karty płatniczej (przetwarzane wyłącznie przez Stripe - NIGDY nie przechodzą przez serwery Administratora), identyfikatory subskrypcji, historia płatności

Lokalizacja: 510 Townsend Street, San Francisco, CA 94103, USA

stripe.com · DPA

3) Resend Inc.

Funkcja: wysyłka e-maili transakcyjnych (potwierdzenie rejestracji, reset hasła, przypomnienia o trialu, potwierdzenia płatności, zmiany subskrypcji, anulowania subskrypcji)

Dane: adresy e-mail odbiorców, treść wiadomości (renderowany HTML), status dostarczenia

resend.com · DPA

4) Cloudflare Inc. (Turnstile CAPTCHA)

Funkcja: ochrona przed botami

Dane: tokeny CAPTCHA, dane interakcji użytkownika (ruchy myszy, timing, dane behawioralne), adres IP, User-Agent przeglądarki

Lokalizacja: 101 Townsend Street, San Francisco, CA 94107, USA

cloudflare.com · Polityka prywatności

5) Upstash Inc.

Funkcja: rozproszone ograniczanie częstotliwości żądań (rate limiting)

Dane: adresy IP, identyfikatory użytkowników (jako klucze rate limit), liczniki żądań z automatycznym wygasaniem (maksymalnie 15 minut)

Lokalizacja serwerów: EU-WEST-1 (Irlandia)

upstash.com · DPA

6) Vercel Inc.

Funkcja: hosting aplikacji, CDN, wykonywanie funkcji serwerowych (serverless), cron jobs

Dane: logi funkcji serwerowych (adres IP, user-agent, timestampy, ścieżki), kod aplikacji

vercel.com · DPA

B. Podmioty przetwarzające dane w ramach strony marketingowej (prevacash.com)

7) MailerLite Limited

Funkcja: system mailingowy - przechowywanie subskrybentów Newslettera

Dane: adres e-mail, imię (opcjonalnie), przynależność do grupy

Lokalizacja: Litwa (UE)

mailerlite.com

8) Google LLC (Google Analytics 4, Google Ads)

Funkcja: analityka ruchu na stronie marketingowej, śledzenie konwersji z kampanii reklamowych

Dane: adres IP (anonimizowany), identyfikatory cookies, ścieżki stron, user-agent, czas na stronie, źródło ruchu

Aktywacja: wyłącznie po wyrażeniu zgody przez Użytkownika (Google Consent Mode v2; domyślnie: „denied")

Polityka prywatności Google

9) Meta Platforms Inc. (Facebook Pixel)

Funkcja: remarketing, śledzenie konwersji z kampanii reklamowych Facebook/Instagram

Dane: adres IP, identyfikatory cookies, PageView na podstronach

Aktywacja: wyłącznie po wyrażeniu zgody przez Użytkownika (Google Consent Mode v2; domyślnie: „denied")

Polityka prywatności Meta

10) CookieYes Limited

Funkcja: zarządzanie zgodami na pliki cookies (consent management platform)

Dane: preferencje dotyczące cookies Użytkownika

Lokalizacja: Wielka Brytania

cookieyes.com

C. Inni potencjalni odbiorcy

  • uprawnione organy państwowe na mocy obowiązujących przepisów prawa,
  • inne podmioty, których żądanie w zakresie przekazania danych znajdzie uzasadnienie w obowiązujących przepisach prawa.

Wszystkie podmioty, którym powierzamy przetwarzanie danych osobowych, gwarantują stosowanie odpowiednich środków ochrony i bezpieczeństwa danych osobowych wymaganych przez przepisy prawa.

7. Przekazywanie danych osobowych do państw trzecich

Niektóre z podmiotów przetwarzających, z których korzystamy, mają siedziby w Stanach Zjednoczonych Ameryki. W świetle przepisów RODO są to podmioty zlokalizowane w państwach trzecich.

Poniżej przedstawiamy szczegółowe informacje o transferach:

PodmiotSiedzibaLokalizacja serwerówMechanizm prawny
Supabase Inc.USAEU - FrankfurtRegion EU - BRAK transferu poza EOG
Upstash Inc.USAEU - IrlandiaRegion EU - BRAK transferu poza EOG
MailerLite LimitedLitwaUEW ramach EOG - BRAK transferu poza EOG
CookieYes LimitedUKUKDecyzja o adekwatności UK / SCC
Stripe Inc.USAUSAStandardowe klauzule umowne (SCC)
Resend Inc.USAUSAStandardowe klauzule umowne (SCC)
Cloudflare Inc.USAGlobalnieStandardowe klauzule umowne (SCC)
Vercel Inc.USAGlobalnie (edge CDN)Standardowe klauzule umowne (SCC)
Google LLCUSAUSACertyfikacja DPF / SCC
Meta Platforms Inc.USAUSACertyfikacja DPF / SCC

SCC = Standardowe Klauzule Umowne przyjęte przez Komisję Europejską (art. 46 ust. 2 lit. c RODO).
DPF = EU-U.S. Data Privacy Framework.

WAŻNE:

  • Dane uwierzytelniające (Supabase) przechowywane są w EU (Frankfurt) - NIE opuszczają Europejskiego Obszaru Gospodarczego.
  • Dane rate limitingu (Upstash) przechowywane są w EU (Irlandia) - NIE opuszczają EOG.
  • Dane biznesowe przesyłane w ramach Synchronizacji chmurowej są ZASZYFROWANE klient-stronnie. Nawet w przypadku transferu do państwa trzeciego, dane pozostają nieczytelne bez klucza Użytkownika.
  • Dane karty płatniczej NIGDY nie przechodzą przez serwery Administratora - są przetwarzane bezpośrednio przez Stripe (PCI DSS Level 1 compliant).

8. Profilowanie i zautomatyzowane podejmowanie decyzji

Aplikacja Prevacash (app.prevacash.com):

  • NIE stosuje profilowania użytkowników,
  • NIE buduje profili behawioralnych,
  • NIE śledzi aktywności użytkownika (brak narzędzi analitycznych),
  • NIE podejmuje zautomatyzowanych decyzji w rozumieniu art. 22 RODO.

Strona marketingowa (prevacash.com):

  • W ramach narzędzi Google Analytics 4 i Meta Pixel (Facebook), po wyrażeniu zgody przez Użytkownika, mogą być zbierane dane o aktywności na stronie (odwiedzane podstrony, czas na stronie, źródło ruchu).
  • Dane te mają charakter zanonimizowany i służą wyłącznie do analizy ruchu oraz optymalizacji kampanii reklamowych.
  • NIE podejmujemy na ich podstawie zautomatyzowanych decyzji, które mogłyby wywołać wobec osób fizycznych skutki prawne lub mogłyby wpłynąć na nie w podobnie istotny sposób.

9. Pliki cookies i inne technologie śledzące

A. Czym są pliki cookies

Cookies to niewielkie informacje tekstowe przechowywane na Twoim urządzeniu końcowym (np. komputerze, tablecie, smartfonie), które mogą być odczytywane przez nasz system teleinformatyczny.

B. Pliki cookies w aplikacji Prevacash (app.prevacash.com)

Aplikacja Prevacash wykorzystuje wyłącznie następujące pliki cookies:

1) Cookies autoryzacyjne (Supabase Auth):

  • sb-<project-ref>-auth-token - zawiera access token (JWT, ważność 1 godzina); httpOnly, secure, sameSite: lax; cel: autoryzacja zapytań do API,
  • sb-<project-ref>-auth-token.code_verifier - PKCE code verifier; httpOnly, secure, sameSite: lax; cel: weryfikacja kodu autoryzacyjnego.

2) Cookie preferencji językowej:

  • locale - zawiera preferencję językową (pl/en); sameSite: lax, secure: true; ważność: 1 rok; cel: internacjonalizacja interfejsu.

Aplikacja Prevacash NIE wykorzystuje:

  • cookies Google Analytics (brak _ga, _gid, _gat),
  • cookies Facebook Pixel (brak _fbp, _fbc),
  • cookies Google Ads (brak _gcl_*),
  • cookies Hotjar, Mixpanel, Amplitude ani żadnych innych cookies marketingowych, reklamowych czy analitycznych.

C. Pliki cookies na stronie marketingowej (prevacash.com)

Strona marketingowa wykorzystuje pliki cookies podmiotów trzecich w celach analitycznych i reklamowych. Zastosowano mechanizm Google Consent Mode v2 - wszystkie zgody na cookies analityczne i reklamowe są domyślnie ODMÓWIONE (stan „denied") i aktywowane dopiero po wyrażeniu zgody przez Użytkownika za pośrednictwem bannera CookieYes.

KategoriaDomyślny stanCookiesPodmiot
NiezbędnegrantedCookies CookieYes (preferencje zgód)CookieYes Ltd
Analitycznedenied_ga, _ga_* (Google Analytics 4)Google LLC
Reklamowedenied_fbp, _fbc (Meta Pixel), _gcl_* (Google Ads)Meta Platforms / Google LLC
Personalizacja reklamdeniedPersonalizacja reklamGoogle LLC
FunkcjonalnedeniedOpcjonalne funkcjonalności-

Podczas pierwszej wizyty na stronie prevacash.com wyświetlany jest banner CookieYes z informacją na temat stosowania plików cookies wraz z pytaniem o zgodę. Masz możliwość zarządzania plikami cookies z poziomu bannera. Ponadto, zawsze możesz zmienić ustawienia cookies z poziomu swojej przeglądarki albo usunąć pliki cookies. Pamiętaj jednak, że wyłączenie plików cookies może powodować trudności w korzystaniu z niektórych funkcji strony.

D. Inne technologie przechowywania danych w aplikacji (app.prevacash.com)

Oprócz plików cookies, aplikacja Prevacash wykorzystuje następujące technologie przechowywania danych w przeglądarce:

1) IndexedDB (RxDB):

  • zaszyfrowana lokalna baza danych z danymi biznesowymi Użytkownika (architektura local-first),
  • baza kluczy sesyjnych (prevacash_keystore) - klucze sesji AES-256-GCM.

2) sessionStorage:

  • zaszyfrowany klucz DEK (zabezpieczony kluczem sesji) - kasowany po zamknięciu karty przeglądarki,
  • handle do odszukania klucza sesji w IndexedDB.

3) localStorage:

  • stan interfejsu użytkownika (zwinięcie sidebara, stan przypomnienia o backupie, stan procesu checkout) - nie zawierają danych osobowych.

Powyższe dane przechowywane są wyłącznie na urządzeniu Użytkownika i nie są przesyłane na serwery Administratora (z wyjątkiem opcjonalnej Synchronizacji chmurowej, w ramach której przesyłane są wyłącznie zaszyfrowane dane).

10. Logi serwera

Korzystanie z Serwisu i Systemu Prevacash wiąże się z przesyłaniem zapytań do serwerów, na których hostowane są usługi (Vercel). Każde zapytanie może być rejestrowane w logach serwera.

Logi mogą obejmować m.in.: adres IP, datę i czas żądania, informacje o przeglądarce internetowej i systemie operacyjnym (user-agent), żądane ścieżki URL, kody odpowiedzi HTTP.

Dane zapisane w logach serwera nie są kojarzone z konkretnymi Użytkownikami i nie są wykorzystywane w celu ich identyfikacji. Logi serwera stanowią wyłącznie materiał pomocniczy służący do administrowania Serwisem, zapewnienia bezpieczeństwa i diagnozowania problemów technicznych.

Czego NIE logujemy:

  • haseł (w żadnej formie),
  • odszyfrowanych danych biznesowych,
  • treści e-maili Użytkowników,
  • danych kart płatniczych,
  • danych z integracji (faktur, kontrahentów),
  • pełnych treści żądań HTTP,
  • danych formularzy.

Logi przechowywane są zgodnie z polityką dostawcy hostingu (Vercel).

11. Okresy przechowywania danych

Typ danychOkres przechowywania
Konto użytkownika (e-mail, hash hasła, metadane)Do momentu usunięcia Konta przez Użytkownika
Dane subskrypcjiDo momentu usunięcia Konta + ewentualne obowiązki podatkowe (5 lat)
Dane lokalne (RxDB/IndexedDB)Do momentu usunięcia Konta, wyczyszczenia przeglądarki lub utraty urządzenia
Zaszyfrowane kopie chmuroweDo momentu usunięcia Konta (kaskadowe usunięcie)
Dane dostępowe do integracjiDo momentu usunięcia Konta lub odłączenia integracji przez Użytkownika
Kody odzyskiwania MFADo momentu usunięcia Konta lub regeneracji kodów
Dane w StripeZgodnie z polityką Stripe i wymogami regulacyjnymi (PCI DSS, prawo podatkowe)
Dane Newslettera (MailerLite)Do momentu wypisania się z Newslettera
Logi serwera (Vercel)Zgodnie z planem Vercel
Rate limit counters (Upstash Redis)Automatyczne wygasanie po oknie czasowym (maksymalnie 15 minut)
Cookies autoryzacyjneSesyjne (access token: 1h, refresh: do wylogowania lub 24h timebox)
Cookie preferencji językowej1 rok
Cookies analityczne/reklamowe (prevacash.com)Zgodnie z polityką Google/Meta (po wyrażeniu zgody)

12. Zmiany Polityki Prywatności

Niniejsza Polityka Prywatności może być uzupełniana lub zmieniana, o czym poinformujemy Cię poprzez zamieszczenie odpowiedniej informacji w Serwisie, a w przypadku istotnych zmian - Użytkownikom posiadającym Konta w Systemie Prevacash lub zapisanym na Newsletter wyślemy odrębne powiadomienie drogą elektroniczną.

13. Kontakt

Jeśli masz jakieś wątpliwości lub pytania dotyczące przetwarzania danych osobowych, napisz do nas na adres: support@prevacash.com.

Polityka Prywatności obowiązuje od dnia 13.02.2026.