Dokument prawny
Polityka prywatności
Wersja 1.0 — obowiązuje od
1. Administrator danych osobowych
Administratorem Twoich danych osobowych jest Asana Studio Jarosław Czulak, Międzyrzecze Górne 834, 43-392 Międzyrzecze Górne, NIP: 9372463882, REGON: 242838164 prowadzący serwis SiteDoctor.pl (dalej: „Administrator" lub „SiteDoctor").
Kontakt w sprawach dotyczących ochrony danych osobowych: privacy@sitedoctor.pl
2. Jakie dane zbieramy i w jakim celu
2.1. Bezpłatny audyt WordPress
Gdy korzystasz z formularza audytu dostępnego na stronie głównej, zbieramy:
- Adres URL Twojej strony internetowej
- Adres e-mail
- Numer telefonu komórkowego (opcjonalnie, w celu weryfikacji OTP i wysyłki raportu SMS)
Adres strony jest automatycznie analizowany przez nasz system audytowy (skanowanie bezpieczeństwa, wydajności, SEO, stanu aktualizacji WordPress). Wynik analizy — wraz z linkiem do raportu — przesyłamy na podany adres e-mail, a w przypadku podania numeru telefonu komórkowego polskiego operatora — opcjonalnie również SMS-em.
2.2. Rezerwacja konsultacji
Przy rezerwacji bezpłatnej konsultacji technicznej zbieramy:
- Adres URL strony, której dotyczy konsultacja
- Adres e-mail
- Numer telefonu komórkowego (wymagany do weryfikacji OTP w celu potwierdzenia tożsamości)
- Wybrany termin (data i godzina)
Po dokonaniu rezerwacji wysyłamy e-mail z potwierdzeniem szczegółów spotkania. Numer telefonu jest używany wyłącznie do jednorazowej weryfikacji SMS i nie jest przechowywany po zakończeniu procesu weryfikacji.
2.3. Rejestracja i logowanie (panel klienta)
Dostęp do panelu klienta wymaga konta. Zbieramy:
- Adres e-mail (login)
- Hasło — przechowywane wyłącznie w postaci skrótu kryptograficznego (scrypt + sól losowa)
- Imię i nazwisko (podawane opcjonalnie)
Sesja jest utrzymywana za pomocą pliku cookie (patrz sekcja 6).
2.4. Zamówienie usługi (płatności)
Przy zakupie planu opieki technicznej nad WordPress zbieramy:
- Imię i nazwisko
- Nazwa firmy (opcjonalnie)
- Adres e-mail
- Wybrany plan i okres rozliczeniowy
Dane kart płatniczych nie są przez nas przetwarzane ani przechowywane. Płatności obsługuje operator Stripe (patrz sekcja 5). Dane przekazywane do Stripe obejmują imię, nazwisko, nazwę firmy oraz adres e-mail w celu stworzenia konta subskrybenta.
2.5. Zgłoszenia do supportu (system ticketów)
W panelu klienta możesz tworzyć zgłoszenia techniczne. Zbieramy:
- Temat i treść zgłoszenia
- Adres e-mail (pobierany z konta)
- Numer telefonu (opcjonalnie)
- Adres URL strony, której dotyczy zgłoszenie (opcjonalnie)
- Priorytety, statusy i historię wiadomości w wątku zgłoszenia
- Załączniki (maksymalnie 5 plików na zgłoszenie)
2.6. Weryfikacja OTP
W celu potwierdzenia tożsamości przed wysyłką raportu lub rezerwacją konsultacji wysyłamy jednorazowy kod weryfikacyjny (OTP) na podany numer telefonu lub adres e-mail. Jednorazowy kod wygasa po 3 minutach.
Po pomyślnej weryfikacji numer telefonu oraz adres e-mail są dalej przetwarzane w celu dostarczenia raportu z audytu strony — odpowiednio: jako odbiorca SMS z raportem i jako adresat e-mail z raportem. Dane te są przechowywane jako część rekordu leada zgodnie z okresami wskazanymi w sekcji 4.
W przypadku rezerwacji konsultacji numer telefonu jest używany wyłącznie do weryfikacji OTP i nie jest przechowywany po zakończeniu tego procesu.
2.7. Wyszukiwanie danych firmy (GUS/REGON)
Formularz rejestracyjny umożliwia automatyczne uzupełnienie nazwy firmy na podstawie numeru NIP przy użyciu publicznego API GUS BIR. Numer NIP jest przesyłany do API GUS wyłącznie w celu pobrania nazwy podmiotu i nie jest przechowywany przez SiteDoctor.
3. Podstawy prawne przetwarzania
| Czynność przetwarzania | Podstawa prawna (RODO) |
|---|---|
| Realizacja bezpłatnego audytu WordPress i przesłanie raportu | Art. 6 ust. 1 lit. b — niezbędność do wykonania umowy (świadczenia usługi) |
| Rezerwacja konsultacji i wysyłka potwierdzenia e-mail | Art. 6 ust. 1 lit. b — niezbędność do wykonania umowy |
| Rejestracja konta i zarządzanie dostępem do panelu klienta | Art. 6 ust. 1 lit. b — niezbędność do wykonania umowy |
| Obsługa zgłoszeń do supportu | Art. 6 ust. 1 lit. b — niezbędność do wykonania umowy |
| Zawarcie i rozliczenie subskrypcji (dane przekazywane do Stripe) | Art. 6 ust. 1 lit. b — niezbędność do wykonania umowy |
| Wysyłka raportu SMS na numer telefonu komórkowego | Art. 6 ust. 1 lit. a — zgoda (wyrażana w formularzu audytu) |
| Weryfikacja OTP (jednorazowy kod SMS/e-mail) i dostarczenie raportu audytu | Art. 6 ust. 1 lit. b — niezbędność do wykonania umowy (wysyłka raportu); art. 6 ust. 1 lit. f — uzasadniony interes (zapobieganie nadużyciom i weryfikacja tożsamości) |
| Bezpieczeństwo systemu, logi techniczne i zapobieganie oszustwom | Art. 6 ust. 1 lit. f — uzasadniony interes administratora |
4. Jak długo przechowujemy dane
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane leadów (adres strony, e-mail, telefon) i wyniki audytów | Do momentu usunięcia na żądanie lub przez 3 lata od ostatniej aktywności |
| Dane kont użytkowników | Do usunięcia konta przez użytkownika lub przez 3 lata od ostatniego logowania |
| Rezerwacje konsultacji | 2 lata od daty konsultacji (wymogi dokumentacji biznesowej) |
| Zgłoszenia do supportu | 3 lata od zamknięcia zgłoszenia |
| Dane płatności (subskrypcje) | Zgodnie z wymogami Stripe oraz polskiego prawa podatkowego (5 lat) |
| Numer telefonu w pamięci OTP | Maksymalnie 3 minuty (do weryfikacji lub wygaśnięcia kodu) |
| Pliki cookie sesji | 24 godziny lub do wylogowania |
5. Odbiorcy danych — zewnętrzni podwykonawcy
Twoje dane mogą być przekazywane następującym podmiotom przetwarzającym:
Stripe Inc.
Operator płatności kartą i subskrypcji. Siedziba: 354 Oyster Point Blvd, South San Francisco, CA 94080, USA. Dane przekazywane są na podstawie standardowych klauzul umownych (SCC). Polityka prywatności Stripe: stripe.com/pl/privacy.
JustSend.io (SMS)
Brama SMS używana do wysyłki kodów OTP oraz raportów. Dane (numer MSISDN, treść wiadomości) są przekazywane do JustSend wyłącznie w celu dostarczenia SMS-a. Polityka prywatności: justsend.io/polityka-prywatnosci.
Dostawca poczty e-mail (SMTP)
Do wysyłki e-maili (potwierdzenia rezerwacji, raporty audytu, korespondencja ticketowa) korzystamy z zewnętrznego serwera SMTP. Adres e-mail odbiorcy oraz treść wiadomości są przekazywane do dostawcy wyłącznie w celu dostarczenia wiadomości.
Hosting / infrastruktura serwerowa
Serwis działa na serwerach zlokalizowanych w Europejskim Obszarze Gospodarczym (EOG). Dostawca hostingu przetwarza dane jako podmiot przetwarzający na podstawie umowy powierzenia.
Nie sprzedajemy, nie wynajmujemy ani nie udostępniamy Twoich danych podmiotom trzecim w celach marketingowych.
6. Pliki cookie i sesja
SiteDoctor używa wyłącznie technicznie niezbędnego pliku cookie sesji. Nie stosujemy plików cookie do celów reklamowych ani nie korzystamy z zewnętrznych sieci śledzących.
| Nazwa | Typ | Cel | Czas życia |
|---|---|---|---|
| sd_session | Sesyjne / techniczne | Utrzymanie zalogowanej sesji użytkownika w panelu klienta (token HMAC-SHA256, nie zawiera wrażliwych danych w postaci jawnej) | 24 godziny lub do wylogowania |
Plik cookie jest oznaczony jako HttpOnly, Secure (w środowisku produkcyjnym) oraz SameSite=Lax, co chroni przed atakami CSRF i odczytem przez skrypty zewnętrzne.
Korzystamy z Google Fonts (Plus Jakarta Sans) pobranego i osadzonego lokalnie podczas budowania aplikacji — czcionka nie jest ładowana z zewnętrznych serwerów Google podczas wizyty na stronie, więc Google nie otrzymuje żadnych danych o odwiedzinach.
7. Zautomatyzowane przetwarzanie — audyt strony internetowej
Podstawową funkcją SiteDoctor jest automatyczny audyt strony WordPress. Po podaniu adresu URL nasz system:
- Pobiera publicznie dostępną treść strony (HTML, nagłówki HTTP)
- Wykonuje zrzut ekranu strony (widok desktopowy i mobilny) przy użyciu przeglądarki Chromium (Playwright)
- Analizuje konfigurację SSL/TLS, nagłówki bezpieczeństwa, przekierowania HTTP→HTTPS
- Sprawdza wersję WordPressa, zainstalowanych wtyczek i motywu
- Ocenia wydajność (TTFB, rozmiar strony, zasoby blokujące renderowanie)
- Przeprowadza analizę SEO (meta tagi, tagi heading, sitemap, robots.txt)
- Weryfikuje dostępność publicznie ujawnianych wrażliwych plików (xmlrpc.php, readme.html)
- Porównuje wersje wtyczek z publicznym API WordPress.org
Audyt dotyczy wyłącznie publicznie dostępnych zasobów strony. System nie loguje się do panelu administracyjnego WordPress ani nie uzyskuje dostępu do danych niepublicznych. Wyniki audytu są przypisywane do leada w bazie danych i udostępniane w raporcie.
Przetwarzanie to nie stanowi profilowania w rozumieniu art. 4 pkt 4 RODO ani nie wywołuje skutków prawnych wobec osoby fizycznej.
8. Twoje prawa
Przysługują Ci następujące prawa w odniesieniu do Twoich danych osobowych:
| Prawo | Opis |
|---|---|
| Dostęp (art. 15 RODO) | Możesz zażądać informacji o tym, jakie Twoje dane przetwarzamy. |
| Sprostowanie (art. 16 RODO) | Możesz zażądać poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych. |
| Usunięcie (art. 17 RODO) | Możesz żądać usunięcia danych, gdy nie są już niezbędne do celów, w których zostały zebrane, lub cofnąłeś/cofnęłaś zgodę. |
| Ograniczenie przetwarzania (art. 18 RODO) | Możesz żądać ograniczenia przetwarzania w określonych sytuacjach. |
| Przenoszalność (art. 20 RODO) | Masz prawo otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie (dotyczy danych przetwarzanych na podstawie zgody lub umowy). |
| Sprzeciw (art. 21 RODO) | Możesz wnieść sprzeciw wobec przetwarzania opartego na uzasadnionym interesie administratora. |
| Cofnięcie zgody (art. 7 ust. 3 RODO) | Jeśli przetwarzanie odbywa się na podstawie zgody (np. wysyłka SMS), możesz ją cofnąć w dowolnym momencie — bez wpływu na legalność wcześniejszego przetwarzania. |
| Skarga do organu nadzorczego | Masz prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl). |
Aby skorzystać z przysługujących Ci praw, skontaktuj się z nami pod adresem privacy@sitedoctor.pl. Odpowiemy bez zbędnej zwłoki, nie później niż w terminie 30 dni od otrzymania wniosku.
9. Bezpieczeństwo danych
Stosujemy następujące środki techniczne i organizacyjne w celu ochrony danych:
- Szyfrowanie transmisji danych przy użyciu TLS (HTTPS)
- Hasła użytkowników przechowywane jako skróty scrypt z losową solą — nigdy w postaci jawnej
- Sesje chronione tokenami HMAC-SHA256 z datą wygaśnięcia
- Pliki cookie sesji oznaczone jako HttpOnly i Secure
- Ochrona przed atakami SSRF (Server-Side Request Forgery) — blokowanie żądań do prywatnych zakresów IP
- Dostęp do panelu administracyjnego chroniony hasłem z parametrami scrypt
- Separacja środowisk (produkcja/deweloperskie), z przekierowaniem wiadomości SMS i e-mail w środowisku testowym
- Regularne kopie zapasowe bazy danych
10. Przekazywanie danych poza EOG
Dane osobowe mogą być przekazywane poza Europejski Obszar Gospodarczy wyłącznie w przypadku korzystania z usług Stripe (USA). Przekazanie odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską, zapewniając odpowiedni poziom ochrony danych.
Pozostałe dane przetwarzane są wyłącznie w obrębie EOG.
11. Zmiany polityki prywatności
Zastrzegamy sobie prawo do zmiany niniejszej polityki prywatności. O istotnych zmianach poinformujemy poprzez e-mail (jeśli posiadamy Twój adres) lub poprzez wyraźne powiadomienie na stronie. Data ostatniej modyfikacji jest podana w nagłówku dokumentu.
Dalsze korzystanie z serwisu po opublikowaniu zmian oznacza ich akceptację.
12. Kontakt
W sprawach dotyczących niniejszej polityki prywatności oraz przetwarzania danych osobowych skontaktuj się z nami:
Asana Studio Jarosław Czulak
Międzyrzecze Górne 834, 43-392 Międzyrzecze Górne
NIP: 9372463882, REGON: 242838164
E-mail: privacy@sitedoctor.pl
Strona: sitedoctor.pl