Shiftly

POLITYKA PRYWATNOSCI SERWISU SHIFTLY


Obowiązuje od dnia: 01.02.2026


I. ADMINISTRATOR DANYCH OSOBOWYCH


Administratorem danych osobowych przetwarzanych w związku z korzystaniem z serwisu Shiftly (dalej: "Serwis") jest:


- PATRYK GONET

- NIP: 7372253445

- REGON: 542038572

- Adres siedziby: 34-602 Laskowa, Laskowa 472

- Adres e-mail (kontakt w sprawach ochrony danych): patrykgonet@gmail.com

- (dalej: "Administrator")


II. PODSTAWY PRAWNE PRZETWARZANIA


Dane osobowe przetwarzane są zgodnie z:


1. Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: "RODO"),

2. Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000 ze zm.),

3. Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 Nr 144, poz. 1204 ze zm.).


III. ZAKRES ZBIERANYCH DANYCH


W ramach korzystania z Serwisu Administrator przetwarza następujące kategorie danych osobowych:


A. Dane podawane przez Użytkownika:

- imię i nazwisko,

- adres e-mail,

- hasło (przechowywane w formie zaszyfrowanej),

- nazwa organizacji,

- stanowisko/rola w organizacji,

- numer telefonu (opcjonalnie),

- dane biometryczne — wzorzec twarzy do celów weryfikacji obecności (opcjonalnie, wyłącznie za wyraźną zgodą).


B. Dane generowane automatycznie:

- adres IP,

- identyfikator urządzenia (device fingerprint),

- typ i wersja przeglądarki,

- dane o lokalizacji (opcjonalnie, wyłącznie za zgodą, do celów weryfikacji obecności),

- data i czas logowania oraz rejestracji obecności,

- logi aktywności w Serwisie (zdarzenia bezpieczeństwa).


C. Dane przetwarzane w ramach Organizacji:

- ewidencja czasu pracy (godziny wejścia/wyjścia, przerwy),

- dane urlopowe (wnioski, saldo, dokumenty),

- grafiki zmian,

- dane projektowe (przypisania, zadania, komentarze),

- dane budżetowe (stawki godzinowe, rozliczenia, wydatki),

- dokumenty przesłane przez Użytkownika.


IV. CELE I PODSTAWY PRZETWARZANIA


| Cel przetwarzania | Podstawa prawna (RODO) | Okres przechowywania |

|---|---|---|

| Rejestracja i obsługa Konta | Art. 6 ust. 1 lit. b — wykonanie umowy | Czas trwania umowy + 30 dni |

| Świadczenie Usługi (ewidencja czasu pracy, urlopy, grafiki itp.) | Art. 6 ust. 1 lit. b — wykonanie umowy | Czas trwania umowy + okres wymagany przepisami prawa pracy |

| Obsługa płatności i fakturowanie | Art. 6 ust. 1 lit. b — wykonanie umowy, Art. 6 ust. 1 lit. c — obowiązek prawny | 5 lat od końca roku obrachunkowego (przepisy podatkowe) |

| Weryfikacja obecności za pomocą rozpoznawania twarzy | Art. 6 ust. 1 lit. a — wyraźna zgoda, Art. 9 ust. 2 lit. a — wyraźna zgoda na dane biometryczne | Do wycofania zgody lub usunięcia Konta |

| Weryfikacja obecności za pomocą lokalizacji | Art. 6 ust. 1 lit. a — zgoda | Do wycofania zgody lub usunięcia Konta |

| Zapewnienie bezpieczeństwa Serwisu (logi, zdarzenia bezpieczeństwa) | Art. 6 ust. 1 lit. f — uzasadniony interes Administratora | 12 miesięcy |

| Obsługa zgłoszeń błędów i reklamacji | Art. 6 ust. 1 lit. b — wykonanie umowy | 3 lata od zamknięcia zgłoszenia |

| Komunikacja z Użytkownikiem (powiadomienia, e-mail) | Art. 6 ust. 1 lit. b — wykonanie umowy | Czas trwania umowy |

| Dochodzenie lub obrona przed roszczeniami | Art. 6 ust. 1 lit. f — uzasadniony interes Administratora | Okres przedawnienia roszczeń (3-6 lat) |


V. DANE BIOMETRYCZNE


1. Serwis umożliwia opcjonalne korzystanie z funkcji rozpoznawania twarzy w celu weryfikacji tożsamości przy rejestracji obecności.


2. Przetwarzanie danych biometrycznych (wzorca twarzy) odbywa się wyłącznie na podstawie wyraźnej, dobrowolnej zgody osoby, której dane dotyczą (art. 9 ust. 2 lit. a RODO).


3. Zgoda na przetwarzanie danych biometrycznych może być w każdym momencie wycofana. Wycofanie zgody skutkuje usunięciem zapisanego wzorca twarzy i brakiem możliwości korzystania z funkcji rozpoznawania twarzy.


4. Wzorce twarzy są przechowywane w postaci zakodowanego wektora numerycznego (deskryptora) i nie pozwalają na odtworzenie wizerunku twarzy.


5. Porównywanie twarzy odbywa się w ramach Serwisu — dane biometryczne nie są przekazywane podmiotom trzecim.


VI. ODBIORCY DANYCH


Dane osobowe mogą być przekazywane następującym kategoriom odbiorców:


1. Dostawcy usług hostingowych i infrastruktury — w celu przechowywania i przetwarzania danych na serwerach (podmioty przetwarzające na podstawie umowy powierzenia przetwarzania danych).


2. Dostawcy usług płatniczych — w zakresie niezbędnym do obsługi płatności za Subskrypcję.


3. Dostawcy usług chmurowych (Google Drive, Microsoft OneDrive, Dropbox) — wyłącznie w przypadku, gdy Administrator Organizacji samodzielnie skonfiguruje integrację z wybranym dostawcą. Dane przesyłane do tych usług ograniczają się do plików, które Organizacja świadomie przechowuje za pośrednictwem integracji.


4. Dostawcy usług uwierzytelniania (Google OAuth, Microsoft Entra ID, LDAP/SAML) — w zakresie niezbędnym do uwierzytelnienia Użytkownika, na żądanie Użytkownika.


5. Organy publiczne — w przypadkach przewidzianych prawem (np. na żądanie sądu, prokuratury, organów ścigania).


Administrator nie sprzedaje danych osobowych podmiotom trzecim i nie wykorzystuje ich do celów marketingowych osób trzecich.


VII. PRZEKAZYWANIE DANYCH POZA EOG


1. Co do zasady dane osobowe są przechowywane i przetwarzane na serwerach zlokalizowanych na terytorium Europejskiego Obszaru Gospodarczego (EOG).


2. W przypadku korzystania z integracji z usługami podmiotów trzecich (Google, Microsoft, Dropbox) dane mogą być przekazywane poza EOG na podstawie:

a) standardowych klauzul umownych zatwierdzonych przez Komisję Europejską,

b) decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (np. EU-US Data Privacy Framework).


VIII. PRAWA OSOB, KTÓRYCH DANE DOTYCZĄ


Zgodnie z RODO przysługują Państwu następujące prawa:


1. Prawo dostępu (art. 15 RODO) — prawo do uzyskania informacji o przetwarzaniu swoich danych oraz kopii danych.


2. Prawo do sprostowania (art. 16 RODO) — prawo do poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.


3. Prawo do usunięcia ("prawo do bycia zapomnianym") (art. 17 RODO) — prawo do żądania usunięcia danych, gdy nie ma podstawy do ich dalszego przetwarzania.


4. Prawo do ograniczenia przetwarzania (art. 18 RODO) — prawo do żądania ograniczenia przetwarzania danych w określonych sytuacjach.


5. Prawo do przenoszenia danych (art. 20 RODO) — prawo do otrzymania swoich danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.


6. Prawo do sprzeciwu (art. 21 RODO) — prawo do wniesienia sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora.


7. Prawo do wycofania zgody — w każdym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem zgody.


8. Prawo do wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl).


W celu realizacji powyższych praw prosimy o kontakt na adres e-mail: [EMAIL].


Administrator rozpatruje wnioski w terminie 30 dni od ich otrzymania. W uzasadnionych przypadkach termin może zostać przedłużony o kolejne 60 dni, o czym wnioskodawca zostanie poinformowany.


IX. PLIKI COOKIES


1. Serwis wykorzystuje pliki cookies (ciasteczka) w celu:

a) zapewnienia prawidłowego działania Serwisu (cookies sesyjne, uwierzytelniające),

b) zapamiętania preferencji Użytkownika (język interfejsu),

c) celów analitycznych i statystycznych (anonimowe dane o ruchu).


2. Rodzaje stosowanych plików cookies:


| Nazwa | Cel | Typ | Czas przechowywania |

|---|---|---|---|

| `accessToken` | Uwierzytelnianie sesji | Niezbędne | Do wylogowania |

| `refreshToken` | Odnawianie sesji | Niezbędne | 7 dni |

| `locale` | Preferencja językowa | Funkcjonalne | 1 rok |


3. Użytkownik może zarządzać plikami cookies za pośrednictwem ustawień swojej przeglądarki internetowej, w tym blokować lub usuwać pliki cookies. Zablokowanie niezbędnych plików cookies może uniemożliwić korzystanie z Serwisu.


4. Serwis nie wykorzystuje plików cookies do śledzenia Użytkowników w celach reklamowych ani nie udostępnia danych z plików cookies podmiotom trzecim w celach marketingowych.


X. BEZPIECZENSTWO DANYCH


Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, w tym:


1. szyfrowanie komunikacji za pomocą protokołu TLS/SSL (HTTPS),

2. szyfrowanie haseł algorytmem bcrypt,

3. kontrolę dostępu opartą na rolach (RBAC) z granularnymi uprawnieniami,

4. regularne tworzenie kopii zapasowych,

5. monitorowanie zdarzeń bezpieczeństwa i rejestrowanie logów dostępu,

6. zabezpieczenie interfejsu API tokenami JWT z krótkim czasem ważności,

7. ochronę przed atakami CSRF w procesach uwierzytelniania OAuth,

8. wiązanie urządzeń (device binding) dla czytników obecności,

9. zabezpieczenie kodów QR podpisem HMAC-SHA256 z ochroną przed powtórzeniem (nonce + Redis),

10. przechowywanie danych na serwerach zabezpieczonych w profesjonalnych centrach danych.


XI. PRZETWARZANIE DANYCH W IMIENIU ORGANIZACJI


1. W zakresie, w jakim Organizacja (pracodawca) korzysta z Serwisu do ewidencji czasu pracy swoich pracowników, Organizacja jest administratorem danych osobowych swoich pracowników w rozumieniu RODO.


2. Usługodawca działa wówczas jako podmiot przetwarzający (procesor) dane na zlecenie Organizacji, na podstawie umowy powierzenia przetwarzania danych osobowych.


3. Organizacja jest odpowiedzialna za:

a) posiadanie odpowiedniej podstawy prawnej do przetwarzania danych swoich pracowników,

b) informowanie swoich pracowników o przetwarzaniu ich danych osobowych,

c) uzyskanie wymaganych zgód (np. na przetwarzanie danych biometrycznych),

d) prawidłowe zarządzanie dostępem i uprawnieniami w ramach Serwisu.


XII. PROFILOWANIE I AUTOMATYCZNE PODEJMOWANIE DECYZJI


Serwis nie podejmuje wobec Użytkowników decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby wobec nich skutki prawne lub w podobny sposób istotnie na nich wpływały.


XIII. ZMIANY POLITYKI PRYWATNOŚCI


1. Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności.


2. O istotnych zmianach Użytkownicy zostaną powiadomieni z co najmniej 14-dniowym wyprzedzeniem za pośrednictwem wiadomości e-mail lub komunikatu w Serwisie.


3. Aktualna wersja Polityki Prywatności jest zawsze dostępna na stronie Serwisu.


XIV. KONTAKT


W sprawach dotyczących ochrony danych osobowych prosimy o kontakt:


- E-mail: patrykgonet@gmail.com

- Adres korespondencyjny: 34-602 Laskowa, Laskowa 472


Ostatnia aktualizacja: 17.02.2026