Polityka prywatności

POLITYKA PRYWATNOŚCI PROGRAMU AFILIACYJNEGO APZERO.SPACE

1. ADMINISTRATOR DANYCH OSOBOWYCH

1.1. Administratorem danych osobowych Uczestników Programu Afiliacyjnego apzero.space jest APZERO sp. z o.o. z siedzibą w Bydgoszczy, ul. Kijowska 44, 85-703 Bydgoszcz, wpisana do rejestru przedsiębiorców KRS pod numerem 0001216759, NIP: 5543043329, REGON: 543712728 (dalej: "Administrator").

1.2. Kontakt z Administratorem w sprawach dotyczących danych osobowych:

- email: contact@apzero.space

- adres korespondencyjny: jak w pkt 1.1.

2. INSPEKTOR OCHRONY DANYCH

2.1. Administrator nie wyznaczył Inspektora Ochrony Danych, ponieważ w ocenie Administratora nie zachodzą przesłanki określone w art. 37 RODO.

2.2. We wszystkich sprawach dotyczących przetwarzania danych osobowych prosimy o kontakt pod adresem contact@apzero.space.

3. PODSTAWY PRAWNE I CELE PRZETWARZANIA DANYCH

Administrator przetwarza dane osobowe Uczestników w następujących celach i na następujących podstawach prawnych:

3.1. Zawarcie i wykonanie Umowy o Współpracę (utworzenie konta, obsługa Panelu, naliczanie Prowizji, komunikacja związana z Programem) — art. 6 ust. 1 lit. b RODO.

3.2. Wypełnienie obowiązków prawnych ciążących na Administratorze, w szczególności obowiązków podatkowych, rachunkowych i sprawozdawczych (wystawianie dokumentów księgowych, archiwizacja, przeciwdziałanie praniu pieniędzy) — art. 6 ust. 1 lit. c RODO w zw. z ustawą o podatku dochodowym od osób fizycznych, ustawą o podatku dochodowym od osób prawnych, ustawą o podatku od towarów i usług, ustawą o rachunkowości, ordynacją podatkową oraz ustawą o przeciwdziałaniu praniu pieniędzy.

3.3. Realizacja prawnie uzasadnionych interesów Administratora — art. 6 ust. 1 lit. f RODO, w szczególności:

a) dochodzenie lub obrona przed roszczeniami,

b) zapewnienie bezpieczeństwa Panelu, zapobieganie nadużyciom (fraud), prowadzenie statystyk wewnętrznych,

c) marketing bezpośredni własnych produktów i usług,

d) prowadzenie korespondencji w ramach obsługi zapytań i reklamacji.

3.4. Marketing produktów i usług podmiotów trzecich oraz profilowanie w celach marketingowych — art. 6 ust. 1 lit. a RODO (tylko za zgodą Uczestnika, którą można wycofać w dowolnym momencie).

4. KATEGORIE PRZETWARZANYCH DANYCH

W zależności od kategorii Uczestnika przetwarzamy następujące dane:

4.1. Dane identyfikacyjne i kontaktowe:

- imię i nazwisko (lub nazwa firmy),

- adres email,

- numer telefonu (jeżeli podany),

- adres korespondencyjny/siedziby.

4.2. Dane rozliczeniowe:

- NIP — wymagany od każdego Uczestnika niezależnie od formy działalności, w związku z wdrożeniem Krajowego Systemu e-Faktur (KSeF). Osoba prowadząca działalność nierejestrowaną uzyskuje NIP przez złożenie formularza NIP-7 w urzędzie skarbowym,

- numer rachunku bankowego,

- adres korespondencyjny/siedziby wykazywany na dokumencie księgowym,

- dane z wystawionych faktur i rachunków.

Administrator nie pobiera i nie przechowuje numeru PESEL Uczestników.

4.3. Dane o działalności w Programie:

- login, hash hasła,

- historia logowań, adres IP, informacje o urządzeniu i przeglądarce,

- Kod rabatowy i statystyki jego użycia,

- dane o naliczonych i wypłaconych Prowizjach,

- dane o kanałach promocyjnych (jeśli Uczestnik je wskaże).

4.4. Dane komunikacyjne:

- treść korespondencji z Administratorem,

- historia reklamacji i zapytań.

4.5. Podanie danych jest dobrowolne, ale:

- dane z pkt 4.1 i 4.2 są niezbędne do zawarcia i wykonania Umowy — ich niepodanie uniemożliwia uczestnictwo w Programie,

- dane z pkt 4.3 w zakresie loginu i hasła są niezbędne do założenia konta,

- pozostałe dane są dobrowolne.

5. OKRESY PRZECHOWYWANIA DANYCH

Administrator przetwarza dane przez okres nie dłuższy niż niezbędny do realizacji celów, w których zostały zebrane:

| Kategoria danych | Okres retencji |

|---|---|

| Dane konta (login, hash hasła, dane profilowe) | Okres trwania Umowy + 3 lata od jej rozwiązania (przedawnienie roszczeń, art. 118 KC) |

| Dane rozliczeniowe i księgowe (faktury, rachunki, dane do przelewów) | 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku (art. 86 § 1 Ordynacji podatkowej) |

| Dane o transakcjach i Prowizjach | 5 lat (jak wyżej) |

| Dane logów (IP, sesje, bezpieczeństwo) | 12 miesięcy |

| Dane marketingowe (zgoda) | Do wycofania zgody, nie dłużej niż 3 lata od ostatniej aktywności |

| Dane z korespondencji (reklamacje) | 3 lata od zakończenia sprawy |

Po upływie okresów retencji dane są usuwane lub nieodwracalnie anonimizowane.

6. ODBIORCY DANYCH (PODMIOTY PRZETWARZAJĄCE)

6.1. Dane osobowe Uczestników mogą być przekazywane następującym kategoriom odbiorców, z którymi Administrator zawarł umowy powierzenia przetwarzania danych osobowych zgodnie z art. 28 RODO:

a) Stripe Payments Europe, Limited (Irlandia) oraz Stripe, Inc. (USA) — w celu obsługi wypłat Prowizji i przetwarzania płatności;

b) Appwrite Pte. Ltd. — w celu świadczenia usług backendowych (baza danych, uwierzytelnianie, przechowywanie plików). Serwery są zlokalizowane w regionie Unii Europejskiej;

c) Resend, Inc. (USA) — w celu wysyłki wiadomości e-mail transakcyjnych i powiadomień;

d) Dostawca usług hostingowych (dostawca infrastruktury serwerowej aplikacji);

e) Biuro rachunkowe obsługujące Administratora (Polska) — w celach księgowych i podatkowych;

f) Kancelarie prawne, podmioty świadczące usługi doradcze — w razie potrzeby, na podstawie umów zachowania poufności;

g) Organy państwowe i sądy — wyłącznie gdy wynika to z przepisów prawa.

6.2. Aktualny, szczegółowy wykaz podmiotów przetwarzających wraz z lokalizacją przetwarzania Administrator udostępnia na pisemne żądanie Uczestnika.

7. TRANSFER DANYCH POZA EUROPEJSKI OBSZAR GOSPODARCZY

7.1. Niektóre dane mogą być przekazywane do państw trzecich poza EOG, w szczególności do Stanów Zjednoczonych w związku z korzystaniem z usług Stripe, Inc. i Resend, Inc.

7.2. Transfer do USA odbywa się na podstawie:

a) decyzji wykonawczej Komisji Europejskiej (UE) 2023/1795 z dnia 10 lipca 2023 r. w sprawie adekwatności ochrony danych osobowych zapewnianej przez ramy ochrony danych UE–USA (Data Privacy Framework, DPF) — dla podmiotów certyfikowanych w DPF,

b) Standardowych Klauzul Umownych przyjętych decyzją wykonawczą Komisji (UE) 2021/914 — jako uzupełniająca podstawa prawna.

7.3. Kopia zastosowanych zabezpieczeń jest dostępna na żądanie Uczestnika pod adresem contact@apzero.space.

8. PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ

8.1. Uczestnikowi przysługują następujące prawa wynikające z RODO:

a) prawo dostępu do danych oraz otrzymania ich kopii (art. 15 RODO),

b) prawo do sprostowania danych (art. 16 RODO),

c) prawo do usunięcia danych — „prawo do bycia zapomnianym" (art. 17 RODO), z zastrzeżeniem ograniczeń wynikających z obowiązków prawnych Administratora (np. obowiązku przechowywania dokumentów księgowych),

d) prawo do ograniczenia przetwarzania (art. 18 RODO),

e) prawo do przenoszenia danych (art. 20 RODO) — w zakresie danych przetwarzanych na podstawie zgody lub umowy, w sposób zautomatyzowany,

f) prawo do sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie Administratora (art. 21 RODO), w tym sprzeciwu wobec marketingu bezpośredniego (bezwzględny),

g) prawo do wycofania zgody w dowolnym momencie — jeżeli przetwarzanie odbywa się na podstawie zgody; wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem,

h) prawo do wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl, jeżeli Uczestnik uzna, że przetwarzanie jego danych narusza RODO.

8.2. W celu realizacji praw wymienionych w pkt 8.1 lit. a–g Uczestnik może skontaktować się z Administratorem pod adresem contact@apzero.space. Administrator udziela odpowiedzi w terminie miesiąca, z możliwością przedłużenia o kolejne dwa miesiące w sprawach skomplikowanych (art. 12 ust. 3 RODO).

9. PROFILOWANIE I ZAUTOMATYZOWANE DECYZJE

9.1. Administrator nie podejmuje wobec Uczestników zautomatyzowanych decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na Uczestnika, w rozumieniu art. 22 RODO.

9.2. Naliczanie progów Prowizji (5–15%) odbywa się w oparciu o deterministyczny, jawny algorytm oparty wyłącznie na liczbie aktywnych subskrypcji polecanych klientów i nie stanowi profilowania ani zautomatyzowanej decyzji w rozumieniu RODO.

10. PLIKI COOKIES I TECHNOLOGIE ŚLEDZĄCE

10.1. Strona apzero.space oraz Panel używają plików cookies i zbliżonych technologii. Podstawą prawną korzystania z cookies są art. 173 i nast. ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne oraz art. 6 ust. 1 lit. a lub f RODO — w zależności od kategorii cookies.

10.2. Kategorie wykorzystywanych cookies:

a) **Niezbędne** — konieczne do działania usługi (utrzymanie sesji, ochrona przed atakami CSRF, zapamiętanie preferencji bezpieczeństwa). Nie wymagają zgody.

b) **Funkcjonalne** — zapamiętywanie preferencji Uczestnika (język, wybrane ustawienia). Wymagają zgody.

c) **Analityczne** — pomiar ruchu i zachowań użytkowników na stronie (jeśli Administrator korzysta z takich narzędzi). Wymagają zgody.

d) **Płatnicze (Stripe)** — wymagane do bezpiecznego przetwarzania płatności i zapobiegania oszustwom.

10.3. Uczestnik może zarządzać zgodami na cookies w dowolnym momencie poprzez baner cookies na stronie lub ustawienia przeglądarki. Wyłączenie cookies niezbędnych może uniemożliwić korzystanie z Panelu.

10.4. Szczegółowe informacje o używanych cookies (nazwa, cel, okres przechowywania, dostawca) Administrator publikuje w panelu zarządzania cookies dostępnym na stronie.

11. BEZPIECZEŃSTWO DANYCH

11.1. Administrator stosuje środki techniczne i organizacyjne adekwatne do ryzyka, w tym:

a) szyfrowanie transmisji (TLS 1.2+ / HTTPS),

b) hashowanie haseł z użyciem algorytmu odpornego na ataki (bcrypt/Argon2),

c) dostęp do danych na zasadzie „need to know" — wyłącznie upoważnieni pracownicy i współpracownicy związani umowami poufności,

d) ewidencję upoważnień do przetwarzania danych,

e) regularne kopie zapasowe bazy danych oraz testy odtwarzania,

f) logowanie zdarzeń związanych z dostępem i zmianami danych,

g) monitorowanie infrastruktury i reagowanie na incydenty,

h) opcjonalne dwuskładnikowe uwierzytelnianie (2FA) dla Uczestników,

i) okresowe szkolenia osób upoważnionych do przetwarzania danych.

11.2. W przypadku naruszenia ochrony danych osobowych Administrator — zgodnie z art. 33 RODO — zgłasza naruszenie Prezesowi UODO w terminie 72 godzin od jego stwierdzenia, a w przypadku wysokiego ryzyka naruszenia praw lub wolności osób (art. 34 RODO) zawiadamia o tym bezpośrednio osoby, których dane dotyczą.

12. ŹRÓDŁA DANYCH

12.1. Dane osobowe są zbierane bezpośrednio od Uczestnika w procesie rejestracji i korzystania z Panelu.

12.2. Dane o transakcjach i Prowizjach są generowane automatycznie w związku z użyciem Kodu rabatowego przez poleconych klientów.

12.3. Dane publicznie dostępne (np. z CEIDG, KRS — w zakresie weryfikacji przedsiębiorców) mogą być pozyskiwane z rejestrów publicznych.

13. ZMIANY POLITYKI PRYWATNOŚCI

13.1. Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności w przypadku:

a) zmiany przepisów prawa,

b) zmiany technologii lub infrastruktury wpływającej na sposób przetwarzania danych,

c) zmiany zakresu świadczonych usług,

d) rekomendacji organów nadzoru (PUODO, EROD).

13.2. O istotnych zmianach Polityki Administrator informuje Uczestników drogą elektroniczną z co najmniej 14-dniowym wyprzedzeniem.

13.3. Aktualna wersja Polityki Prywatności jest zawsze dostępna pod adresem apzero.space/privacy.

14. POSTANOWIENIA KOŃCOWE

14.1. W sprawach nieuregulowanych niniejszą Polityką zastosowanie mają przepisy RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, ustawy Prawo telekomunikacyjne oraz inne przepisy prawa polskiego i unijnego.

14.2. Polityka wchodzi w życie z dniem 1 kwietnia 2026 roku.