# Polityka prywatnosci StaffApp

**Wersja:** 1.0  
**Data wejscia w zycie:** 2026-04-17  
**Kontakt:** `karol_kliza@wp.pl`, `+48 515 423 546`

## 1. Kto jest administratorem danych

Administratorem danych osobowych jest:
- Karol Kliza
- ul. Pulawska 26A, 20-822 Lublin
- NIP: 9462731286, REGON: 526060880

W sprawach ochrony danych mozesz skontaktowac sie pod adresem: `karol_kliza@wp.pl`.

## 2. Zakres dokumentu

Niniejsza Polityka prywatnosci opisuje zasady przetwarzania danych osobowych w zwiazku z korzystaniem z aplikacji StaffApp ("Aplikacja"), w tym:
- jakie dane sa przetwarzane,
- w jakich celach i na jakiej podstawie prawnej,
- komu dane sa udostepniane,
- jak dlugo dane sa przechowywane,
- jakie prawa przysluguja osobom, ktorych dane dotycza.

## 3. Jakie dane przetwarzamy

W zaleznosci od roli uzytkownika i sposobu korzystania z Aplikacji przetwarzamy m.in.:
- dane konta: login, haslo (w postaci hasha), imie i nazwisko, rola, status konta,
- dane profilowe: e-mail, telefon (jesli podane),
- dane organizacyjne: przypisania do tenantow, role i uprawnienia,
- dane operacyjne: zadania, komentarze, zdjecia zalacznikow, statusy realizacji,
- dane powiadomien: tokeny urzadzen, metadane dostarczenia powiadomien,
- dane techniczne i audytowe: logi zdarzen i operacji administracyjnych.

Co do zasady nie przewidujemy przetwarzania szczegolnych kategorii danych (art. 9 RODO), chyba ze wynika to z odrebnych i legalnych ustalen.

## 4. Cele i podstawy prawne przetwarzania

Dane przetwarzamy w szczegolnosci w nastepujacych celach:
- swiadczenie i utrzymanie uslugi StaffApp,
- zarzadzanie kontami i dostepem do Aplikacji,
- realizacja procesow operacyjnych tenantow (zadania, raporty, checklisty, audyty),
- zapewnienie bezpieczenstwa i rozliczalnosci dzialan,
- obsluga zgloszen, reklamacji i praw wynikajacych z RODO.

Podstawy prawne:
- art. 6 ust. 1 lit. b RODO (wykonanie umowy / dzialania przed zawarciem umowy),
- art. 6 ust. 1 lit. c RODO (obowiazek prawny),
- art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora, np. bezpieczenstwo i obrona roszczen).

## 5. Odbiorcy danych i podwykonawcy

Dane moga byc powierzane podmiotom przetwarzajacym wspierajacym swiadczenie uslugi, w szczegolnosci:
- OVHcloud (hosting infrastruktury),
- Google Firebase/FCM (push notifications, jesli funkcja jest wlaczona).

Aktualny rejestr podwykonawcow i statusow DPA jest prowadzony w:
- `shared/deploy/DPA_REGISTER.md`.

## 6. Transfer danych poza EOG

Aktualna deklaracja operacyjna zaklada brak transferow danych poza EOG w podstawowym trybie swiadczenia uslugi.

Jesli transfer poza EOG bylby wymagany, bedzie realizowany zgodnie z rozdzialem V RODO, z zastosowaniem odpowiednich podstaw prawnych (np. SCC).

## 7. Okres przechowywania danych

Okres przechowywania zalezy od kategorii danych i celu przetwarzania. Operacyjny baseline obejmuje m.in.:
- dane kont aktywnych: przez okres korzystania z uslugi i relacji biznesowej,
- konta po usunieciu: model soft delete/tombstone,
- logi i dane operacyjne objete retencja aplikacyjna: domyslnie do 24 miesiecy,
- retencja zdjec taskow: zgodnie z polityka operacyjna (np. approved 30 dni, pending 90 dni),
- backupy: retencja operacyjna full/uploads 30 dni, schema 90 dni.

Szczegoly retencji i backupow wynikaja z dokumentacji operacyjnej backendu.

## 8. Bezpieczenstwo danych

Stosowane sa srodki techniczne i organizacyjne adekwatne do ryzyka, w tym mechanizmy kontroli dostepu, logowania zdarzen i procedury incydentowe.

Status szyfrowania at-rest dla warstwy infrastrukturalnej:
- `PENDING_OVH_CONFIRMATION` (oczekiwanie na pisemne potwierdzenie od OVHcloud).

## 9. Twoje prawa

Masz prawo do:
- dostepu do danych,
- sprostowania danych,
- usuniecia danych (w przypadkach przewidzianych prawem),
- ograniczenia przetwarzania,
- sprzeciwu wobec przetwarzania (gdy podstawa jest uzasadniony interes),
- przenoszenia danych (gdy ma zastosowanie),
- wniesienia skargi do Prezesa UODO.

W celu realizacji praw skontaktuj sie przez `karol_kliza@wp.pl`.

## 10. Obsluga zadan RODO (DSAR)

Zgloszenia sa obslugiwane bez zbednej zwloki, co do zasady w terminie do 30 dni, z mozliwoscia przedluzenia zgodnie z RODO.

Tozsamosc osoby skladajacej wniosek jest weryfikowana adekwatnie do rodzaju zadania i ryzyka.

## 11. Zmiany Polityki prywatnosci

Polityka moze byc aktualizowana w przypadku zmian prawnych, organizacyjnych lub technicznych.

Aktualna wersja i data wejscia w zycie sa wskazane na poczatku dokumentu.