Polityka prywatności Atesto

Ostatnia aktualizacja: 1 kwietnia 2026

Niniejsza polityka prywatności opisuje zasady przetwarzania danych osobowych w serwisie Atesto (atesto24.pl i app.atesto24.pl).

1. Administrator danych

Administratorem danych osobowych jest:

Michał Węgielski ul. Ludwika Mroza 47, Mszana Dolna E-mail: [email protected]

2. Jakie dane zbieramy

Dane podane przy rejestracji (Użytkownik — właściciel konta)

• Imię i nazwisko
• Nazwa firmy
• Numer telefonu
• Adres e-mail
• Hasło (przechowywane w formie zaszyfrowanej)
• NIP i REGON (opcjonalnie, jeśli wymagane do generowania raportów HACCP)

Dane Pracowników zaproszonych przez Użytkownika

• Imię i nazwisko
• Adres e-mail
• Numer telefonu (opcjonalnie)

Pracownicy są zapraszani przez Użytkownika (właściciela konta) i akceptują regulamin oraz politykę prywatności przy pierwszym logowaniu.

Dane wprowadzane podczas korzystania z Usługi

• Pomiary temperatur urządzeń chłodniczych i grzewczych
• Zapisy kontroli czystości i harmonogramy mycia/dezynfekcji
• Dane o przyjęciach dostaw (w tym dane dostawców: nazwa firmy, NIP, dane kontaktowe)
• Dane o wydaniach produktów (w tym dane osób odbierających: numer telefonu, imię/nazwa — jeśli podane przez Użytkownika)
• Zapisy monitoringu szkodników (w tym dane kontrolerów szkodników: imię, nazwisko, nazwa firmy, dane kontaktowe; informacje o pułapkach i ich lokalizacji)
• Raporty generowane na podstawie powyższych danych
• Pliki uploadowane przez Użytkownika lub Pracownika — zdjęcia, faktury, dokumenty (PDF, Word, Excel) dołączane do dostaw, dokumenty pracowników (np. orzeczenia lekarskie, certyfikaty szkoleniowe) oraz inne pliki dodane przez Użytkownika

Dane zdrowotne pracowników (szczególna kategoria danych)

W ramach zarządzania zespołem Użytkownik (jako pracodawca) może przechowywać dokumenty zdrowotne swoich pracowników, takie jak orzeczenia lekarskie do celów sanitarno-epidemiologicznych. Są to dane szczególnej kategorii w rozumieniu art. 9 RODO.

• Podstawa prawna przetwarzania: obowiązek pracodawcy wynikający z Kodeksu pracy (art. 229) oraz przepisów o bezpieczeństwie żywności (art. 9 ust. 2 lit. b RODO — przetwarzanie niezbędne do wykonania obowiązków z zakresu prawa pracy).
• Odpowiedzialność: za przechowywanie i okres retencji dokumentów pracowniczych odpowiada Użytkownik jako pracodawca — Atesto pełni wyłącznie rolę podmiotu przetwarzającego (procesora).
• Usuwanie: dokumenty pracownika są trwale kasowane z systemu w momencie usunięcia pracownika z zespołu. Przed usunięciem Użytkownik ma możliwość ich pobrania.
• Dostęp: dokumenty pracowników widoczne są wyłącznie dla właściciela zespołu.

Dane zbierane automatycznie

• Informacje o sposobie korzystania z serwisu (odwiedzane strony, kliknięcia, czas spędzony na stronie)
• Adres IP
• Typ przeglądarki i urządzenia

3. W jakim celu przetwarzamy dane

• Świadczenie Usługi — prowadzenie konta, przechowywanie danych HACCP, generowanie raportów (podstawa prawna: wykonanie umowy, art. 6 ust. 1 lit. b RODO).
• Kontakt z Użytkownikiem — odpowiadanie na pytania, informowanie o zmianach w Usłudze (podstawa prawna: prawnie uzasadniony interes administratora, art. 6 ust. 1 lit. f RODO).
• Ulepszanie Usługi — analiza sposobu korzystania z serwisu w celu poprawy funkcjonalności (podstawa prawna: prawnie uzasadniony interes administratora, art. 6 ust. 1 lit. f RODO).

4. Czy podanie danych jest obowiązkowe

• Podanie danych przy rejestracji (imię, nazwisko, e-mail, telefon, nazwa firmy) jest warunkiem zawarcia umowy o świadczenie Usługi. Bez tych danych nie jest możliwe utworzenie konta.
• Podanie danych podczas korzystania z Usługi (pomiary, zapisy, dokumenty) jest dobrowolne, ale niezbędne do pełnego korzystania z funkcjonalności Atesto.
• Wyrażenie zgody na analityczne pliki cookie jest dobrowolne i nie wpływa na możliwość korzystania z Usługi.

5. Pliki cookie i narzędzia analityczne

Pliki cookie

Serwis atesto24.pl wykorzystuje pliki cookie. Przy pierwszej wizycie wyświetlamy baner informujący o plikach cookie — Użytkownik może zaakceptować lub odrzucić opcjonalne pliki cookie.

Stosujemy następujące kategorie plików cookie:

• Niezbędne — wymagane do prawidłowego działania strony. Nie można ich wyłączyć.
• Analityczne (opcjonalne) — pomagają nam zrozumieć, jak odwiedzający korzystają ze strony. Są aktywowane wyłącznie po wyrażeniu zgody przez Użytkownika.

Użytkownik może w każdej chwili zmienić swoje preferencje dotyczące plików cookie za pomocą przycisku „Ustawienia cookies” w stopce strony.

Narzędzia analityczne

Korzystamy z narzędzia PostHog do analizy ruchu na stronie i sposobu korzystania z Usługi. PostHog wykorzystuje analityczne pliki cookie (oznaczone ph_*) wyłącznie po wyrażeniu zgody przez Użytkownika. W aplikacji app.atesto24.pl narzędzie analityczne działa w ramach świadczonej Usługi — korzystanie z analityki jest objęte zgodą wyrażoną przy rejestracji.

Dane analityczne obejmują: odwiedzane strony, kliknięcia, czas spędzony na stronie, typ urządzenia i przeglądarki.

6. Gdzie przechowujemy dane

Dane osobowe i dane HACCP przechowywane są na serwerach Supabase zlokalizowanych w Unii Europejskiej (Irlandia, eu-west-1). Dane nie są przekazywane poza Europejski Obszar Gospodarczy.

Pliki uploadowane przez Użytkownika (zdjęcia, dokumenty PDF, Word, Excel) przechowywane są w Supabase Storage w tej samej lokalizacji (UE). Pliki są szyfrowane w spoczynku i dostępne wyłącznie dla uprawnionych członków zespołu.

Kopie zapasowe bazy danych wykonywane są automatycznie raz na dobę i przechowywane przez 7 dni.

7. Komu udostępniamy dane

Dane osobowe Użytkownika nie są sprzedawane ani udostępniane podmiotom trzecim w celach marketingowych.

Dane mogą być udostępnione wyłącznie:

• Dostawcom usług technicznych (Supabase, PostHog) — w zakresie niezbędnym do świadczenia Usługi.
• Organom państwowym — jeśli obowiązek udostępnienia wynika z przepisów prawa.

Partnerzy

Jeśli Użytkownik zarejestrował się za pośrednictwem linku partnera (konsultanta HACCP, firmy doradczej), partner ma dostęp wyłącznie do listy swoich klientów i ich statusu aktywności. Partner nie ma dostępu do danych HACCP Użytkownika (temperatur, raportów, harmonogramów). Dane każdego partnera są oddzielone — żaden partner nie widzi danych klientów innych partnerów.

8. Powierzenie przetwarzania danych (art. 28 RODO)

W zakresie, w jakim Użytkownik (jako pracodawca lub administrator danych) wprowadza do serwisu Atesto dane osobowe swoich pracowników lub innych osób trzecich, Atesto pełni rolę podmiotu przetwarzającego (procesora) w rozumieniu art. 28 RODO.

Przedmiot i zakres powierzenia

• Przedmiot przetwarzania: przechowywanie i udostępnianie danych osobowych wprowadzonych przez Użytkownika w ramach funkcjonalności Usługi (zarządzanie zespołem, dokumentacja HACCP, ewidencja dostaw, monitoring szkodników).
• Czas trwania przetwarzania: od momentu wprowadzenia danych do systemu do momentu ich usunięcia lub usunięcia konta Użytkownika.
• Charakter i cel przetwarzania: przechowywanie, wyświetlanie i generowanie raportów na podstawie danych w celu wspomagania prowadzenia dokumentacji HACCP/GHP/GMP.
• Rodzaje danych osobowych: imiona i nazwiska pracowników, adresy e-mail, numery telefonów, daty badań lekarskich, orzeczenia lekarskie (dane szczególnej kategorii — dane dotyczące zdrowia), certyfikaty szkoleniowe, dane dostawców (nazwa firmy, NIP, dane kontaktowe), dane kontrolerów szkodników (imię, nazwisko, firma, dane kontaktowe), dane osób odbierających wydania (numer telefonu, imię/nazwa).
• Kategorie osób, których dane dotyczą: pracownicy i współpracownicy Użytkownika, dostawcy, kontrolerzy szkodników, osoby odbierające wydania produktów i inne osoby trzecie, których dane Użytkownik wprowadza do systemu.

Obowiązki Atesto jako podmiotu przetwarzającego

• Atesto przetwarza dane osobowe wyłącznie na udokumentowane polecenie Użytkownika (administratora), w tym w zakresie przekazywania danych do państw trzecich — chyba że obowiązek przetwarzania wynika z prawa UE lub prawa polskiego (art. 28 ust. 3 lit. a RODO).
• Atesto zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi poufności (art. 28 ust. 3 lit. b RODO).
• Atesto stosuje odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych (opisane w pkt 11) — art. 28 ust. 3 lit. c RODO.
• Atesto może korzystać z podprocesorów wyłącznie za uprzednią ogólną zgodą Użytkownika. O zamiarze zmiany podprocesorów Atesto poinformuje Użytkownika, dając mu możliwość wniesienia sprzeciwu (art. 28 ust. 2 RODO). Aktualni podprocesorzy: Supabase (hosting i przechowywanie danych, UE).
• Atesto pomaga Użytkownikowi w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie praw określonych w rozdziale III RODO (dostęp, sprostowanie, usunięcie, przenoszenie) — art. 28 ust. 3 lit. e RODO.
• Atesto pomaga Użytkownikowi w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO (bezpieczeństwo przetwarzania, zgłaszanie naruszeń, ocena skutków dla ochrony danych) — art. 28 ust. 3 lit. f RODO.
• Po zakończeniu świadczenia Usługi (usunięcie konta) Atesto usuwa wszystkie powierzone dane osobowe w ciągu 30 dni, chyba że przepisy prawa wymagają ich dłuższego przechowywania. Na żądanie Użytkownika dane mogą zostać zwrócone przed usunięciem (art. 28 ust. 3 lit. g RODO).
• Atesto udostępnia Użytkownikowi wszelkie informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwia przeprowadzanie audytów i inspekcji przez Użytkownika lub upoważnionego audytora (art. 28 ust. 3 lit. h RODO).
• Atesto niezwłocznie informuje Użytkownika, jeśli jego polecenie narusza RODO lub inne przepisy o ochronie danych (art. 28 ust. 3 akapit ostatni RODO).
• Atesto informuje Użytkownika o wszelkich naruszeniach ochrony danych osobowych bez zbędnej zwłoki (art. 33 ust. 2 RODO).

Korzystanie z Usługi stanowi zawarcie umowy powierzenia przetwarzania danych osobowych na warunkach określonych w niniejszej sekcji, zgodnie z art. 28 ust. 3 RODO.

9. Jak długo przechowujemy dane

• Dane konta — przez cały okres korzystania z Usługi.
• Pliki uploadowane — przez okres istnienia powiązanego rekordu (dostawy lub pracownika). Po usunięciu dostawy lub pracownika z systemu pliki są trwale kasowane. Użytkownik ma możliwość pobrania plików przed usunięciem.
• Dokumenty pracowników — trwale kasowane w momencie usunięcia pracownika z zespołu. Odpowiedzialność za archiwizację dokumentów zgodnie z Kodeksem pracy spoczywa na Użytkowniku (pracodawcy).
• Po usunięciu konta — dane zostaną usunięte w ciągu 30 dni, chyba że przepisy prawa wymagają ich dłuższego przechowywania.
• Dane analityczne — przechowywane w formie zanonimizowanej, bez możliwości identyfikacji konkretnego Użytkownika.

10. Prawa Użytkownika

Zgodnie z RODO, Użytkownik ma prawo do:

• Dostępu do swoich danych osobowych (art. 15 RODO).
• Sprostowania nieprawidłowych danych (art. 16 RODO).
• Usunięcia danych — „prawo do bycia zapomnianym” (art. 17 RODO).
• Ograniczenia przetwarzania danych (art. 18 RODO).
• Przenoszenia danych do innego usługodawcy (art. 20 RODO).
• Sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu (art. 21 RODO).
• Cofnięcia zgody w dowolnym momencie, jeśli przetwarzanie odbywa się na podstawie zgody (art. 7 ust. 3 RODO). Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

Aby skorzystać z powyższych praw, prosimy o kontakt na adres: [email protected]. Odpowiadamy w ciągu 30 dni.

Użytkownik ma również prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa.

11. Bezpieczeństwo danych

Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, w tym:

• Szyfrowanie połączeń (HTTPS/TLS).
• Szyfrowanie haseł (bcrypt).
• Szyfrowanie plików w spoczynku (encryption at rest).
• Automatyczne kopie zapasowe.
• Kontrola dostępu do systemów (Row Level Security w Supabase).

Żadna metoda przechowywania ani transmisji danych przez Internet nie jest w 100% bezpieczna. Dokładamy starań, aby chronić dane Użytkowników, ale nie możemy zagwarantować ich absolutnego bezpieczeństwa.

12. Zautomatyzowane podejmowanie decyzji

Atesto nie stosuje zautomatyzowanego podejmowania decyzji ani profilowania w rozumieniu art. 22 RODO, które wywierałoby skutki prawne wobec Użytkownika lub w podobny sposób istotnie na niego wpływało.

13. Dzieci

Usługa nie jest przeznaczona dla osób poniżej 18 roku życia. Nie zbieramy świadomie danych osobowych od osób niepełnoletnich.

14. Zmiany polityki prywatności

Zastrzegamy sobie prawo do zmiany niniejszej polityki prywatności. O istotnych zmianach poinformujemy Użytkowników za pośrednictwem poczty elektronicznej lub komunikatu w serwisie z co najmniej 14-dniowym wyprzedzeniem.

15. Kontakt

W sprawach związanych z ochroną danych osobowych prosimy o kontakt:

• E-mail: [email protected]