Polityka prywatności
Niniejsza polityka wyjaśnia, w jaki sposób przetwarzane są dane osobowe na stronie certapoland.com oraz w związku z naszymi usługami, a także jakie prawa Ci przysługują. Nota prawna i warunki odpowiedzialności są publikowane odrębnie pod adresem Nota prawna.
W razie rozbieżności wiążąca jest wersja angielska niniejszej polityki: /privacy-policy/.
I. Administrator danych
Administratorem Twoich danych osobowych jest Biuro Rachunkowe Precyzja Sp. z o.o., ul. Twarda 18, 00-105 Warszawa (KRS 0000854434, NIP 5252832004, REGON 386751000). Certa Poland jest marką Biura Rachunkowego Precyzja Sp. z o.o. Kontakt w sprawach ochrony danych: office@certapoland.com.
II. Co przetwarzamy, w jakim celu i na jakiej podstawie
- Zapytania i zgłoszenia o assessment (formularz, e-mail, telefon). Cel: udzielenie odpowiedzi na Twoje zapytanie i podjęcie działań na Twoje żądanie przed zawarciem umowy (art. 6 ust. 1 lit. b) RODO); prowadzenie korespondencji biznesowej oraz możliwość ustalenia, dochodzenia lub obrony przed potencjalnymi roszczeniami i utrzymania zapisu kontaktów biznesowych (art. 6 ust. 1 lit. f) — prawnie uzasadniony interes). Podanie danych jest dobrowolne, ale niezbędne, abyśmy mogli odpowiedzieć. Jak działa formularz: dane przesłane przez formularz „Book an assessment“ są przekazywane do nas jako wiadomość e-mail na skrzynkę administratora; ta strona nie przechowuje ich we własnych bazach danych. Zastosowanie mogą mieć standardowe logi techniczne naszych dostawców infrastruktury (zob. §III). Na dzień sporządzenia niniejszej polityki dane z formularza nie są wprowadzane do żadnego systemu CRM.
- Świadczenie usług (księgowość, kadry i płace, compliance). Podstawa: wykonanie umowy (art. 6 ust. 1 lit. b)) oraz obowiązki prawne administratora wynikające z polskich przepisów o rachunkowości i prawa podatkowego (art. 6 ust. 1 lit. c)). Role na gruncie RODO: gdy nasi klienci (pracodawcy) powierzają nam dane osobowe swoich pracowników lub współpracowników w celach kadrowo-płacowych i księgowych, działamy jako podmiot przetwarzający (art. 28 RODO), a klient pozostaje administratorem — z wyjątkiem sytuacji, w których prawo nakłada obowiązki bezpośrednio na nas (np. AML, własne obowiązki podatkowe i rachunkowe), gdzie działamy jako administrator. Osoby, których dane przetwarzamy w toku usług, otrzymują odrębne klauzule informacyjne; niniejsza polityka stanowi ogólną warstwę informacyjną strony internetowej.
- Przeciwdziałanie praniu pieniędzy (AML). W zakresie, w jakim — na właściwym etapie relacji — administrator jest prawnie zobowiązany do stosowania środków bezpieczeństwa finansowego, weryfikujemy tożsamość zgodnie z polską ustawą AML. Podstawa: art. 6 ust. 1 lit. c). Podanie tych danych jest wymogiem ustawowym; bez nich nie możemy świadczyć objętych nim usług (art. 41 ustawy AML). Dokumentacja AML jest przechowywana w zabezpieczonych archiwach administratora.
- Analityka. Cel: zrozumienie sposobu korzystania ze strony. Podstawa: Twoja zgoda (art. 6 ust. 1 lit. a)), wyrażona za pośrednictwem banera cookies. Zgodę możesz wycofać w każdej chwili (zob. §IV i §VI) — wycofanie nie wpływa na zgodność z prawem przetwarzania sprzed wycofania. Do czasu wyrażenia zgody analityka nie działa.
III. Odbiorcy i przekazywanie poza EOG
- Organy publiczne (urzędy skarbowe, ZUS, GUS) — wyłącznie gdy wymaga tego prawo, w toku świadczenia usług.
- Podmioty przetwarzające / dostawcy:
- Cloudflare, Inc. (USA) — hosting i dostarczanie strony, routing poczty, warstwa zgód i analityki (Cloudflare Zaraz);
- Google Ireland Ltd. (Irlandia — dostawca usługi Google Analytics 4 w EOG) z możliwym przetwarzaniem przez Google LLC (USA) w ramach infrastruktury Google;
- Zenbox.pl (Polska) — hosting skrzynki pocztowej administratora.
- Przekazywanie poza EOG: gdy odbiorca posiada aktywną certyfikację w ramach Ram Ochrony Danych UE–USA (Data Privacy Framework) (decyzja Komisji o adekwatności z 10 lipca 2023 r.), opieramy się na DPF; w przeciwnym razie opieramy się na standardowych klauzulach umownych (SCC) wraz z dodatkowymi środkami tam, gdzie są wymagane. W przypadku wskazanych wyżej dostawców z USA (Cloudflare, Inc. i Google LLC) przekazywanie opiera się na aktywnej certyfikacji DPF zweryfikowanej na dzień sporządzenia niniejszej polityki albo na standardowych klauzulach umownych, gdy certyfikacja nie ma zastosowania; Zenbox.pl przetwarza dane w Polsce. Status certyfikacji jest weryfikowany na dzień sporządzenia niniejszej polityki oraz okresowo.
IV. Pliki cookie
Stosujemy baner zarządzania zgodami (Cloudflare Zaraz). Kategorie:
- Niezbędne (techniczne) — konieczne do działania strony i jej bezpieczeństwa (obsługiwane przez Cloudflare); przechowywane przez czas trwania sesji lub do 12 miesięcy; nie można ich wyłączyć.
- Analityczne (Google Analytics 4) — ustawiane dopiero po wyrażeniu zgody; pliki cookie z rodziny
_ga, przechowywane do 24 miesięcy; służą do tworzenia zagregowanych statystyk korzystania.
Podstawą przechowywania/dostępu do plików cookie jest Twoja zgoda, zgodnie z Prawem komunikacji elektronicznej (PKE), z wyjątkiem plików ściśle niezbędnych do świadczenia usługi. Odmowa zgody jest tak samo łatwa jak jej wyrażenie, a swój wybór możesz zmienić w każdej chwili przez „Ustawienia cookies“ dostępne na stronie.
V. Okresy przechowywania
- Zapytania niekończące się współpracą: do 12 miesięcy od zakończenia wymiany; korespondencja w ramach relacji biznesowej: do upływu terminu przedawnienia roszczeń związanych z działalnością gospodarczą według prawa polskiego (co do zasady 3 lata, art. 118 Kodeksu cywilnego). W każdej chwili możesz wnieść sprzeciw (zob. §VI).
- Dokumentacja księgowa i podatkowa (klienci): co najmniej 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku (art. 70 §1 i 86 §1 Ordynacji podatkowej; art. 74 ustawy o rachunkowości); okres ten może ulec wydłużeniu w razie zawieszenia lub przerwania biegu przedawnienia.
- Dokumentacja AML: 5 lat liczone od pierwszego dnia roku następującego po zakończeniu relacji gospodarczej lub transakcji (art. 49 ustawy AML), lub dłużej, gdy jest to wymagane w związku z toczącym się postępowaniem albo na żądanie GIIF.
- Analityka: dane zdarzeń GA4 na poziomie zdarzenia do 14 miesięcy; statystyki zagregowane nie identyfikują Ciebie.
V-bis. Dane pozyskane z innych źródeł
W związku z naszymi obowiązkami ustawowymi (w szczególności AML) możemy pozyskiwać dane osobowe reprezentantów klientów i beneficjentów rzeczywistych od klienta oraz z rejestrów publicznych (np. KRS, CEIDG, CRBR): dane identyfikacyjne i kontaktowe w zakresie wymaganym przez prawo. Gdy prawo wyraźnie reguluje pozyskiwanie lub ujawnianie takich danych, zastosowanie może mieć wyłączenie z art. 14 ust. 5 lit. c) RODO.
VI. Twoje prawa
Masz prawo do: dostępu do swoich danych i uzyskania kopii; sprostowania; usunięcia (gdy nie ma zastosowania ustawowy obowiązek przechowywania); ograniczenia przetwarzania; sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie; przenoszenia danych; oraz — w odniesieniu do przetwarzania opartego na zgodzie — prawa do wycofania zgody w każdej chwili, bez wpływu na przetwarzanie dokonane przed wycofaniem.
Możesz wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa. Nie podejmujemy decyzji zautomatyzowanych wywołujących skutki prawne (art. 22 RODO).
VII. Kontakt
Sprawy ochrony danych i realizacja praw: office@certapoland.com.
Ostatnia aktualizacja: 4 lipca 2026 r. Wersja angielska: /privacy-policy/.