Oferta startowa - wpisz kod KONTO50 i masz -50% na każdy zestaw lub plan. Zobacz cennik

Ostatnia aktualizacja: 19 czerwca 2026

POLITYKA PRYWATNOŚCI ROUNDKIT

Wersja 1.0 — obowiązuje od dnia 19 czerwca 2026 r.

§ 1. Informacje wstępne

  1. Niniejsza polityka prywatności (dalej: "Polityka") określa zasady przetwarzania danych osobowych użytkowników serwisu RoundKit, dostępnego pod adresem https://roundkit.runriva.com (dalej: "Serwis").
  2. Polityka stanowi załącznik do Regulaminu Serwisu, dostępnego pod adresem https://roundkit.runriva.com/legal/terms. Pojęcia pisane wielką literą, niezdefiniowane w Polityce, mają znaczenie nadane im w Regulaminie. Określenie "Klient" obejmuje także osobę dokonującą zakupu bez Konta oraz osobę korzystającą z nieodpłatnego Kreatora.
  3. Polityka realizuje obowiązek informacyjny wynikający z art. 13 i 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: "RODO").

§ 2. Administrator danych osobowych

  1. Administratorem danych osobowych (dalej: "Administrator") jest Maciej Dzierżek, prowadzący jednoosobową działalność gospodarczą wpisaną do CEIDG, z adresem stałego miejsca wykonywania działalności gospodarczej: ul. Cieszyńska 1a/57, 02-716 Warszawa, Polska, NIP: PL7411885009, REGON: 280016640.
  2. Kontakt z Administratorem we wszelkich sprawach dotyczących przetwarzania danych osobowych jest możliwy:
    1. za pośrednictwem poczty elektronicznej, pod adresem: maciej.dzierzek@gmail.com;
    2. za pośrednictwem poczty tradycyjnej, pod adresem wskazanym w ust. 1.
  3. Administrator nie wyznaczył inspektora ochrony danych (IOD), ponieważ nie jest do tego zobowiązany na podstawie art. 37 RODO.

§ 3. Jakie dane osobowe przetwarzamy

Administrator przetwarza następujące kategorie danych osobowych:

  1. Dane Konta (jeżeli Klient zakłada Konto):

    1. adres e-mail;
    2. hasło — przechowywane wyłącznie w postaci nieodwracalnego skrótu kryptograficznego — albo, w przypadku logowania kontem Google, identyfikator konta Google i podstawowe dane profilu udostępnione przez Google (imię, adres e-mail, zdjęcie profilowe);
    3. nazwa lub imię Klienta;
    4. status zgody marketingowej;
    5. logo organizatora wgrane przez Klienta (w ramach brandingu Materiałów — Plany Host/Pro);
    6. adres IP oraz znacznik czasu (timestamp) akceptacji Regulaminu i Polityki;
    7. preferencje językowe i ustawienia interfejsu (motyw jasny/ciemny).

  2. Dane zamówień i płatności:

    1. adres e-mail nabywcy (zbierany także w przypadku Zakupu jednorazowego bez Konta);
    2. historia zamówień, w tym parametry zamówionego Zestawu (kategorie, trudność, liczba rund), kwota, waluta i status zamówienia;
    3. znacznik czasu złożenia oświadczenia o zrzeczeniu się prawa odstąpienia (§ 13 Regulaminu);
    4. status i dane Subskrypcji (daty, kwoty, waluta, okres rozliczeniowy), identyfikator klienta u Operatora Płatności;
    5. dane karty płatniczej oraz pełne dane do faktury są przetwarzane wyłącznie przez Operatora Płatności (Stripe) jako podmiot rozliczający transakcje (merchant of record) i nie są przechowywane przez Administratora. Administrator otrzymuje od Operatora ograniczone dane rozliczeniowe (np. status transakcji, identyfikator klienta, kwotę i walutę).

  3. Dane korzystania z Serwisu:

    1. stan Kreatora (skomponowany Zestaw) powiązany z identyfikatorem sesji (plik cookie) lub Kontem;
    2. historia pytań wykorzystanych przez Klienta (mechanizm anti-duplikat) — adres e-mail lub identyfikator Konta, identyfikatory Pytań oraz znacznik czasu;
    3. logi serwera i bezpieczeństwa (adres IP, nagłówek User-Agent, znaczniki czasu, podejrzane wzorce ruchu, błędne logowania).

  4. Dane komunikacji z Administratorem:

    1. treść wiadomości e-mail przesłanych do Administratora i odpowiedzi Administratora;
    2. metadane komunikacji (data, adres e-mail).

  5. Dane marketingowe — przetwarzane wyłącznie w przypadku wyrażenia odrębnej zgody:

    1. adres e-mail;
    2. status zgody (data wyrażenia, data ewentualnego cofnięcia);
    3. metadane wysyłki (otwarcia, kliknięcia — w zakresie udostępnianym przez dostawcę usługi e-mail).

  6. Dane analityczne — przetwarzane wyłącznie po wyrażeniu zgody na cookies analityczne (§ 7):

    1. identyfikatory plików cookies oraz zdarzenia korzystania z Serwisu (Google Analytics 4);
    2. nagrania sesji i mapy ciepła interakcji z interfejsem, identyfikator użytkownika i sesji (Microsoft Clarity).

  7. Cookies i podobne technologie — szczegółowo w § 7 Polityki.

Administrator nie przetwarza danych wrażliwych w rozumieniu art. 9 RODO.

§ 4. Cele i podstawy prawne przetwarzania

  1. Wykonanie Umowy — art. 6 ust. 1 lit. b RODO:

    1. udostępnienie Kreatora oraz skomponowanie Zestawu;
    2. realizacja Zakupu jednorazowego i Subskrypcji, generowanie i dostarczanie Materiałów (w tym nanoszenie Znaku wodnego);
    3. prowadzenie Konta, archiwum Zestawów oraz mechanizmu anti-duplikat;
    4. komunikacja związana z wykonaniem Umowy (potwierdzenia zakupu, linki do pobrania, powiadomienia).

    Okres przetwarzania: do czasu rozwiązania Umowy oraz przez okres niezbędny do obsługi ewentualnych pobrań i reklamacji.

  2. Realizacja obowiązków prawnych — art. 6 ust. 1 lit. c RODO:

    1. przechowywanie danych rozliczeniowych i dokumentów księgowych (co do zasady 5 lat);
    2. obsługa reklamacji i odstąpień od Umowy;
    3. odpowiedź na żądania uprawnionych organów.

    Okres przetwarzania: zgodnie z obowiązkiem prawnym.

  3. Prawnie uzasadniony interes Administratora — art. 6 ust. 1 lit. f RODO:

    1. ochrona przed nadużyciami i fraudem, w tym nanoszenie Znaku wodnego (anti-reshare) oraz ograniczanie częstotliwości pobrań;
    2. monitorowanie bezpieczeństwa Serwisu i wykrywanie incydentów;
    3. dochodzenie i obrona przed roszczeniami;
    4. obsługa korespondencji i kontaktu z Klientem;
    5. agregowane analityki służące rozwojowi Serwisu;
    6. marketing własnych produktów i usług w stosunku do istniejących Klientów (bez wykorzystania kanału, dla którego wymagana jest odrębna zgoda).

    Okres przetwarzania: logi serwera — do 90 dni; logi bezpieczeństwa — do 12 miesięcy; pozostałe dane przez okres niezbędny do realizacji uzasadnionego interesu, nie dłużej niż okres przedawnienia roszczeń.

  4. Zgoda Klienta — art. 6 ust. 1 lit. a RODO oraz art. 173 i nast. Prawa telekomunikacyjnego:

    1. wysyłka informacji handlowych Administratora drogą elektroniczną;
    2. cookies analityczne (Google Analytics 4, Microsoft Clarity).

    Okres przetwarzania: do cofnięcia zgody. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

§ 5. Komunikacja marketingowa

  1. Komunikacja transakcyjna związana z wykonaniem Umowy (potwierdzenia zakupu, linki do pobrania, weryfikacja adresu e-mail, reset hasła, powiadomienia o zmianach Regulaminu) jest wysyłana niezależnie od zgody marketingowej — stanowi wykonanie Umowy.
  2. Informacje handlowe (marketing) są wysyłane wyłącznie po wyrażeniu przez Klienta odrębnej, dobrowolnej zgody (checkbox niezaznaczony domyślnie). Zgoda może być wykorzystywana także jako warunek udostępnienia kodu rabatowego.
  3. Klient może w każdej chwili cofnąć zgodę marketingową: klikając link „wypisz" w stopce wiadomości, zmieniając ustawienia w panelu Konta lub przesyłając żądanie na adres wskazany w § 2 ust. 2. Cofnięcie zgody jest nieodpłatne i nie wpływa na dalsze korzystanie z Serwisu.

§ 6. Subprocesorzy (podmioty przetwarzające)

  1. Administrator powierza przetwarzanie danych osobowych następującym podmiotom (Subprocesorom), wyłącznie w zakresie niezbędnym do świadczenia Usługi:
Subprocesor Cel przetwarzania Lokalizacja Podstawa transferu poza EOG
Railway Corp. (USA) Hosting aplikacji Serwisu Serwery w regionie UE; dostęp z USA Standardowe Klauzule Umowne (SCC)
Neon, Inc. (USA) Baza danych Postgres (Konta, zamówienia, historia pytań, dane Subskrypcji) Serwery w regionie UE; dostęp z USA SCC
Cloudflare, Inc. (USA) CDN i ochrona DDoS (przetwarza adres IP i nagłówki HTTP) oraz przechowywanie plików Materiałów i logo w usłudze R2 (bucket w regionie UE) Globalna sieć Edge / UE; dostęp z USA SCC
Stripe Payments Europe, Limited (Irlandia) i Stripe, Inc. (USA) Obsługa płatności jako podmiot rozliczający transakcje (merchant of record), billing, faktury, dane karty, rozliczenie podatków Irlandia, USA SCC + EU-U.S. Data Privacy Framework
Resend, Inc. (USA) Wysyłka wiadomości e-mail (transakcyjnych i marketingowych) USA SCC
Google Ireland Limited / Google LLC (Irlandia, USA) Logowanie kontem Google (OAuth) oraz analityka Google Analytics 4 (po wyrażeniu zgody) UE, USA SCC + EU-U.S. Data Privacy Framework
Microsoft Corporation (USA, UE) — usługa Microsoft Clarity Analityka korzystania z Serwisu: mapy ciepła i nagrania sesji (po wyrażeniu zgody) USA / UE SCC + EU-U.S. Data Privacy Framework
Functional Software, Inc. (Sentry) (USA) Monitoring błędów aplikacji — logi błędów mogą zawierać identyfikator Klienta, adres IP i fragmenty zapytań USA SCC
  1. Niektórzy Subprocesorzy mają siedzibę w państwach trzecich (poza Europejskim Obszarem Gospodarczym), w szczególności w Stanach Zjednoczonych. Transfer danych odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską oraz, w odniesieniu do podmiotów certyfikowanych, na podstawie EU-U.S. Data Privacy Framework. Administrator dokłada starań, aby Subprocesorzy zapewniali odpowiedni poziom ochrony danych.
  2. Administrator informuje o istotnej zmianie listy Subprocesorów poprzez aktualizację Polityki, z wyprzedzeniem co najmniej 14 dni.

§ 7. Cookies i podobne technologie

  1. Serwis wykorzystuje pliki cookies oraz podobne technologie (localStorage). Administrator stosuje następujące rodzaje plików:
Plik / technologia Cel Czas życia Kategoria
rk_build Zapamiętanie stanu Kreatora (skomponowany Zestaw) do 7 dni Niezbędny
sesja zalogowanego Klienta (token sesji) Utrzymanie zalogowania wg ustawień sesji Niezbędny
ochrona CSRF Zabezpieczenie formularzy przed atakami sesja przeglądarki Niezbędny
rk_consent Zapis preferencji dotyczących cookies 1 rok Niezbędny
preferencje (język, motyw) Zapamiętanie ustawień interfejsu do 1 roku Preferencyjny
_ga, _ga_* Google Analytics 4 — identyfikator użytkownika i statystyki korzystania do 2 lat Analityczny
_clck, _clsk Microsoft Clarity — identyfikator użytkownika i sesji 1 rok / 1 dzień Analityczny
  1. Cookies niezbędne są wykorzystywane bez zgody Klienta, na podstawie art. 173 ust. 3 Prawa telekomunikacyjnego (cookies konieczne do świadczenia usługi).
  2. Cookies analityczne (Google Analytics 4 oraz Microsoft Clarity) są wykorzystywane wyłącznie po wyrażeniu zgody przez Klienta. Skrypty te ładują się dopiero po zaakceptowaniu kategorii „Analityczne" w bannerze zgody; bez zgody nic nie jest zbierane ani nagrywane. Microsoft Clarity może rejestrować nagrania sesji i mapy ciepła interakcji z interfejsem. Zob. politykę prywatności Microsoft (https://www.microsoft.com/privacy/privacystatement) oraz informacje Google o przetwarzaniu danych (https://policies.google.com/privacy).
  3. Serwis wyświetla banner zgody na cookies przy pierwszej wizycie, umożliwiający akceptację lub odrzucenie kategorii nieesencjalnych. Klient może w każdej chwili zmienić swoje preferencje, klikając link „Preferencje cookies" w stopce Serwisu lub w ustawieniach przeglądarki. Administrator nie wykorzystuje cookies marketingowych ani reklamowych.

§ 8. Okresy przechowywania danych

Kategoria danych Okres przechowywania
Konto aktywne (e-mail, ustawienia) Do rozwiązania Umowy (usunięcia Konta)
Dane Konta po jego usunięciu Trwałe usunięcie, z wyjątkiem danych wymaganych prawem; ewentualna kopia zapasowa do czasu rotacji backupów
Dane rozliczeniowe i dokumenty księgowe 5 lat od końca roku podatkowego (obowiązek podatkowy)
Pliki Materiałów (R2) Co do zasady 14 dni od wygenerowania, następnie usunięcie
Logo organizatora (R2) Do usunięcia przez Klienta lub zakończenia korzystania z brandingu
Historia pytań (anti-duplikat) Do usunięcia Konta lub żądania Klienta
Logi serwera do 90 dni
Logi bezpieczeństwa (próby ataku, błędne logowania) do 12 miesięcy
Komunikacja e-mail 3 lata od ostatniej wymiany
Zgoda marketingowa Do cofnięcia; po cofnięciu zachowanie zapisu cofnięcia jako dowodu
Dane sporne (postępowania, roszczenia) Do prawomocnego zakończenia sprawy + okres przedawnienia

Po upływie okresu przechowywania dane są trwale usuwane lub anonimizowane.

§ 9. Prawa Klienta

  1. Klientowi przysługują następujące prawa wynikające z RODO:
    1. Prawo dostępu do danych (art. 15);
    2. Prawo do sprostowania (art. 16);
    3. Prawo do usunięcia ("prawo do bycia zapomnianym", art. 17);
    4. Prawo do ograniczenia przetwarzania (art. 18);
    5. Prawo do przenoszenia danych (art. 20) — w ustrukturyzowanym, powszechnie używanym formacie (JSON lub CSV);
    6. Prawo do sprzeciwu (art. 21) — wobec przetwarzania opartego na uzasadnionym interesie oraz zawsze wobec marketingu bezpośredniego;
    7. Prawo do cofnięcia zgody (art. 7 ust. 3) — w każdej chwili, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem;
    8. Prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu (art. 22).
  2. Realizacja praw odbywa się poprzez funkcjonalności panelu Konta (edycja danych, usunięcie Konta, zarządzanie zgodami, eksport) lub żądanie przesłane na adres e-mail wskazany w § 2 ust. 2.
  3. Administrator odpowiada na żądanie w terminie miesiąca od jego otrzymania; w przypadku skomplikowanych żądań termin może zostać wydłużony o kolejne dwa miesiące, o czym Administrator informuje Klienta.
  4. Realizacja praw jest nieodpłatna; Administrator może odmówić lub pobrać uzasadnioną opłatę wyłącznie w przypadku żądań ewidentnie nieuzasadnionych lub nadmiernych (art. 12 ust. 5 RODO).
  5. Prawo do skargi — Klient ma prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa; https://uodo.gov.pl). Klient zamieszkały w innym państwie UE może wnieść skargę do organu właściwego dla miejsca swojego zwykłego pobytu.

§ 10. Bezpieczeństwo danych

  1. Administrator stosuje środki techniczne i organizacyjne odpowiednie do zidentyfikowanych ryzyk, w szczególności: szyfrowanie transmisji (TLS), nieodwracalne hashowanie haseł, krótko-żyjące zabezpieczone odnośniki do pobrania plików, kontrolę dostępu opartą na zasadzie najmniejszych uprawnień, cykliczne backupy oraz monitoring incydentów.
  2. Administrator nie posiada certyfikatów ISO 27001, SOC 2 ani podobnych. Bezpieczeństwo Serwisu opiera się na środkach proporcjonalnych do skali i charakteru jednoosobowej działalności gospodarczej.
  3. W razie incydentu naruszenia ochrony danych mogącego skutkować ryzykiem dla praw lub wolności Klientów Administrator dokona zgłoszenia organowi nadzorczemu zgodnie z art. 33 RODO oraz, w razie wysokiego ryzyka, zawiadomi dotkniętych Klientów zgodnie z art. 34 RODO.

§ 11. Decyzje zautomatyzowane i profilowanie

  1. Administrator nie podejmuje wobec Klientów decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, wywołujących skutki prawne lub w podobny sposób istotnie wpływających na Klientów.
  2. Mechanizmy automatyczne stosowane przez Administratora (mechanizm anti-duplikat, ograniczanie częstotliwości pobrań, wykrywanie nadużyć) są oparte na deterministycznych regułach, a nie na profilowaniu w rozumieniu art. 4 pkt 4 RODO.

§ 12. Dzieci

  1. Serwis nie jest skierowany do osób poniżej 16. roku życia.
  2. Administrator nie przetwarza świadomie danych osobowych dzieci poniżej 16. roku życia. W razie powzięcia informacji o przetwarzaniu danych dziecka bez zgody przedstawiciela ustawowego, Administrator niezwłocznie usunie te dane.

§ 13. Klienci spoza Unii Europejskiej

  1. Serwis jest dostępny globalnie. Klient korzystający z Serwisu z państwa trzeciego (poza EOG) podlega niniejszej Polityce oraz prawu polskiemu i przepisom RODO w zakresie, w jakim Administrator jest podmiotem odpowiedzialnym (art. 3 RODO).
  2. Klient z państwa trzeciego ma takie same prawa, jak Klient z Unii Europejskiej, opisane w § 9.

§ 14. Zmiany Polityki

  1. Administrator może dokonywać zmian w Polityce z ważnych powodów, w szczególności zmiany przepisów prawa, zmiany Subprocesorów lub zakresu przetwarzania, wprowadzenia nowych funkcjonalności Serwisu lub zmian technicznych w infrastrukturze.
  2. O zmianie Polityki Administrator informuje przez opublikowanie zmienionej wersji Polityki pod adresem https://roundkit.runriva.com/legal/privacy, a Klientów posiadających Konto — dodatkowo za pośrednictwem poczty elektronicznej, z wyprzedzeniem co najmniej 14 dni przed datą wejścia zmian w życie.
  3. Klient, który nie zgadza się ze zmianą Polityki, może usunąć Konto lub zaprzestać korzystania z Serwisu.

§ 15. Postanowienia końcowe

  1. Polityka stanowi załącznik do Regulaminu Serwisu.
  2. W sprawach nieuregulowanych w Polityce zastosowanie znajdują postanowienia Regulaminu oraz powszechnie obowiązujące przepisy prawa, w szczególności RODO, ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, ustawa o świadczeniu usług drogą elektroniczną oraz Prawo telekomunikacyjne.
  3. Niniejsza Polityka obowiązuje od dnia 19 czerwca 2026 r. Wersja: 1.0.

Koniec Polityki prywatności.