Polityka prywatności ProfitBack
Data wejścia w życie: 22 maja 2026 r.
1. Informacje ogólne
Niniejsza Polityka Prywatności ProfitBack (dalej jako: „Polityka prywatności”) określa zasady przetwarzania i ochrony danych osobowych w związku z korzystaniem z serwisu internetowego pod adresem profitback.pl oraz aplikacji ProfitBack — narzędzia SaaS do analizy zwrotów i rentowności sprzedaży na platformach typu marketplace (dalej łącznie jako: „ProfitBack” lub „Serwis”).
Administrator przykłada szczególną wagę do poszanowania prywatności Użytkowników oraz ochrony danych osobowych, zapewniając, że są one przetwarzane zgodnie z obowiązującymi przepisami prawa, w tym w szczególności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie swobodnego przepływu takich danych (dalej: „RODO”) oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych.
W ramach świadczenia Usługi ProfitBack pełni dwie odrębne role w stosunku do różnych kategorii danych osobowych:
- Administrator — w odniesieniu do danych osobowych Użytkowników (osób korzystających z konta w Serwisie, w tym osób fizycznych prowadzących działalność gospodarczą oraz osób reprezentujących lub kontaktowych Klientów).
- Podmiot przetwarzający (procesor) w rozumieniu art. 28 RODO — w odniesieniu do danych osobowych osób trzecich (w szczególności kupujących na platformach marketplace), które ProfitBack pobiera z systemów marketplace na zlecenie i w imieniu Klienta, w celu wykonania zawartej z Klientem Umowy. Zasady tego powierzenia określa Umowa Powierzenia Przetwarzania Danych (DPA), której postanowienia stanowią integralną część niniejszej Polityki (§4).
2. Dane Administratora
Administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO jest Michał Skoczeń, prowadzący jednoosobową działalność gospodarczą pod firmą „Event Sound and Music Michał Skoczeń”, z adresem stałego miejsca wykonywania działalności: Polna 149, 33-331 Polna (gmina Grybów, powiat nowosądecki, województwo małopolskie), wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) prowadzonej przez ministra właściwego do spraw gospodarki, NIP: 7343333207 (dalej: „Administrator”).
W sprawach dotyczących przetwarzania danych osobowych Użytkownik może skontaktować się z Administratorem za pośrednictwem poczty elektronicznej pod adresem: admin@profitback.pl lub pisemnie na adres podany powyżej.
3. Cele, podstawy prawne i kategorie przetwarzanych danych osobowych
Administrator przetwarza dane osobowe wyłącznie w zakresie niezbędnym do realizacji określonych celów oraz na podstawie odpowiednich przesłanek prawnych wynikających z art. 6 RODO. Dane osobowe są przetwarzane w następujących celach:
| Cel przetwarzania | Podstawa prawna | Kategorie danych |
|---|---|---|
| Zawarcie i realizacja umowy o świadczenie usług drogą elektroniczną, w tym założenie i obsługa konta Użytkownika, udostępnienie funkcjonalności ProfitBack (dashboard, analityka, eksporty, alerty, integracja z marketplace). | art. 6 ust. 1 lit. b RODO — niezbędność do wykonania umowy lub podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. | imię i nazwisko, adres e-mail, hasło (przechowywane wyłącznie w postaci skrótu argon2id), dane konta (login, plan, status subskrypcji), opcjonalnie sekret TOTP oraz kody odzyskiwania (oba w postaci zaszyfrowanej), pseudonim klienta marketplace. |
| Obsługa zapytań, zgłoszeń i kontaktów przesyłanych do Administratora (poczta elektroniczna, formularze). | art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora (komunikacja z Użytkownikiem, obsługa zgłoszeń). | dane identyfikacyjne, dane kontaktowe, treść korespondencji oraz dane podane dobrowolnie przez nadawcę. |
| Rozliczenie subskrypcji, w tym wystawianie i archiwizacja faktur proforma oraz dokumentacji księgowej. | art. 6 ust. 1 lit. c RODO — obowiązek prawny ciążący na Administratorze (ustawa o rachunkowości, ustawa o VAT, Ordynacja podatkowa). | dane identyfikacyjne, dane firmowe (nazwa, NIP, adres), dane dotyczące planu i okresu subskrypcji, numer i kwota proformy, status płatności, data zaksięgowania wpłaty. |
| Zapewnienie bezpieczeństwa Serwisu i jego użytkowników: uwierzytelnianie, dwuskładnikowe logowanie (2FA), audyt operacji, wykrywanie nadużyć, ochrona przed nieautoryzowanym dostępem do kont oraz do podłączonych integracji marketplace. | art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora (bezpieczeństwo systemu i danych). | adres IP, dane sesji (identyfikator, czas ostatniej aktywności), user-agent przeglądarki, logi audytowe (typ zdarzenia, znacznik czasu, identyfikator obiektu, hash adresu IP odwiedzających linki współdzielone), zaszyfrowane tokeny OAuth do platformy marketplace. |
| Analiza działania Serwisu i jego rozwój: poprawa funkcjonalności, optymalizacja wydajności, diagnostyka błędów. | art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora (zapewnienie prawidłowego funkcjonowania i rozwoju usług). | dane techniczne (adres IP, informacje o urządzeniu i przeglądarce, dane o aktywności w aplikacji), zagregowane dane o korzystaniu z funkcji ProfitBack. |
| Marketing bezpośredni produktów i usług własnych Administratora, w tym przesyłanie informacji handlowych drogą elektroniczną. | art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora (marketing własnych usług); art. 6 ust. 1 lit. a RODO — zgoda Użytkownika (w przypadku przesyłania informacji handlowych drogą elektroniczną w rozumieniu art. 10 ustawy o świadczeniu usług drogą elektroniczną lub używania telekomunikacyjnych urządzeń końcowych w rozumieniu art. 398 ustawy Prawo komunikacji elektronicznej). |
dane identyfikacyjne, dane kontaktowe (e-mail), dane dotyczące aktywności w ProfitBack i preferencji dotyczących komunikacji. |
| Ustalenie, dochodzenie lub obrona przed roszczeniami wynikającymi z Umowy lub korzystania z ProfitBack. | art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora. | dane identyfikacyjne, dane kontaktowe, dane rozliczeniowe, dane o korzystaniu z usług, logi audytowe. |
Podanie danych osobowych jest dobrowolne, jednak w zakresie, w jakim jest ono niezbędne do założenia konta, świadczenia Usługi lub rozliczenia subskrypcji — brak ich podania uniemożliwia odpowiednio rejestrację, korzystanie z funkcjonalności Serwisu lub wystawienie dokumentów rozliczeniowych.
4. Dane przetwarzane w imieniu Klienta (powierzenie)
W ramach realizacji Usługi ProfitBack pobiera z platform typu marketplace (obecnie: Allegro) dane o transakcjach Klienta, które mogą zawierać dane osobowe osób trzecich (kupujących, zwracających). Dane te są przetwarzane przez Administratora wyłącznie jako podmiot przetwarzający, w imieniu i na rzecz Klienta, na podstawie i w granicach Umowy Powierzenia Przetwarzania Danych (DPA), której postanowienia stanowią integralną część niniejszej Polityki.
Zakres danych powierzanych obejmuje w szczególności:
- identyfikatory zewnętrzne zamówień i zwrotów (przydzielone przez platformę marketplace),
- pseudonimizowane dane kontaktowe kupujących — adres e-mail jest przechowywany w postaci kryptograficznego skrótu (SHA-256) oraz opcjonalnie w postaci zaszyfrowanej (Laravel encrypted, AES-256-CBC) w celu odtworzenia powiązań między zamówieniem a zwrotem; ProfitBack nie udostępnia adresów e-mail kupujących Użytkownikom za pośrednictwem dashboardu ani eksportów (eksportowane są wyłącznie prefiksy hashy),
- treść opisów powodów zwrotu w postaci wprowadzonej przez kupującego na platformie marketplace,
- SKU i nazwy oferowanych produktów, daty zamówień i zwrotów, kwoty, walutę, status,
- w zakresie sporów: identyfikator i status sporu, daty oraz typy zdarzeń.
W odniesieniu do tych danych prawa osób, których dane dotyczą (w szczególności prawa wynikające z art. 15–22 RODO), realizuje Klient jako administrator. ProfitBack — działając jako podmiot przetwarzający — wspiera Klienta w realizacji tych obowiązków odpowiednimi środkami technicznymi i organizacyjnymi.
5. Odbiorcy danych osobowych
Dane osobowe Użytkowników mogą być przekazywane podmiotom, którym Administrator powierza ich przetwarzanie wyłącznie w zakresie niezbędnym do realizacji celów określonych w Polityce prywatności. Odbiorcami danych osobowych mogą być w szczególności:
- podmioty uprawnione do ich otrzymania na podstawie przepisów prawa;
- podmioty świadczące na rzecz Administratora usługi księgowe, doradcze, podatkowe lub audytowe;
- dostawcy usług informatycznych, w tym podmioty zapewniające hosting (serwery aplikacji oraz bazy danych), obsługę techniczną, utrzymanie i rozwój systemów IT;
- dostawcy usług pocztowych i kurierskich;
- dostawcy systemów wysyłki poczty transakcyjnej (np. potwierdzenia rejestracji, powiadomienia o aktywacji subskrypcji, alerty);
- operatorzy platform marketplace (Allegro) — wyłącznie w zakresie niezbędnym do autoryzacji dostępu OAuth oraz pobierania danych transakcyjnych Klienta z jego konta marketplace;
- partnerzy biznesowi lub współpracownicy Administratora, uczestniczący w realizacji umów, w zakresie niezbędnym do ich prawidłowego wykonania.
Wszystkie podmioty przetwarzające dane na zlecenie Administratora działają na podstawie zawartych umów powierzenia przetwarzania danych osobowych, zgodnych z art. 28 RODO, i są zobowiązane do zachowania poufności oraz stosowania odpowiednich środków bezpieczeństwa.
6. Przekazywanie danych do państw trzecich
Co do zasady, dane osobowe Użytkowników nie są przekazywane poza Europejski Obszar Gospodarczy (EOG). Infrastruktura ProfitBack (serwery aplikacyjne i bazodanowe) jest zlokalizowana w Polsce / na terenie Unii Europejskiej.
W przypadku, gdy przekazanie danych osobowych poza EOG okaże się niezbędne, w szczególności w związku z korzystaniem przez Administratora z usług lub rozwiązań informatycznych dostarczanych przez podmioty mające siedzibę poza EOG, takie przekazanie będzie odbywać się zgodnie z przepisami RODO, z zastosowaniem odpowiednich mechanizmów ochrony danych, w tym:
- na podstawie decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony danych osobowych w danym państwie, lub
- przy wykorzystaniu standardowych klauzul umownych przyjętych przez Komisję Europejską, zapewniających właściwy poziom zabezpieczenia przekazywanych danych.
W każdym przypadku przekazywanie danych osobowych poza EOG odbywać się będzie z zachowaniem zasad bezpieczeństwa, w sposób gwarantujący ochronę praw i wolności osób, których dane dotyczą.
7. Okres przetwarzania danych osobowych
Dane osobowe są przetwarzane przez Administratora wyłącznie przez okres niezbędny do realizacji celów, dla których zostały zebrane, lub przez czas wymagany przepisami prawa, w szczególności:
- dane przetwarzane w celu realizacji Umowy — przez cały okres jej obowiązywania, a po jej zakończeniu przez okres przedawnienia roszczeń wynikających z Umowy lub przepisów prawa (co do zasady do 6 lat);
- dane przetwarzane w celu wypełnienia obowiązków podatkowych i księgowych — przez okres określony w obowiązujących przepisach (co do zasady do 5 lat licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku);
- dane transakcyjne pobrane z platformy marketplace (zamówienia, zwroty, spory) i wyliczone na ich podstawie wskaźniki (statystyki produktowe) — są dostępne dla Użytkownika w zakresie horyzontu czasowego wynikającego z jego planu subskrypcji: 6 miesięcy (plan START), 12 miesięcy (PRO), bez limitu (BUSINESS). Po wygaśnięciu subskrypcji dane te są usuwane lub anonimizowane w terminie do 30 dni, z zastrzeżeniem konieczności ich przechowania dla celów wynikających z punktów powyższych;
- dane przetwarzane na podstawie uzasadnionego interesu Administratora (np. cele kontaktowe, marketing własnych usług, bezpieczeństwo systemu) — do momentu skutecznego wniesienia sprzeciwu wobec przetwarzania lub ustania tego interesu;
- dane przetwarzane na podstawie zgody — do czasu cofnięcia zgody lub realizacji celu, dla którego zostały zebrane, w zależności od tego, które z tych zdarzeń nastąpi wcześniej;
- logi audytowe — co do zasady przez okres 24 miesięcy od daty zarejestrowania zdarzenia, chyba że dłuższy okres jest uzasadniony obroną przed roszczeniami lub obowiązkami prawnymi.
Po upływie odpowiednich okresów dane są usuwane, anonimizowane lub archiwizowane w sposób, który uniemożliwia identyfikację osoby, której dotyczą.
8. Prawa osób, których dane dotyczą
Użytkownik, którego dane osobowe są przetwarzane przez Administratora, posiada prawa określone w przepisach RODO, w szczególności prawo do:
- dostępu do swoich danych osobowych — uzyskania od Administratora potwierdzenia, czy jego dane osobowe są przetwarzane, a jeżeli tak — uzyskania dostępu do ich treści oraz informacji o celach, podstawach prawnych, kategoriach danych, odbiorcach, okresie przechowywania oraz przysługujących prawach, a także uzyskania kopii danych (art. 15 RODO);
- sprostowania danych osobowych — żądania niezwłocznego sprostowania danych, które są nieprawidłowe, lub uzupełnienia danych niekompletnych (art. 16 RODO);
- usunięcia danych osobowych („prawo do bycia zapomnianym”) — w przypadkach wskazanych w art. 17 RODO, w szczególności gdy dane nie są już niezbędne do celów, w których zostały zebrane, gdy Użytkownik cofnął zgodę lub wniósł skuteczny sprzeciw wobec przetwarzania;
- ograniczenia przetwarzania danych osobowych — w sytuacjach określonych w art. 18 RODO;
- przenoszenia danych osobowych — otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przekazania ich innemu administratorowi, o ile przetwarzanie odbywa się na podstawie zgody lub umowy i w sposób zautomatyzowany (art. 20 RODO);
- wniesienia sprzeciwu wobec przetwarzania danych osobowych — w dowolnym momencie, w przypadku przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora, w tym wobec profilowania (art. 21 RODO);
- cofnięcia zgody na przetwarzanie danych osobowych — w dowolnym momencie, w zakresie, w jakim przetwarzanie odbywa się na podstawie zgody (art. 7 ust. 3 RODO); cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.
W celu realizacji powyższych praw Użytkownik może skontaktować się z Administratorem za pośrednictwem poczty elektronicznej pod adresem: admin@profitback.pl lub pisemnie na adres siedziby Administratora.
Użytkownikowi przysługuje również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stanisława Karola Hagena 1, 00-193 Warszawa), jeżeli uzna, że przetwarzanie jego danych osobowych narusza przepisy RODO.
W przypadku danych osobowych osób trzecich (kupujących), przetwarzanych przez ProfitBack jako podmiot przetwarzający na zlecenie Klienta, żądania osób, których dane dotyczą, należy kierować do Klienta jako administratora tych danych. ProfitBack przekaże Klientowi takie żądania bez zbędnej zwłoki, jeżeli zostaną skierowane bezpośrednio do Administratora.
9. Pseudonimizacja i bezpieczeństwo techniczne
Administrator stosuje szereg środków technicznych zmniejszających ryzyko identyfikacji osób fizycznych w ramach przetwarzania danych transakcyjnych:
- adresy e-mail kupujących pobierane z platform marketplace są przechowywane w postaci skrótu kryptograficznego SHA-256; wartość jawna (jeśli w ogóle jest przechowywana) jest dodatkowo zaszyfrowana algorytmem AES-256-CBC z kluczem aplikacji znajdującym się poza bazą danych;
- tokeny OAuth do platform marketplace (access token, refresh token) oraz sekrety webhooków są przechowywane w postaci zaszyfrowanej (Laravel encrypted casts);
- hasła Użytkowników są przechowywane wyłącznie jako skrót obliczony funkcją argon2id (Laravel default);
- sekret TOTP oraz kody odzyskiwania (2FA) są przechowywane w postaci zaszyfrowanej;
- adresy IP w niektórych logach (np. dostęp do linków współdzielonych) są przechowywane jako skrót, a nie wartość jawna;
- komunikacja z Serwisem jest szyfrowana protokołem TLS (HTTPS) z wymuszonym HSTS w środowisku produkcyjnym;
- w aplikacji wdrożono nagłówki bezpieczeństwa (Content-Security-Policy, X-Frame-Options: DENY, Referrer-Policy, Permissions-Policy);
- dostęp do panelu administracyjnego wymaga aktywnego dwuskładnikowego uwierzytelniania (TOTP);
- logowanie do Serwisu jest objęte limitami szybkości (rate limiting) ograniczającymi próby brute-force.
10. Pliki cookies i podobne technologie
ProfitBack wykorzystuje pliki cookies wyłącznie w zakresie niezbędnym do prawidłowego świadczenia Usługi, w tym:
- plik cookie sesji Laravel — niezbędny do utrzymania sesji zalogowanego Użytkownika i ochrony przed atakami CSRF (Cross-Site Request Forgery);
- plik cookie XSRF-TOKEN — niezbędny dla mechanizmu ochrony przed CSRF w żądaniach AJAX;
- opcjonalnie: plik cookie preferencji interfejsu (np. ustawienia jasnego/ciemnego motywu).
Korzystanie z plików cookies niezbędnych do działania Serwisu nie wymaga zgody Użytkownika zgodnie z art. 173 ust. 3 ustawy Prawo komunikacji elektronicznej. ProfitBack nie korzysta z plików cookies stron trzecich do celów marketingowych, analitycznych w rozumieniu profilowania osób ani z reklamowych systemów śledzących. Użytkownik w każdej chwili może zmienić ustawienia plików cookies w przeglądarce; ograniczenie ich obsługi może wpłynąć na działanie Serwisu.
11. Zautomatyzowane podejmowanie decyzji i profilowanie
Administrator może przetwarzać dane w sposób zautomatyzowany, w tym poprzez profilowanie produktów i wskaźników sprzedażowych Klienta (np. wyliczanie rentowności oferty, generowanie alertów po przekroczeniu progu zwrotów). Operacje te dotyczą jednak danych biznesowych Klienta i jego ofert, a nie cech osób fizycznych.
Administrator nie prowadzi zautomatyzowanego podejmowania decyzji, o którym mowa w art. 22 ust. 1 i 4 RODO, tj. decyzji wywołujących wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób istotnie na nią wpływających.
12. Zmiany w Polityce prywatności
Administrator zastrzega sobie prawo do wprowadzania zmian w Polityce prywatności w dowolnym czasie, w przypadku:
- zmiany obowiązujących przepisów prawa, w tym w zakresie ochrony danych osobowych,
- wydania nowych wytycznych, zaleceń lub decyzji przez organy nadzorcze (w tym Prezesa Urzędu Ochrony Danych Osobowych),
- wprowadzenia nowych funkcjonalności, usług lub rozwiązań technicznych w Serwisie, które mogą mieć wpływ na sposób przetwarzania danych osobowych.
W przypadku wprowadzenia zmian w Polityce prywatności, Administrator poinformuje Użytkowników o tym fakcie poprzez publikację zaktualizowanej treści w Serwisie wraz z datą jej obowiązywania oraz — w przypadku istotnych zmian — poprzez wiadomość e-mail wysłaną na adres przypisany do konta Użytkownika.
Zmiany mają zastosowanie do danych przetwarzanych po dacie wejścia w życie nowej wersji Polityki prywatności. Jeżeli wprowadzone zmiany powodują rozszerzenie zakresu lub celów przetwarzania danych osobowych, Administrator uzyska — w zakresie wymaganym przepisami — odpowiednią zgodę Użytkowników przed rozpoczęciem takiego przetwarzania.