Polityka prywatności MoreCRM
Informacje o przetwarzaniu danych osobowych zgodnie z RODO. Administrator, podstawa prawna, retencja, transfery, prawa osoby. Wersja robocza.
Ostatnia aktualizacja: 9 maja 2026 · Wersja robocza przed Fazą 1 — pełna wersja konsultowana z prawnikiem przed public launch. Pytania: office@morecrm.pl.
1. Administrator danych osobowych
Administratorem danych osobowych jest Do More Soft Hubert Ptaszek, ul. Olszewskiego 6, 25-663 Kielce, NIP 7681848372 (dalej: Administrator).
Kontakt: office@morecrm.pl · telefon: +48 500 183 277.
2. Zakres przetwarzanych danych
2.1. Klient (Tenant) — dane podmiotu gospodarczego
- Imię, nazwisko, email, numer telefonu osoby kontaktowej
- Nazwa firmy, NIP, adres siedziby
- Dane do faktury (kupujący VAT)
- Dane płatnicze (przetwarzane przez Stripe / Tpay — Administrator nie ma dostępu do numerów kart)
- Logi aktywności (logowanie, IP, user-agent, audit log działań w panelu)
2.2. Klienci końcowi (osoby w bazie Tenant)
MoreCRM jako platforma multi-tenant przechowuje dane klientów końcowych Tenant'a (np. klienci warsztatu samochodowego). Administrator jest procesującym tych danych — administratorem jest Tenant. Operator nie ma dostępu do tych danych poza realizacją usługi (hosting, backup, security).
Zakres może obejmować: imię, nazwisko, telefon, email, adres, NIP (B2B), historia wizyt, dane pojazdów (VIN, plate), dokumenty (kontrakty, gwarancje), fotografie pojazdów.
3. Cele przetwarzania i podstawa prawna
| Cel | Podstawa | Okres |
|---|---|---|
| Świadczenie usługi (umowa) | Art. 6 ust. 1 lit. b RODO | Czas trwania umowy + okres przedawnienia roszczeń |
| Faktury i rozliczenia VAT | Art. 6 ust. 1 lit. c RODO + ustawa o rachunkowości | 5 lat (zgodnie z przepisami) |
| Marketing własnych usług | Art. 6 ust. 1 lit. a RODO (zgoda) | Do wycofania zgody |
| Bezpieczeństwo (audyt logs) | Art. 6 ust. 1 lit. f RODO (uzasadniony interes) | Per tier: 30d / 90d / 1y / 3y / 7y |
| Reagowanie na reklamacje | Art. 6 ust. 1 lit. b RODO | 3 lata od zakończenia umowy |
4. Odbiorcy danych
Dane mogą być przekazywane następującym podmiotom przetwarzającym (zgodnie z umowami powierzenia):
- Cloudflare, Inc. (USA) — hosting, CDN, infrastructure (transfer EU/USA na podstawie SCC)
- Neon Inc. (USA) — managed Postgres (region eu-central-1, dane w EU)
- Stripe, Inc. (USA) — przetwarzanie płatności (transfer EU/USA na podstawie SCC)
- Tpay (Krajowy Integrator Płatności S.A.) (PL) — BLIK, przelewy
- Resend Inc. (USA) — wysyłka email
- SMSAPI sp. z o.o. (PL) — wysyłka SMS
- Clerk Inc. (USA) — autentykacja użytkowników (Faza 1+)
- Sentry Inc. (USA) — error tracking, performance monitoring
- Partnerzy księgowi wybrani przez Klienta: fakturownia.pl, wfirma.pl, iFirma.pl, Comarch ERP (PL)
5. Transfer danych poza EOG
Niektórzy procesujący (Cloudflare, Stripe, Resend, Clerk, Sentry) mają siedzibę w USA. Transfer odbywa się na podstawie:
- Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską
- EU-US Data Privacy Framework (gdy procesujący jest certyfikowany)
- Zaktualizowane Standardowe Klauzule Umowne 2021/914
Lokalizacja danych Klientów MoreCRM: Frankfurt (eu-central-1) — pełna RODO compliance.
6. Prawa osoby, której dane dotyczą
Zgodnie z RODO przysługują Ci następujące prawa:
- Prawo dostępu (art. 15) — dowiesz się jakie dane przetwarzamy
- Prawo do sprostowania (art. 16) — możesz poprawić nieprawidłowe dane
- Prawo do usunięcia / "prawo do bycia zapomnianym" (art. 17)
- Prawo do ograniczenia (art. 18) przetwarzania
- Prawo do przenoszenia (art. 20) — pełen ZIP danych w CSV/JSON na żądanie
- Prawo do sprzeciwu (art. 21) wobec przetwarzania
- Prawo do wycofania zgody w dowolnym momencie (jeśli podstawą jest zgoda)
- Prawo do skargi do Prezesa UODO (Urząd Ochrony Danych Osobowych)
Aby skorzystać z któregokolwiek z tych praw — napisz na office@morecrm.pl. Odpowiadamy w ciągu 30 dni (zwykle szybciej).
7. Środki bezpieczeństwa
- Encryption at-rest: AES-256 (Neon Postgres, Cloudflare R2)
- Encryption in-transit: TLS 1.3
- Password hashing: Argon2ID (przez Clerk)
- Multi-factor authentication available (Faza 1+)
- Postgres Row Level Security — izolacja tenantów na poziomie bazy
- Audit log wszystkich operacji write
- Regular security reviews + penetration testing (planowane Faza 5+)
- Backup point-in-time recovery (PITR) — 7 dni standard, 30 dni Pro tier
8. Cookies i technologie śledzące
Szczegóły w dokumencie Cookies. Krótko: używamy tylko niezbędnych cookies (session, theme preference). Brak third-party trackingu typu Google Analytics, Hotjar, Facebook Pixel. Analytics wewnętrzny przez Cloudflare Analytics (zaagregowany, anonimowy).
9. Zmiany polityki
Aktualna wersja polityki znajduje się zawsze na tej stronie. O istotnych zmianach informujemy Klientów email z 14-dniowym wyprzedzeniem.
Ten dokument jest wersją roboczą. Finalna wersja po konsultacji z prawnikiem zostanie opublikowana przed public launch. Pytania: office@morecrm.pl.