Niniejszy dokument ma charakter informacyjny i został przygotowany zgodnie z RODO i dobrymi praktykami. W razie pytań dotyczących przetwarzania danych skontaktuj się z nami.
Administratorem danych jest qrtransfers.com , e‑mail: system@qrtransfers.com.
Przetwarzamy dane w oparciu o: wykonanie umowy (art. 6 ust. 1 lit. b), obowiązek prawny (art. 6 ust. 1 lit. c) – w szczególności AML/KYC po stronie PSP, uzasadniony interes (art. 6 ust. 1 lit. f) – bezpieczeństwo, raportowanie, dochodzenie/obrona roszczeń, oraz zgodę (art. 6 ust. 1 lit. a) – komunikacja marketingowa i niefunkcjonalne pliki cookie.
Jeśli przetwarzanie obejmuje kraje spoza EOG, stosujemy mechanizmy zgodne z RODO (np. standardowe klauzule umowne, ocena transferu, dodatkowe zabezpieczenia). Informacje o stosowanych mechanizmach: nie dotyczy.
Przysługuje Ci prawo dostępu, sprostowania, usunięcia (w granicach art. 17), ograniczenia, przenoszenia, sprzeciwu oraz cofnięcia zgody w dowolnym momencie. Możesz też złożyć skargę do właściwego organu nadzorczego. Żądania realizujemy bez zbędnej zwłoki, co do zasady w 30 dni.
Dane pochodzą bezpośrednio od Ciebie, z integracji logowania (np. Google) lub od PSP w zakresie statusów płatności. Podanie danych niezbędnych do założenia konta i realizacji płatności jest wymogiem umownym; niepodanie uniemożliwi świadczenie usług.
Stosujemy pliki cookie niezbędne do działania Serwisu oraz – za Twoją zgodą – funkcjonalne/ analityczne/ marketingowe. Szczegóły w Polityce cookies. Preferencje możesz zmienić w „Ustawieniach cookies” w stopce lub w banerze.
Wdrażamy środki adekwatne do ryzyka (m.in. szyfrowanie w tranzycie, kontrola dostępu, rejestr zdarzeń). Pamiętaj o silnych hasłach i ostrożności w udostępnianiu danych.
Serwis nie jest kierowany do dzieci poniżej 13/16 lat (zgodnie z właściwym prawem). Nie prowadzimy zautomatyzowanego podejmowania decyzji wywołującego skutki prawne; możemy stosować ograniczone profilowanie techniczne w celach bezpieczeństwa (np. antybot).
Polityka może ulegać zmianom, o istotnych zmianach poinformujemy poprzez Serwis. Wersja i data publikacji znajdują się na górze dokumentu.
W sprawach danych osobowych: system@qrtransfers.com .
Nazwy dostawców (PSP, hosting, e‑mail, analityka) i okresy przechowywania mogą zależeć od konfiguracji Serwisu.
Projektujemy funkcje zgodnie z zasadami minimalizacji, ograniczenia celu i przejrzystości. Staramy się gromadzić tylko dane niezbędne do wyraźnie wskazanych celów, z kontrolą okresów retencji i dostępów. Komponenty niefunkcjonalne (np. analityka, marketing) są domyślnie wyłączone bez zgody.
W przypadku przetwarzania na podstawie uzasadnionego interesu (np. bezpieczeństwo, raportowanie) przeprowadzamy wewnętrzne testy równowagi, oceniając wpływ na prywatność oraz wdrażając środki łagodzące (m.in. ograniczenia dostępu, retencja, pseudonimizacja, rejestracja dostępu).
Co do zasady nie przetwarzamy szczególnych kategorii danych (art. 9 RODO). Jeśli użytkownik dobrowolnie ujawni takie dane w treści korespondencji, przetwarzamy je wyłącznie w zakresie niezbędnym do obsługi zgłoszenia i zalecamy unikanie przekazywania informacji wrażliwych.
Nie prowadzimy zautomatyzowanego podejmowania decyzji wywołującego skutki prawne. Możemy stosować ograniczone profilowanie techniczne do celów bezpieczeństwa (np. ocena ryzyka nadużyć na podstawie sygnałów technicznych) bez istotnych skutków prawnych dla osób, których dane dotyczą.
Ze względów bezpieczeństwa możemy poprosić o dodatkową identyfikację (np. potwierdzenie kontroli nad adresem e‑mail/kontem) przed realizacją prawa dostępu, usunięcia, ograniczenia, przenoszenia lub sprzeciwu. Odpowiadamy bez zbędnej zwłoki, co do zasady w 30 dni.
Prowadzimy adekwatne rejestry czynności przetwarzania oraz – w uzasadnionym zakresie – dzienniki dostępu/zdarzeń. Regularnie przeglądamy uprawnienia i stosujemy zasadę najmniejszych uprawnień.
W przypadku stwierdzenia naruszenia, podejmujemy działania zaradcze, a jeśli jest to wymagane, zgłaszamy naruszenie organowi nadzorczemu i – gdy ryzyko jest wysokie – informujemy osoby, których dane dotyczą, zgodnie z art. 33–34 RODO.
Współpracujemy tylko z podmiotami zapewniającymi odpowiedni poziom bezpieczeństwa i zgodności. Zawieramy umowy powierzenia (art. 28 RODO) i weryfikujemy standardy bezpieczeństwa (np. certyfikacje, audyty, TIA dla transferów poza EOG).
Serwis nie jest skierowany do dzieci poniżej 13/16 lat (w zależności od jurysdykcji). Jeśli poweźmiemy informację, że przetwarzamy dane dziecka bez odpowiedniej podstawy, podejmiemy działania w celu usunięcia danych i/lub uzyskania zgody opiekuna.
Kontakt w sprawach ochrony danych: system@qrtransfers.com. Masz prawo wnieść skargę do właściwego organu nadzorczego.
Poniższa lista ma charakter przykładowy i zależy od konfiguracji środowiska:
Poniższe odpowiedzi pomagają zrozumieć sposób przetwarzania danych w Serwisie.
Najczęściej jest to konieczność wykonania umowy (założenie i obsługa konta, realizacja płatności), uzasadniony interes (bezpieczeństwo, dochodzenie roszczeń), obowiązek prawny (np. księgowość) lub zgoda (np. marketing, niefunkcjonalne cookies).
Może do tego dojść, jeżeli dostawca technologii (np. antybot, analityka) hostuje dane poza EOG. Wtedy stosujemy odpowiednie zabezpieczenia (np. standardowe klauzule umowne) i uruchamiamy dane narzędzie dopiero po wyrażeniu zgody (gdy dotyczy).
Tak długo, jak to konieczne do celów, dla których zostały zebrane, np. rozliczenia i obowiązki księgowe (5–10 lat), bezpieczeństwo (3–12 miesięcy), a dla marketingu — do wycofania zgody.
Skontaktuj się z nami mailowo (system@qrtransfers.com). W uzasadnionych przypadkach poprosimy o potwierdzenie tożsamości. Odpowiemy nie później niż w 30 dni.
Nie prowadzimy profilowania wywołującego skutki prawne. Możemy stosować ograniczoną analizę techniczną sygnałów w celu poprawy bezpieczeństwa i jakości usług.
Jeżeli zostanie wyznaczony IOD, jego kontakt będzie opublikowany w tym miejscu.
Stosujemy środki techniczne i organizacyjne adekwatne do ryzyka, w tym szyfrowanie transmisji, kontrolę dostępu, monitorowanie, kopie zapasowe, segmentację środowisk i przeglądy uprawnień.
Wyłącznie w granicach prawa, na podstawie ważnych żądań lub przepisów (np. obowiązki AML/KYC po stronie PSP, postępowania karne).
Nie. Dane instrumentów płatniczych przetwarza PSP. My otrzymujemy identyfikatory i statusy niezbędne do obsługi procesu.
Tak, możesz usunąć konto w ustawieniach (jeśli funkcja jest dostępna) lub poprzez kontakt. Pewne dane mogą być przechowywane przez okres wymagany prawem (np. księgowość) lub do obrony roszczeń.
Najczęściej od Ciebie (rejestracja, formularze), z integracji logowania (Google) oraz od PSP (statusy płatności). Gromadzimy też dane techniczne (IP, User‑Agent) dla bezpieczeństwa.
Tak — niezbędne do działania Serwisu oraz, za zgodą, funkcjonalne/analityczne/marketingowe. Szczegóły znajdziesz w Polityce cookies i w banerze zgód.
Komunikacja marketingowa jest oparta na zgodzie (art. 6 ust. 1 lit. a RODO) i przepisach sektorowych (np. uśude/PT). Zgodę możesz wycofać w dowolnym momencie.
Utrzymujemy odpowiednie rejestry czynności przetwarzania (ROPA). Oceny skutków (DPIA) przeprowadzamy tam, gdzie ryzyko jest wysokie, zgodnie z wytycznymi RODO.
Aktywujemy procedury IR: identyfikacja, ograniczenie skutków, analiza przyczyn, działania naprawcze i, gdy wymagane, zgłoszenie do organu oraz powiadomienie osób, których dane dotyczą.
Możemy przetwarzać zagregowane/pseudonimizowane dane do celów statystyki i rozwoju, bez możliwości łatwej identyfikacji osoby. Dla narzędzi analitycznych stosujemy mechanizm zgody.
Tak, w ramach prawa dostępu i przenoszenia danych. Format i zakres zależą od charakteru danych i ograniczeń technicznych.
Brak niektórych danych uniemożliwi świadczenie usług (np. bez e‑maila nie założysz konta, bez danych transakcyjnych nie zrealizujesz płatności).
Serwis nie jest przeznaczony dla dzieci poniżej 13/16 lat. Jeśli dowiemy się o przetwarzaniu takich danych bez podstawy, niezwłocznie podejmiemy działania naprawcze.
Właściwy organ zależy od jurysdykcji. Dane kontaktowe organu publikowane są na stronach urzędowych właściwych dla siedziby administratora.
Poniżej prezentujemy przykładowo sformatowane wpisy ROPA dla głównych operacji. Rzeczywisty rejestr może zawierać więcej szczegółów i metadanych.
Cel: zakładanie i utrzymanie kont, uwierzytelnianie, obsługa funkcji. Zakres: dane identyfikacyjne, kontaktowe, logowania. Podstawa: art. 6 ust. 1 lit. b RODO. Odbiorcy: hosting, e‑mail. Retencja: do usunięcia konta + okres przedawnienia. Transfery: wg konfiguracji dostawców. Środki: TLS, RBAC, monitoring.
Cel: przyjmowanie i obsługa płatności. Zakres: identyfikatory transakcji, kwoty, waluty, statusy. Podstawa: art. 6 ust. 1 lit. b/c RODO, przepisy AML po stronie PSP. Odbiorcy: PSP, księgowość. Retencja: 5–10 lat. Transfery: zależne od PSP. Środki: kontrole dostępu, rejestry zdarzeń.
Cel: zapobieganie nadużyciom, zapewnienie dostępności. Zakres: IP, UA, logi, sygnały antybot. Podstawa: art. 6 ust. 1 lit. f. Odbiorcy: dostawcy antybot, hosting. Retencja: 3–12 miesięcy. Środki: rate limiting, monitoring, hardening.
Cel: obsługa zgłoszeń, kontakt. Zakres: e‑mail, treść zgłoszeń, metadane. Podstawa: art. 6 ust. 1 lit. b/f. Odbiorcy: e‑mail/SMS. Retencja: do 24 miesięcy lub do zamknięcia sprawy + okres dowodowy. Środki: kontrola dostępu, szyfrowanie transportu.
Cel: pomiar ruchu i jakości. Zakres: pseudonimizowane identyfikatory, zdarzenia. Podstawa: art. 6 ust. 1 lit. a. Odbiorcy: dostawca analityki. Retencja: zgodnie z konfiguracją narzędzia. Środki: anonimizacja IP, kontrola retencji.
Cel: komunikacja marketingowa. Zakres: e‑mail/telefon, preferencje. Podstawa: art. 6 ust. 1 lit. a + przepisy sektorowe. Odbiorcy: dostawca e‑mail/SMS. Retencja: do wycofania zgody. Środki: opt‑in, rejestr zgód.
Cel: testy, diagnostyka, poprawki. Zakres: zanonimizowane/pseudonimizowane dane techniczne. Podstawa: art. 6 ust. 1 lit. f. Odbiorcy: hosting, narzędzia CI/CD. Retencja: minimalna, niezbędna do celu. Środki: separacja środowisk, dostęp ograniczony.
Cel: ustalenie i dochodzenie roszczeń, obrona przed roszczeniami. Zakres: dane kont, transakcji, komunikacji. Podstawa: art. 6 ust. 1 lit. f. Odbiorcy: kancelarie prawne, organy. Retencja: do upływu przedawnienia roszczeń. Środki: kontrola dostępu, poufność.
Aby chronić prywatność, stosujemy procedury identyfikacyjne. Poniżej opis kroków:
Retencja opiera się na zasadzie ograniczenia przechowywania. Poniżej szerszy opis:
W przypadku transferów poza EOG oceniamy ryzyko i stosujemy środki kompensujące. Przykładowe elementy oceny:
Poniżej opis kroków dla wybranych praw osób, których dane dotyczą:
Złóż wniosek, wskaż zakres danych (np. kopia danych konta, logi logowania z ostatnich 6 miesięcy). Po weryfikacji tożsamości przygotujemy zestaw informacji wymaganych art. 15 RODO oraz kopię danych w powszechnym formacie.
Jeśli dane są nieprawidłowe lub niekompletne, wskaż poprawne brzmienie. Możemy poprosić o dokumenty potwierdzające. Wprowadzimy korektę bez zbędnej zwłoki, informując – gdzie to możliwe – odbiorców, którym dane ujawniono.
W przypadkach przewidzianych w art. 17 RODO (np. brak podstawy, wycofanie zgody) usuniemy dane. Pamiętaj, że obowiązki prawne (księgowość) i dochodzenie roszczeń mogą wymagać dalszego przetwarzania niektórych danych.
Na czas sporu co do prawidłowości danych lub podstaw przetwarzania, możemy oznaczyć dane jako ograniczone i nie wykonywać na nich operacji poza przechowywaniem oraz innymi dozwolonymi czynnościami.
Dotyczy danych dostarczonych przez Ciebie, przetwarzanych na podstawie zgody lub umowy i w sposób zautomatyzowany. Wskaż format i – jeśli to możliwe – odbiorcę, któremu mamy dane przekazać bezpośrednio.
Możesz wnieść sprzeciw wobec przetwarzania opartego na uzasadnionym interesie (art. 21 RODO). Rozważymy Twoją sytuację i – o ile nie wykażemy nadrzędnych podstaw – zaprzestaniemy przetwarzania w spornej części.
Zgodę wycofasz w każdym momencie, np. w ustawieniach lub przez kontakt. Wycofanie nie wpływa na zgodność przetwarzania sprzed odwołania.
Umowa (art. 6 ust. 1 lit. b): utworzenie konta, logowanie, obsługa płatności i funkcji Serwisu. Bez tych danych nie możemy świadczyć usług. Zakres jest ograniczony do tego, co niezbędne.
Obowiązek prawny (lit. c): księgowość, przeciwdziałanie nadużyciom finansowym. Okresy retencji i zakres danych mogą wynikać z przepisów szczególnych.
Uzasadniony interes (lit. f): bezpieczeństwo, raportowanie, dochodzenie roszczeń, ulepszanie usług. Stosujemy testy równowagi i środki łagodzące (pseudonimizacja, retencja, kontrola dostępu).
Zgoda (lit. a): analityka/marketing, jeśli są używane. Zgoda jest dobrowolna i odwoływalna; brak zgody nie wpływa na funkcje niezbędne.
Źródła danych: użytkownik (formularze, ustawienia), integracje logowania (Google), PSP (statusy transakcji), dane techniczne (IP/UA). Przepływy: przeglądarka ↔ Serwis (TLS), Serwis ↔ dostawcy (umowy powierzenia), PSP ↔ Serwis (webhooki/statusy). Rejestrujemy istotne zdarzenia bezpieczeństwa dla celów dowodowych i diagnostycznych.
Bezpieczeństwo traktujemy jako proces. Wdrażamy szereg praktyk, w tym: regularne aktualizacje komponentów, przeglądy uprawnień, segmentację środowisk (dev/test/prod), zasadę najmniejszych uprawnień, monitorowanie anomalii, obronę warstwową (WAF, rate limiting), mechanizmy walidacji danych i ochrony przed powszechnymi podatnościami (OWASP). Dane w tranzycie chroni TLS, a dostęp do panelu administracyjnego jest ograniczony i rejestrowany.
W zakresie przechowywania danych wykorzystujemy szyfrowanie na poziomie transportu, a w miarę możliwości także szyfrowanie w spoczynku u dostawców chmurowych. Klucze i sekrety przechowujemy w dedykowanych usługach zarządzania sekretami, a dostęp do nich jest audytowalny. Prowadzimy kopie zapasowe istotnych danych i testujemy proces odtworzeniowy.
Bezpieczeństwo pracowników i dostępu obejmuje szkolenia okresowe, polityki haseł i MFA (gdzie możliwe), przeglądy nadanych ról i szybkie wycofywanie dostępów po zmianach personalnych. Współpracujemy z dostawcami przestrzegającymi branżowych standardów bezpieczeństwa i wymagamy odpowiednich klauzul w umowach powierzenia.