Polityka Prywatności

Ostatnia aktualizacja: 9 maja 2026 r.

1. Informacje wstępne

  1. Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych osób korzystających z serwisu tendr.pl oraz odbiorców komunikacji marketingowej Tender Concierge.
  2. Polityka spełnia obowiązek informacyjny wynikający z art. 13 i art. 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych ("RODO").
  3. Administrator dokłada należytej staranności, aby przetwarzanie danych odbywało się zgodnie z RODO oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych.

2. Administrator danych

  1. Administratorem danych osobowych jest: Natalia Szczepanik, osoba fizyczna prowadząca działalność nierejestrowaną zgodnie z art. 5 ustawy z 6 marca 2018 r. — Prawo przedsiębiorców, adres do korespondencji: ul. Opalowa 11k, 82-300 Gronowo Górne, e-mail: natjiks@gmail.com (dalej: "Administrator"). Administrator nie posiada NIP/REGON ani wpisu do CEIDG ponieważ prowadzi działalność nierejestrowaną poniżej limitu z art. 5 ust. 1 Prawa przedsiębiorców. Po rejestracji działalności gospodarczej dane te zostaną zaktualizowane.
  2. Kontakt z Administratorem we wszystkich sprawach dotyczących danych osobowych: natjiks@gmail.com.
  3. Z uwagi na skalę i charakter przetwarzania Administrator nie ma obowiązku wyznaczenia Inspektora Ochrony Danych w rozumieniu art. 37 RODO. W razie potrzeby Administrator może wyznaczyć osobę kontaktową ds. ochrony danych — informacja zostanie zamieszczona w niniejszej Polityce.

3. Cele i podstawy prawne przetwarzania

  1. Realizacja umowy o świadczenie Subskrypcji — przetwarzamy adres e-mail, nazwę firmy, NIP, adres strony WWW i identyfikator klienta Stripe w celu zawarcia i wykonania umowy. Podstawa prawna: art. 6 ust. 1 lit. b RODO (niezbędność do wykonania umowy).
  2. Wystawianie i przechowywanie faktur oraz prowadzenie ksiąg rachunkowych — przetwarzamy dane identyfikacyjne podatnika i dane transakcji. Podstawa prawna: art. 6 ust. 1 lit. c RODO w zw. z ustawą z dnia 29 września 1994 r. o rachunkowości oraz ustawą z dnia 11 marca 2004 r. o podatku od towarów i usług.
  3. Marketing bezpośredni — wiadomości "cold mail" — przetwarzamy służbowy adres e-mail, nazwę podmiotu, NIP, adres strony WWW oraz publicznie dostępny profil podmiotu, w celu skierowania spersonalizowanej oferty branżowej. Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora w prowadzeniu działań marketingowych B2B).
  4. Profilowanie podmiotów — z wykorzystaniem narzędzi sztucznej inteligencji budujemy profil podmiotu na podstawie publicznych informacji ze strony WWW i z BZP/CEIDG (zob. § 11). Podstawa prawna: art. 6 ust. 1 lit. f RODO.
  5. Obrona przed roszczeniami i dochodzenie roszczeń — przetwarzamy dane niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Podstawa prawna: art. 6 ust. 1 lit. f RODO.
  6. Obsługa reklamacji i korespondencji — przetwarzamy dane korespondencyjne i treść wiadomości. Podstawa prawna: art. 6 ust. 1 lit. b (gdy korespondencja dotyczy umowy) lub art. 6 ust. 1 lit. f RODO (gdy korespondencja ma charakter ogólny).

4. Kategorie przetwarzanych danych

  1. Dane identyfikacyjne firmowe: nazwa firmy, NIP, REGON, adres rejestrowy, adres strony WWW.
  2. Dane kontaktowe: służbowy adres e-mail, opcjonalnie imię i nazwisko osoby kontaktowej.
  3. Dane techniczne: adres IP urządzenia (logi serwera), identyfikator sesji, znacznik czasu wizyty, identyfikator klienta Stripe.
  4. Dane transakcyjne: data i kwota płatności, status subskrypcji, identyfikatory płatności Stripe.
  5. Dane karty płatniczej NIE są przechowywane przez Administratora — przetwarzane są wyłącznie przez Stripe Payments Europe Limited, który posiada certyfikację PCI-DSS Level 1.
  6. Dane zachowania w komunikacji marketingowej: status doręczenia maila, fakt otwarcia, fakt opt-outu (suppressions).

5. Komunikacja "cold mail" — podstawa prawna i uzasadniony interes

  1. Administrator prowadzi działania marketingu bezpośredniego do podmiotów gospodarczych (B2B), których publicznie udostępnione adresy e-mail wskazują na podmioty zainteresowane usługami z obszaru zamówień publicznych.
  2. Podstawą prawną przetwarzania danych w tym celu jest art. 6 ust. 1 lit. f RODO — uzasadniony interes Administratora polegający na promowaniu własnych usług wśród podmiotów, które obiektywnie mogą być nimi zainteresowane.
  3. Wysyłka informacji handlowych odbywa się z zachowaniem wymogów art. 10 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy z dnia 16 lipca 2004 r. — Prawo telekomunikacyjne w odniesieniu do wykorzystania automatycznych systemów wywołujących. Administrator stoi na stanowisku, że kierowanie pojedynczej, krótkiej oferty B2B na publicznie udostępniony służbowy adres e-mail podmiotu prowadzącego działalność branżowo zbieżną z oferowaną usługą mieści się w granicach uzasadnionego interesu i nie wymaga uprzedniej zgody marketingowej, pod warunkiem natychmiastowego respektowania sprzeciwu.
  4. Każda wiadomość zawiera:
    1. nagłówek "List-Unsubscribe" zgodny z RFC 8058 (jednoklikowe wypisanie z listy),
    2. widoczny link "wypisz mnie" w stopce,
    3. dane identyfikacyjne nadawcy.
  5. Po otrzymaniu sprzeciwu adres e-mail jest bezterminowo dodawany do listy wykluczeń (suppressions) — gwarantujemy, że nie skierujemy do niego ponownej komunikacji marketingowej.

6. Odbiorcy danych — podmioty przetwarzające

  1. Administrator korzysta z usług zaufanych dostawców (procesorów) w celu świadczenia Usługi:
    1. Stripe Payments Europe Limited (Irlandia) — operator płatności, dane transakcji i karty płatniczej; siedziba w UE.
    2. Resend Inc. (USA) — dostawca usługi wysyłki transakcyjnych i marketingowych wiadomości e-mail; przekazanie danych odbywa się na podstawie standardowych klauzul umownych (SCC).
    3. Anthropic PBC (USA) — dostawca modeli językowych ("Claude") wykorzystywanych do analizy treści i przygotowania Briefingów; przekazanie danych odbywa się na podstawie SCC. Do Anthropic przekazywane są publiczne treści stron internetowych podmiotów oraz publiczne opisy ogłoszeń BZP; nie są przekazywane dane uwierzytelniające ani szczegółowe dane osobowe klientów Administratora.
    4. Supabase Inc. — operator bazy danych. Dane przechowywane są w regionie eu-west-1 (Frankfurt/Irlandia, UE).
    5. Vercel Inc. — hosting aplikacji. Funkcje serwerowe uruchamiane są w regionach Unii Europejskiej.
  2. Z każdym z procesorów Administrator zawarł umowę powierzenia przetwarzania danych zgodną z art. 28 RODO.
  3. Dane mogą być udostępnione również: biuru rachunkowemu (na podstawie umowy powierzenia), podmiotom świadczącym usługi prawne i windykacyjne (gdy zajdzie taka potrzeba), organom publicznym uprawnionym na podstawie przepisów prawa.

7. Transfery do państw trzecich

  1. W zakresie, w jakim dane przekazywane są do dostawców z siedzibą w Stanach Zjednoczonych Ameryki (Resend, Anthropic), transfer odbywa się na podstawie standardowych klauzul umownych zatwierdzonych decyzją wykonawczą Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r., a tam gdzie ma to zastosowanie — w oparciu o EU-U.S. Data Privacy Framework (decyzja wykonawcza Komisji (UE) 2023/1795 z dnia 10 lipca 2023 r.) jeżeli odbiorca posiada aktualną certyfikację.
  2. Administrator stosuje dodatkowe środki techniczne i organizacyjne w celu zabezpieczenia transferu — w szczególności minimalizację danych i pseudonimizację, gdy jest to wykonalne.
  3. Kopia stosowanych klauzul SCC dostępna jest na żądanie przesłane na adres natjiks@gmail.com.

8. Okres przechowywania danych

  1. Dane subskrypcji (wykonanie umowy): przez czas trwania umowy oraz po jej zakończeniu — maksymalnie do upływu 6-letniego okresu przedawnienia roszczeń, zgodnie z art. 118 KC oraz przepisami ustawy o rachunkowości w zakresie dokumentacji księgowej.
  2. Faktury i dokumentacja księgowa: 5 lat licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku, zgodnie z art. 70 § 1 ustawy z dnia 29 sierpnia 1997 r. — Ordynacja podatkowa.
  3. Dane outbound (cold mail): do czasu zgłoszenia sprzeciwu lub maksymalnie 24 miesiące od ostatniego kontaktu, jeżeli kontakt nie skutkował zawarciem umowy.
  4. Lista wykluczeń (suppressions): bezterminowo — w celu zagwarantowania, że osoba, która zgłosiła sprzeciw, nie otrzyma ponownej komunikacji marketingowej. Podstawa prawna przetwarzania w tym zakresie: art. 6 ust. 1 lit. f RODO (uzasadniony interes polegający na poszanowaniu sprzeciwu).
  5. Logi serwera: do 12 miesięcy.

9. Prawa osoby, której dane dotyczą

  1. Każdej osobie, której dane dotyczą, przysługują następujące prawa:
    1. prawo dostępu do danych — art. 15 RODO,
    2. prawo do sprostowania danych — art. 16 RODO,
    3. prawo do usunięcia danych ("prawo do bycia zapomnianym") — art. 17 RODO,
    4. prawo do ograniczenia przetwarzania — art. 18 RODO,
    5. prawo do przenoszenia danych — art. 20 RODO,
    6. prawo do sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie, w tym sprzeciw wobec marketingu bezpośredniego — art. 21 RODO,
    7. prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu — art. 22 RODO,
    8. prawo do cofnięcia zgody w dowolnym momencie, jeżeli przetwarzanie odbywa się na podstawie zgody — bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
  2. Realizacja praw odbywa się poprzez kontakt na adres: natjiks@gmail.com. Administrator odpowiada bez zbędnej zwłoki, nie później niż w terminie 30 dni od otrzymania żądania (z możliwością przedłużenia o kolejne 60 dni w sprawach złożonych — z poinformowaniem osoby).
  3. Administrator może odmówić realizacji żądania w zakresie, w jakim jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub gdy obowiązek przetwarzania wynika z przepisów prawa.

10. Prawo skargi do organu nadzorczego

  1. Osobie, której dane dotyczą, przysługuje prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
  2. Adres: ul. Stawki 2, 00-193 Warszawa. Strona internetowa: https://uodo.gov.pl.

11. Profilowanie i wykorzystanie sztucznej inteligencji

  1. Administrator wykorzystuje modele językowe Claude (dostarczane przez Anthropic PBC) do automatycznej analizy publicznie dostępnych informacji o podmiotach gospodarczych (treść strony WWW, publiczne ogłoszenia BZP, wpisy CEIDG) w celu (i) zbudowania profilu zawodowego podmiotu, (ii) dopasowania ogłoszeń do profilu podmiotu, (iii) syntezy treści Briefingu.
  2. Czynności te stanowią profilowanie w rozumieniu art. 4 pkt 4 RODO, jednak nie stanowią zautomatyzowanego podejmowania decyzji wywołującego wobec osoby skutki prawne lub w podobny sposób istotnie na nią wpływającego w rozumieniu art. 22 ust. 1 RODO. Wszystkie decyzje biznesowe (w tym decyzja o wysłaniu wiadomości marketingowej, kalkulacja oferty, decyzja o złożeniu oferty w postępowaniu) pozostają po stronie człowieka.
  3. Osobie, której dane dotyczą, przysługuje prawo sprzeciwu wobec profilowania na podstawie art. 21 RODO — wystarczy wiadomość na adres natjiks@gmail.com.

12. Pliki cookies i podobne technologie

  1. Serwis tendr.pl wykorzystuje wyłącznie sesyjne pliki cookies, niezbędne do działania procesu zamówienia oraz panelu klienta operatora płatności (Stripe Customer Portal).
  2. Nie używamy plików cookies analitycznych ani marketingowych. Nie używamy pikseli śledzących reklamy, nie integrujemy zewnętrznych narzędzi analitycznych typu Google Analytics ani Facebook Pixel.
  3. Cookies sesyjne są usuwane automatycznie po zamknięciu przeglądarki. Korzystanie wyłącznie z cookies niezbędnych nie wymaga uzyskania zgody w rozumieniu art. 173 ust. 2 ustawy — Prawo telekomunikacyjne.
  4. Podmiot Stripe może wykorzystywać własne cookies w obrębie swoich domen na potrzeby obsługi płatności — szczegóły dostępne są w polityce Stripe pod adresem https://stripe.com/privacy.

13. Bezpieczeństwo danych

  1. Administrator stosuje środki techniczne i organizacyjne odpowiadające ryzyku, w szczególności: szyfrowanie połączeń (TLS), szyfrowanie danych w spoczynku po stronie procesorów, zasadę najmniejszych uprawnień, dwuetapową autoryzację dostępu administracyjnego, regularne kopie zapasowe.
  2. W razie naruszenia ochrony danych skutkującego ryzykiem dla praw lub wolności osób fizycznych Administrator zgłasza naruszenie do PUODO w terminie 72 godzin (art. 33 RODO) oraz informuje osobę, której dane dotyczą, jeżeli ryzyko jest wysokie (art. 34 RODO).

14. Zmiany Polityki Prywatności

  1. Administrator może aktualizować niniejszą Politykę w razie zmiany przepisów prawa, zmiany procesorów lub zmian w zakresie świadczonych Usług.
  2. O istotnych zmianach Administrator informuje drogą elektroniczną z 14-dniowym wyprzedzeniem.
  3. Aktualna wersja Polityki publikowana jest pod adresem /prywatnosc wraz z datą ostatniej aktualizacji.

15. Data wejścia w życie

  1. Niniejsza Polityka Prywatności obowiązuje od dnia 9 maja 2026 r.