Prawne
Polityka prywatności
Data ostatniej aktualizacji: 23.05.2026
Polityka prywatności Contrata
Data ostatniej aktualizacji: 23.05.2026
1. Kim jest administratorem danych
Administratorem Twoich danych osobowych w związku z korzystaniem z serwisu Contrata (dalej: „Serwis”) jest:
Fireart Sp. z o.o.
Adres: Marynarska 21, 02-674, Polska
E-mail kontaktowy (RODO): support@contrata.pl
W sprawach ochrony danych możesz skontaktować się z nami pod adresem support@contrata.pl.
2. Czym jest Contrata
Contrata to aplikacja SaaS wspierająca rozliczenia z kontrahentami (umowy B2B i umowy o dzieło): zarządzanie danymi kontrahentów, harmonogramami wypłat, ewidencją czasu pracy oraz generowaniem dokumentów księgowych (faktury, rachunki, ewidencja) w wybranych walutach.
3. Kogo dotyczy polityka
Polityka dotyczy:
• użytkowników posiadających konto w Serwisie (administratorzy i menedżerowie organizacji),
• osób zapraszanych do organizacji,
• danych kontrahentów wprowadzanych przez użytkowników organizacji (Contrata przetwarza je w imieniu organizacji jako podmiot przetwarzający — patrz § 12).
Data ostatniej aktualizacji: 23.05.2026
1. Kim jest administratorem danych
Administratorem Twoich danych osobowych w związku z korzystaniem z serwisu Contrata (dalej: „Serwis”) jest:
Fireart Sp. z o.o.
Adres: Marynarska 21, 02-674, Polska
NIP: 9512374949
REGON: 146997320
E-mail kontaktowy (RODO): support@contrata.pl
W sprawach ochrony danych możesz skontaktować się z nami pod adresem support@contrata.pl.
2. Czym jest Contrata
Contrata to aplikacja SaaS wspierająca rozliczenia z kontrahentami (umowy B2B i umowy o dzieło): zarządzanie danymi kontrahentów, harmonogramami wypłat, ewidencją czasu pracy oraz generowaniem dokumentów księgowych (faktury, rachunki, ewidencja) w wybranych walutach.
3. Kogo dotyczy polityka
Polityka dotyczy:
• użytkowników posiadających konto w Serwisie (administratorzy i menedżerowie organizacji),
• osób zapraszanych do organizacji,
• danych kontrahentów wprowadzanych przez użytkowników organizacji (Contrata przetwarza je w imieniu organizacji jako podmiot przetwarzający — patrz § 12).
4. Jakie dane zbieramy
4.1. Dane konta użytkownika
• adres e-mail,
• imię i nazwisko (display name),
• identyfikator użytkownika (UID),
• hasło (przechowywane w formie zaszyfrowanej przez Firebase Auth) lub logowanie przez Google,
• numer telefonu (jeśli włączono uwierzytelnianie dwuskładnikowe SMS),
• status weryfikacji e-mail,
• informacje o członkostwie w organizacji (rola: administrator / manager),
• status subskrypcji (np. trial, active, past_due, canceled),
• data utworzenia konta i postęp onboardingu.
4.2. Dane organizacji
• nazwa firmy, adres, NIP, REGON,
• numery rachunków bankowych (PLN i inne waluty),
• ustawienia organizacji (stanowiska, waluty, polityka MFA, branding PDF),
• identyfikatory Stripe (customer ID, subscription ID),
• status integracji z Jira (połączenie, adres instancji Jira).
4.3. Dane kontrahentów (wprowadzane przez użytkowników)
• imię i nazwisko,
• stanowisko, typ umowy (B2B / UoD),
• kwoty wynagrodzenia (brutto/netto), waluta,
• e-mail, NIP, adres, numer rachunku bankowego,
• prefiks numeracji dokumentów,
• powiązanie z użytkownikiem w systemie zewnętrznym (np. Jira account ID) — jeśli skonfigurowano integrację.
4.4. Dane operacyjne
• harmonogramy wypłat i terminy rozliczeń,
• metadane wygenerowanych dokumentów (faktury, rachunki, ewidencja),
• pliki PDF (wygenerowane dokumenty oraz podpisane umowy przesłane przez użytkowników),
• dane zadań pobrane z Jira (klucz zadania, tytuł, projekt, data aktualizacji) — wyłącznie w zakresie niezbędnym do ewidencji pracy,
• tokeny OAuth integracji Jira (przechowywane w formie zaszyfrowanej),
• tokeny zaproszeń do organizacji,
• klucze API organizacji (hash, metadane — same klucze nie są przechowywane w postaci jawnej).
4.5. Dane techniczne i analityczne
• pliki cookie sesji (kontrakto_session, ważność do 14 dni),
• cookie interfejsu (sidebar_state, do 7 dni),
• dane analityczne PostHog (jeśli włączone): odsłony stron, zdarzenia produktowe (np. pobranie dokumentu, wygenerowanie dokumentów, zmiana kontrahenta), identyfikator użytkownika, e-mail, ID organizacji, rola, plan subskrypcji,
• logi serwera i dane diagnostyczne niezbędne do utrzymania Serwisu.
5. W jakich celach przetwarzamy dane
| Cel | Przykładowe dane
| Rejestracja, logowanie, utrzymanie sesji | e-mail, hasło/Google, cookie sesji
| Świadczenie funkcji Serwisu | dane organizacji, kontrahentów, harmonogramów, dokumentów
| Generowanie PDF (faktury, rachunki, ewidencja) | dane kontrahentów i organizacji
| Integracja z Jira (ewidencja pracy) | tokeny OAuth, zadania przypisane kontrahentowi
| Subskrypcja i płatności | dane rozliczeniowe Stripe, liczba aktywnych miejsc
| Zaproszenia do zespołu | e-mail zapraszanej osoby
| Komunikacja e-mail (weryfikacja, reset hasła, powiadomienia) | e-mail, linki aktywacyjne
| Bezpieczeństwo (MFA SMS) | numer telefonu
| Analityka produktu (opcjonalnie) | zdarzenia PostHog
| Obsługa API organizacji | klucze API, dane zwracane przez endpointy v1
| Dochodzenie roszczeń, obrona przed naruszeniami | logi, metadane kont
6. Podstawy prawne (RODO art. 6)
• Art. 6 ust. 1 lit. b — wykonanie umowy o świadczenie usług (korzystanie z Contrata).
• Art. 6 ust. 1 lit. c — obowiązki prawne (np. przechowywanie dokumentów księgowych — w zakresie, w jakim dotyczy to danych wprowadzanych przez użytkowników).
• Art. 6 ust. 1 lit. f — prawnie uzasadniony interes (bezpieczeństwo, zapobieganie nadużyciom, analityka produktu, obsługa reklamacji).
• Art. 6 ust. 1 lit. a — zgoda (np. logowanie przez Google, opcjonalna analityka — jeśli stosujecie banner zgody).
Dla numeru telefonu w MFA podstawą jest zazwyczaj wykonanie umowy / wymóg bezpieczeństwa konta.
7. Odbiorcy danych (podmioty przetwarzające)
Dane mogą być przekazywane zaufanym dostawcom:
| Dostawca | Rola | Lokalizacja / uwagi
| Google Firebase (Auth, Firestore, Storage) | hosting danych, uwierzytelnianie | infrastruktura Google Cloud; możliwy transfer poza EOG z zabezpieczeniami
| Stripe | płatności i subskrypcje | Stripe Payments Europe Ltd. (Irlandia)
| Resend | wysyłka e-maili transakcyjnych | USA — Standard Contractual Clauses
| PostHog (opcjonalnie) | analityka produktu | domyślnie host EU (eu.posthog.com)
| Atlassian (Jira) | integracja — odczyt zadań | zgodnie z polityką Atlassian
| Railway | hosting aplikacji | host EU]
Lista może ulec zmianie; aktualna wersja dostępna na żądanie pod support@contrata.pl.
4.1. Dane konta użytkownika
• adres e-mail,
• imię i nazwisko (display name),
• identyfikator użytkownika (UID),
• hasło (przechowywane w formie zaszyfrowanej przez Firebase Auth) lub logowanie przez Google,
• numer telefonu (jeśli włączono uwierzytelnianie dwuskładnikowe SMS),
• status weryfikacji e-mail,
• informacje o członkostwie w organizacji (rola: administrator / manager),
• status subskrypcji (np. trial, active, past_due, canceled),
• data utworzenia konta i postęp onboardingu.
4.2. Dane organizacji
• nazwa firmy, adres, NIP, REGON,
• numery rachunków bankowych (PLN i inne waluty),
• ustawienia organizacji (stanowiska, waluty, polityka MFA, branding PDF),
• identyfikatory Stripe (customer ID, subscription ID),
• status integracji z Jira (połączenie, adres instancji Jira).
4.3. Dane kontrahentów (wprowadzane przez użytkowników)
• imię i nazwisko,
• stanowisko, typ umowy (B2B / UoD),
• kwoty wynagrodzenia (brutto/netto), waluta,
• e-mail, NIP, adres, numer rachunku bankowego,
• prefiks numeracji dokumentów,
• powiązanie z użytkownikiem w systemie zewnętrznym (np. Jira account ID) — jeśli skonfigurowano integrację.
4.4. Dane operacyjne
• harmonogramy wypłat i terminy rozliczeń,
• metadane wygenerowanych dokumentów (faktury, rachunki, ewidencja),
• pliki PDF (wygenerowane dokumenty oraz podpisane umowy przesłane przez użytkowników),
• dane zadań pobrane z Jira (klucz zadania, tytuł, projekt, data aktualizacji) — wyłącznie w zakresie niezbędnym do ewidencji pracy,
• tokeny OAuth integracji Jira (przechowywane w formie zaszyfrowanej),
• tokeny zaproszeń do organizacji,
• klucze API organizacji (hash, metadane — same klucze nie są przechowywane w postaci jawnej).
4.5. Dane techniczne i analityczne
• pliki cookie sesji (kontrakto_session, ważność do 14 dni),
• cookie interfejsu (sidebar_state, do 7 dni),
• dane analityczne PostHog (jeśli włączone): odsłony stron, zdarzenia produktowe (np. pobranie dokumentu, wygenerowanie dokumentów, zmiana kontrahenta), identyfikator użytkownika, e-mail, ID organizacji, rola, plan subskrypcji,
• logi serwera i dane diagnostyczne niezbędne do utrzymania Serwisu.
5. W jakich celach przetwarzamy dane
| Cel | Przykładowe dane
| Rejestracja, logowanie, utrzymanie sesji | e-mail, hasło/Google, cookie sesji
| Świadczenie funkcji Serwisu | dane organizacji, kontrahentów, harmonogramów, dokumentów
| Generowanie PDF (faktury, rachunki, ewidencja) | dane kontrahentów i organizacji
| Integracja z Jira (ewidencja pracy) | tokeny OAuth, zadania przypisane kontrahentowi
| Subskrypcja i płatności | dane rozliczeniowe Stripe, liczba aktywnych miejsc
| Zaproszenia do zespołu | e-mail zapraszanej osoby
| Komunikacja e-mail (weryfikacja, reset hasła, powiadomienia) | e-mail, linki aktywacyjne
| Bezpieczeństwo (MFA SMS) | numer telefonu
| Analityka produktu (opcjonalnie) | zdarzenia PostHog
| Obsługa API organizacji | klucze API, dane zwracane przez endpointy v1
| Dochodzenie roszczeń, obrona przed naruszeniami | logi, metadane kont
6. Podstawy prawne (RODO art. 6)
• Art. 6 ust. 1 lit. b — wykonanie umowy o świadczenie usług (korzystanie z Contrata).
• Art. 6 ust. 1 lit. c — obowiązki prawne (np. przechowywanie dokumentów księgowych — w zakresie, w jakim dotyczy to danych wprowadzanych przez użytkowników).
• Art. 6 ust. 1 lit. f — prawnie uzasadniony interes (bezpieczeństwo, zapobieganie nadużyciom, analityka produktu, obsługa reklamacji).
• Art. 6 ust. 1 lit. a — zgoda (np. logowanie przez Google, opcjonalna analityka — jeśli stosujecie banner zgody).
Dla numeru telefonu w MFA podstawą jest zazwyczaj wykonanie umowy / wymóg bezpieczeństwa konta.
7. Odbiorcy danych (podmioty przetwarzające)
Dane mogą być przekazywane zaufanym dostawcom:
| Dostawca | Rola | Lokalizacja / uwagi
| Google Firebase (Auth, Firestore, Storage) | hosting danych, uwierzytelnianie | infrastruktura Google Cloud; możliwy transfer poza EOG z zabezpieczeniami
| Stripe | płatności i subskrypcje | Stripe Payments Europe Ltd. (Irlandia)
| Resend | wysyłka e-maili transakcyjnych | USA — Standard Contractual Clauses
| PostHog (opcjonalnie) | analityka produktu | domyślnie host EU (eu.posthog.com)
| Atlassian (Jira) | integracja — odczyt zadań | zgodnie z polityką Atlassian
| Railway | hosting aplikacji | host EU]
Lista może ulec zmianie; aktualna wersja dostępna na żądanie pod support@contrata.pl.
8. Przekazywanie danych poza EOG
Niektórzy dostawcy (np. Google/Firebase, Resend) mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym. Odbywa się to z zastosowaniem mechanizmów przewidzianych RODO (np. Standard Contractual Clauses, decyzje adekwatności — w zależności od dostawcy).
9. Okres przechowywania danych
• Konto użytkownika — do czasu usunięcia konta lub wycofania zgody (jeśli przetwarzanie opiera się na zgodzie), z uwzględnieniem okresów wynikających z przepisów.
• Cookie sesji — do 14 dni lub do wylogowania.
• Dane organizacji i kontrahentów — przez czas trwania subskrypcji i [X miesięcy] po jej zakończeniu, chyba że użytkownik wcześniej zażąda usunięcia, a brak podstawy prawnej do dalszego przechowywania.
• Dokumenty PDF — zgodnie z ustawieniami organizacji i obowiązkami prawnymi użytkownika (Contrata nie zastępuje polityki retencji klienta).
• Tokeny Jira — do momentu odłączenia integracji.
• Logi analityczne PostHog — zgodnie z konfiguracją projektu PostHog (domyślnie 1 rok).
10. Twoje prawa
Przysługują Ci prawa wynikające z RODO:
• dostęp do danych,
• sprostowanie,
• usunięcie („prawo do bycia zapomnianym”),
• ograniczenie przetwarzania,
• przenoszenie danych,
• sprzeciw wobec przetwarzania opartego na art. 6 ust. 1 lit. f,
• wycofanie zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania sprzed wycofania).
Aby skorzystać z praw, napisz na kontakt@contrata.pl. Odpowiemy w terminie 30 dni.
Masz też prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).
11. Pliki cookie
Serwis używa:
| Cookie | Cel | Ważność
| kontrakto_session | utrzymanie sesji logowania (HttpOnly) | do 14 dni
| sidebar_state | zapamiętanie stanu panelu bocznego | 7 dni
| PostHog (ph_* itd.) | analityka (jeśli włączona) | zgodnie z PostHog
Możesz zarządzać cookies w ustawieniach przeglądarki. Wyłączenie cookie sesji uniemożliwi logowanie.
Niektórzy dostawcy (np. Google/Firebase, Resend) mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym. Odbywa się to z zastosowaniem mechanizmów przewidzianych RODO (np. Standard Contractual Clauses, decyzje adekwatności — w zależności od dostawcy).
9. Okres przechowywania danych
• Konto użytkownika — do czasu usunięcia konta lub wycofania zgody (jeśli przetwarzanie opiera się na zgodzie), z uwzględnieniem okresów wynikających z przepisów.
• Cookie sesji — do 14 dni lub do wylogowania.
• Dane organizacji i kontrahentów — przez czas trwania subskrypcji i [X miesięcy] po jej zakończeniu, chyba że użytkownik wcześniej zażąda usunięcia, a brak podstawy prawnej do dalszego przechowywania.
• Dokumenty PDF — zgodnie z ustawieniami organizacji i obowiązkami prawnymi użytkownika (Contrata nie zastępuje polityki retencji klienta).
• Tokeny Jira — do momentu odłączenia integracji.
• Logi analityczne PostHog — zgodnie z konfiguracją projektu PostHog (domyślnie 1 rok).
10. Twoje prawa
Przysługują Ci prawa wynikające z RODO:
• dostęp do danych,
• sprostowanie,
• usunięcie („prawo do bycia zapomnianym”),
• ograniczenie przetwarzania,
• przenoszenie danych,
• sprzeciw wobec przetwarzania opartego na art. 6 ust. 1 lit. f,
• wycofanie zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania sprzed wycofania).
Aby skorzystać z praw, napisz na kontakt@contrata.pl. Odpowiemy w terminie 30 dni.
Masz też prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).
11. Pliki cookie
Serwis używa:
| Cookie | Cel | Ważność
| kontrakto_session | utrzymanie sesji logowania (HttpOnly) | do 14 dni
| sidebar_state | zapamiętanie stanu panelu bocznego | 7 dni
| PostHog (ph_* itd.) | analityka (jeśli włączona) | zgodnie z PostHog
Możesz zarządzać cookies w ustawieniach przeglądarki. Wyłączenie cookie sesji uniemożliwi logowanie.
12. Contrata jako podmiot przetwarzający (dane kontrahentów)
Gdy organizacja wprowadza dane swoich kontrahentów, organizacja jest administratorem tych danych, a [Nazwa firmy] działa jako podmiot przetwarzający na podstawie umowy powierzenia przetwarzania danych (DPA). Szczegóły: [link do DPA / regulaminu].
Contrata przetwarza te dane wyłącznie na polecenie organizacji i w celu świadczenia usługi.
13. Bezpieczeństwo
Stosujemy m.in.:
• szyfrowanie transmisji (HTTPS),
• uwierzytelnianie dwuskładnikowe SMS (Firebase MFA),
• reguły dostępu Firestore i Storage (dostęp tylko dla członków organizacji),
• szyfrowanie tokenów integracji Jira,
• sesje serwerowe w cookie HttpOnly,
• ograniczenie dostępu do tokenów integracji wyłącznie po stronie backendu (Admin SDK).
14. Integracja Jira
Po dobrowolnym połączeniu konta Jira przez administratora organizacji Contrata:
• otrzymuje tokeny OAuth (read:jira-work, read:jira-user),
• odczytuje zadania przypisane do wybranego użytkownika Jira w danym okresie (klucz, tytuł, projekt, data),
• wykorzystuje je wyłącznie do generowania ewidencji pracy.
Integrację można odłączyć w Ustawieniach; tokeny zostaną usunięte.
15. API
Organizacje z planem obejmującym API mogą generować klucze API do odczytu danych (kontrahenci, dokumenty, harmonogramy, umowy). Administrator organizacji odpowiada za bezpieczne przechowywanie kluczy.
16. Dzieci
Serwis nie jest przeznaczony dla osób poniżej 16. roku życia. Nie zbieramy świadomie danych dzieci.
17. Zmiany polityki
Możemy aktualizować niniejszą politykę. O istotnych zmianach poinformujemy e-mailem lub komunikatem w Serwisie. Data aktualizacji na górze dokumentu.
18. Kontakt
Fireart Sp. z o.o.
E-mail: support@contrata.pl
Gdy organizacja wprowadza dane swoich kontrahentów, organizacja jest administratorem tych danych, a [Nazwa firmy] działa jako podmiot przetwarzający na podstawie umowy powierzenia przetwarzania danych (DPA). Szczegóły: [link do DPA / regulaminu].
Contrata przetwarza te dane wyłącznie na polecenie organizacji i w celu świadczenia usługi.
13. Bezpieczeństwo
Stosujemy m.in.:
• szyfrowanie transmisji (HTTPS),
• uwierzytelnianie dwuskładnikowe SMS (Firebase MFA),
• reguły dostępu Firestore i Storage (dostęp tylko dla członków organizacji),
• szyfrowanie tokenów integracji Jira,
• sesje serwerowe w cookie HttpOnly,
• ograniczenie dostępu do tokenów integracji wyłącznie po stronie backendu (Admin SDK).
14. Integracja Jira
Po dobrowolnym połączeniu konta Jira przez administratora organizacji Contrata:
• otrzymuje tokeny OAuth (read:jira-work, read:jira-user),
• odczytuje zadania przypisane do wybranego użytkownika Jira w danym okresie (klucz, tytuł, projekt, data),
• wykorzystuje je wyłącznie do generowania ewidencji pracy.
Integrację można odłączyć w Ustawieniach; tokeny zostaną usunięte.
15. API
Organizacje z planem obejmującym API mogą generować klucze API do odczytu danych (kontrahenci, dokumenty, harmonogramy, umowy). Administrator organizacji odpowiada za bezpieczne przechowywanie kluczy.
16. Dzieci
Serwis nie jest przeznaczony dla osób poniżej 16. roku życia. Nie zbieramy świadomie danych dzieci.
17. Zmiany polityki
Możemy aktualizować niniejszą politykę. O istotnych zmianach poinformujemy e-mailem lub komunikatem w Serwisie. Data aktualizacji na górze dokumentu.
18. Kontakt
Fireart Sp. z o.o.
E-mail: support@contrata.pl
