Prawne
RODO
Data ostatniej aktualizacji: 23.05.2026
Klauzula informacyjna RODO
(Informacja o przetwarzaniu danych osobowych zgodnie z art. 13 i 14 RODO)
Data ostatniej aktualizacji: 23.05.2026
I. Administrator danych
Fireart Sp. z o.o.
Adres: ul. Marynarska 21, Warszawa, 02-674, Polska
NIP: 9512374949
E-mail: support@contrata.pl
(Informacja o przetwarzaniu danych osobowych zgodnie z art. 13 i 14 RODO)
Data ostatniej aktualizacji: 23.05.2026
I. Administrator danych
Fireart Sp. z o.o.
Adres: ul. Marynarska 21, Warszawa, 02-674, Polska
NIP: 9512374949
E-mail: support@contrata.pl
II. Cele i podstawy prawne przetwarzania
| Cel | Zakres danych | Podstawa prawna (RODO)
| Rejestracja i świadczenie usługi Contrata | e-mail, hasło/Google UID, imię i nazwisko, rola, dane organizacji | Art. 6 ust. 1 lit. b (umowa)
| Obsługa subskrypcji i płatności | dane rozliczeniowe Stripe, status subskrypcji, liczba miejsc | Art. 6 ust. 1 lit. b, c
| Zaproszenia do zespołu | e-mail zaproszonej osoby | Art. 6 ust. 1 lit. b
| MFA (2FA SMS) | numer telefonu | Art. 6 ust. 1 lit. b / f (bezpieczeństwo)
| Komunikacja e-mail (weryfikacja, reset hasła, powiadomienia) | e-mail | Art. 6 ust. 1 lit. b, f
| Integracja Jira / Zapier | tokeny OAuth (zaszyfrowane), ID użytkownika w systemie zewnętrznym, metadane zadań | Art. 6 ust. 1 lit. b
| Analityka produktu (PostHog) | identyfikator, e-mail, orgId, rola, plan, zdarzenia | Art. 6 ust. 1 lit. a (zgoda) lub f
| Dochodzenie roszczeń, obrona przed roszczeniami | logi, metadane kont | Art. 6 ust. 1 lit. f
| Wypełnienie obowiązków prawnych | dane wymagane przepisami | Art. 6 ust. 1 lit. c
III. Kategorie odbiorców danych
Dane mogą być przekazywane:
| Odbiorca | Cel
| Google Firebase (Auth, Firestore, Storage) | hosting, uwierzytelnianie, przechowywanie plików
| Stripe Payments Europe Ltd. | płatności
| Resend, Inc. | e-maile transakcyjne
| PostHog, Inc. (host EU) | analityka (opcjonalnie)
| Atlassian (Jira) | integracja — odczyt zadań
| Zapier, Inc. | automatyzacje (jeśli połączone)
| [Vercel / dostawca hostingu] | hosting aplikacji
Pełna lista podprocesorów: na żądanie pod kontakt@contrata.pl lub w Załączniku do DPA.
IV. Przekazywanie danych poza EOG
Niektórzy dostawcy (np. Google, Resend, Zapier) mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym. Stosowane są mechanizmy RODO: Standard Contractual Clauses (SCC), decyzje adekwatności lub inne środki przewidziane prawem.
| Cel | Zakres danych | Podstawa prawna (RODO)
| Rejestracja i świadczenie usługi Contrata | e-mail, hasło/Google UID, imię i nazwisko, rola, dane organizacji | Art. 6 ust. 1 lit. b (umowa)
| Obsługa subskrypcji i płatności | dane rozliczeniowe Stripe, status subskrypcji, liczba miejsc | Art. 6 ust. 1 lit. b, c
| Zaproszenia do zespołu | e-mail zaproszonej osoby | Art. 6 ust. 1 lit. b
| MFA (2FA SMS) | numer telefonu | Art. 6 ust. 1 lit. b / f (bezpieczeństwo)
| Komunikacja e-mail (weryfikacja, reset hasła, powiadomienia) | e-mail | Art. 6 ust. 1 lit. b, f
| Integracja Jira / Zapier | tokeny OAuth (zaszyfrowane), ID użytkownika w systemie zewnętrznym, metadane zadań | Art. 6 ust. 1 lit. b
| Analityka produktu (PostHog) | identyfikator, e-mail, orgId, rola, plan, zdarzenia | Art. 6 ust. 1 lit. a (zgoda) lub f
| Dochodzenie roszczeń, obrona przed roszczeniami | logi, metadane kont | Art. 6 ust. 1 lit. f
| Wypełnienie obowiązków prawnych | dane wymagane przepisami | Art. 6 ust. 1 lit. c
III. Kategorie odbiorców danych
Dane mogą być przekazywane:
| Odbiorca | Cel
| Google Firebase (Auth, Firestore, Storage) | hosting, uwierzytelnianie, przechowywanie plików
| Stripe Payments Europe Ltd. | płatności
| Resend, Inc. | e-maile transakcyjne
| PostHog, Inc. (host EU) | analityka (opcjonalnie)
| Atlassian (Jira) | integracja — odczyt zadań
| Zapier, Inc. | automatyzacje (jeśli połączone)
| [Vercel / dostawca hostingu] | hosting aplikacji
Pełna lista podprocesorów: na żądanie pod kontakt@contrata.pl lub w Załączniku do DPA.
IV. Przekazywanie danych poza EOG
Niektórzy dostawcy (np. Google, Resend, Zapier) mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym. Stosowane są mechanizmy RODO: Standard Contractual Clauses (SCC), decyzje adekwatności lub inne środki przewidziane prawem.
V. Okres przechowywania
| Kategoria | Okres
| Konto użytkownika | Do usunięcia konta + [30] dni
| Dane organizacji po zakończeniu subskrypcji | [90] dni (chyba że dłużej — przepisy / DPA)
| Cookie sesji | Do 14 dni
| Tokeny integracji | Do odłączenia integracji
| Logi analityczne PostHog | [12] miesięcy (do konfiguracji)
| Dokumenty księgowe kontrahentów | Zgodnie z polityką retencji Organizacji (Organizacja = ADO)
VI. Prawa osób, których dane dotyczą
Przysługują Ci:
• Prawo dostępu do danych (art. 15),
• Prawo do sprostowania (art. 16),
• Prawo do usunięcia (art. 17),
• Prawo do ograniczenia przetwarzania (art. 18),
• Prawo do przenoszenia danych (art. 20),
• Prawo sprzeciwu wobec przetwarzania na podstawie art. 6 ust. 1 lit. f (art. 21),
• Prawo wycofania zgody w dowolnym momencie (art. 7 ust. 3) — bez wpływu na zgodność z prawem przetwarzania sprzed wycofania.
Jak skorzystać: napisz na kontakt@contrata.pl. Odpowiadamy w ciągu 30 dni.
VII. Prawo wniesienia skargi
Masz prawo wnieść skargę do:
Prezes Urzędu Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warszawa
https://uodo.gov.pl
| Kategoria | Okres
| Konto użytkownika | Do usunięcia konta + [30] dni
| Dane organizacji po zakończeniu subskrypcji | [90] dni (chyba że dłużej — przepisy / DPA)
| Cookie sesji | Do 14 dni
| Tokeny integracji | Do odłączenia integracji
| Logi analityczne PostHog | [12] miesięcy (do konfiguracji)
| Dokumenty księgowe kontrahentów | Zgodnie z polityką retencji Organizacji (Organizacja = ADO)
VI. Prawa osób, których dane dotyczą
Przysługują Ci:
• Prawo dostępu do danych (art. 15),
• Prawo do sprostowania (art. 16),
• Prawo do usunięcia (art. 17),
• Prawo do ograniczenia przetwarzania (art. 18),
• Prawo do przenoszenia danych (art. 20),
• Prawo sprzeciwu wobec przetwarzania na podstawie art. 6 ust. 1 lit. f (art. 21),
• Prawo wycofania zgody w dowolnym momencie (art. 7 ust. 3) — bez wpływu na zgodność z prawem przetwarzania sprzed wycofania.
Jak skorzystać: napisz na kontakt@contrata.pl. Odpowiadamy w ciągu 30 dni.
VII. Prawo wniesienia skargi
Masz prawo wnieść skargę do:
Prezes Urzędu Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warszawa
https://uodo.gov.pl
VIII. Informacja o obowiązku podania danych
Podanie danych oznaczonych jako wymagane przy rejestracji jest konieczne do zawarcia umowy i korzystania z Serwisu. Brak podania uniemożliwia świadczenie usługi.
IX. Zautomatyzowane podejmowanie decyzji
Contrata nie stosuje zautomatyzowanego podejmowania decyzji, w tym profilowania, które wywoływałoby skutki prawne wobec użytkownika.
X. Dane kontrahentów — rola Contrata
Gdy Organizacja wprowadza dane swoich kontrahentów (imię, NIP, IBAN, e-mail itd.):
• Organizacja jest administratorem danych (ADO),
• [Nazwa Usługodawcy] jest podmiotem przetwarzającym na podstawie Umowy powierzenia (DPA),
• kontrahenci mogą kierować żądania dotyczące swoich danych do Organizacji (ADO); Contrata wspiera Organizację jako procesor.
XI. Bezpieczeństwo danych
Stosujemy m.in.: HTTPS, reguły dostępu Firestore/Storage, szyfrowanie tokenów integracji, sesje HttpOnly, opcjonalne MFA SMS, ograniczenie dostępu do sekretów integracji po stronie serwera.
XII. Źródło danych
Dane pochodzą:
• bezpośrednio od użytkownika (rejestracja, formularze),
• od Organizacji (dane kontrahentów),
• od podmiotów trzecich (Google — logowanie; Jira — zadania; Stripe — płatności).
Podanie danych oznaczonych jako wymagane przy rejestracji jest konieczne do zawarcia umowy i korzystania z Serwisu. Brak podania uniemożliwia świadczenie usługi.
IX. Zautomatyzowane podejmowanie decyzji
Contrata nie stosuje zautomatyzowanego podejmowania decyzji, w tym profilowania, które wywoływałoby skutki prawne wobec użytkownika.
X. Dane kontrahentów — rola Contrata
Gdy Organizacja wprowadza dane swoich kontrahentów (imię, NIP, IBAN, e-mail itd.):
• Organizacja jest administratorem danych (ADO),
• [Nazwa Usługodawcy] jest podmiotem przetwarzającym na podstawie Umowy powierzenia (DPA),
• kontrahenci mogą kierować żądania dotyczące swoich danych do Organizacji (ADO); Contrata wspiera Organizację jako procesor.
XI. Bezpieczeństwo danych
Stosujemy m.in.: HTTPS, reguły dostępu Firestore/Storage, szyfrowanie tokenów integracji, sesje HttpOnly, opcjonalne MFA SMS, ograniczenie dostępu do sekretów integracji po stronie serwera.
XII. Źródło danych
Dane pochodzą:
• bezpośrednio od użytkownika (rejestracja, formularze),
• od Organizacji (dane kontrahentów),
• od podmiotów trzecich (Google — logowanie; Jira — zadania; Stripe — płatności).
