Polityka Prywatności Fox's Nest

Ostatnia aktualizacja: 28 lutego 2026 r.

§ 1. Informacje ogólne

Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych przez CALMFOX Sp. z o.o. w związku z korzystaniem z serwisu Fox's Nest dostępnego pod adresem foxsnest.com.

Administratorem danych osobowych jest CALMFOX Sp. z o.o. z siedzibą w Bydgoszczy, ul. Długa 47, 85-034 Bydgoszcz, KRS: 0001163844, NIP: 9532810342. Kontakt: kontakt@calmfox.pl.

§ 2. Rola Administratora a rola Procesora

CALMFOX Sp. z o.o. pełni podwójną rolę w zakresie przetwarzania danych osobowych:

  • Administrator danych – W odniesieniu do danych osobowych Użytkowników serwisu — danych konta, danych rozliczeniowych oraz danych związanych z funkcjonowaniem usługi. Podstawy prawne: art. 6 ust. 1 lit. b), c) i f) RODO.
  • Podmiot przetwarzający (Procesor) – W odniesieniu do danych odwiedzających strony internetowe Użytkowników, zbieranych za pośrednictwem widgetów Fox's Nest (cookie banner, widget dostępności). Użytkownik jest administratorem tych danych.

Przetwarzanie danych odwiedzających odbywa się na podstawie Umowy powierzenia przetwarzania danych (DPA) zgodnie z art. 28 RODO, stanowiącej integralną część Regulaminu usługi.

§ 3. Rodzaje przetwarzanych danych

Przetwarzamy następujące kategorie danych osobowych:

  • Dane konta Adres e-mail, imię i nazwisko (opcjonalnie), nazwa firmy, NIP (do faktur), hasło (hashowane algorytmem bcrypt).
  • Dane płatnicze Płatności obsługiwane są przez Stripe Inc. Nie przechowujemy numerów kart płatniczych — zapisujemy jedynie referencje transakcji i identyfikatory subskrypcji Stripe.
  • Dane uwierzytelnienia Kody 2FA (jeśli włączone), tokeny logowania społecznościowego (Google, GitHub).
  • Dane techniczne Adres IP, identyfikator przeglądarki (user agent), język przeglądarki, rozdzielczość ekranu, strefa czasowa.
  • Zapisy zgód (cookies) Pseudonimizowany identyfikator odwiedzającego (visitor_id, 64 znaki), wybory dotyczące zgód, znacznik czasu, ścieżka URL strony.
  • Dane audytów WCAG Adresy URL skanowanych stron, wyniki oceny dostępności, szczegóły wykrytych naruszeń, raporty audytu.
  • Dane skanów GDPR Adresy URL skanowanych stron, wykryte pliki cookies i technologie śledzące, ocena zgodności z RODO, wyniki analizy polityki prywatności, raporty skanów.
  • Dane Cookie Monitor Historia skanów cookies, kategoryzacja wykrytych cookies (niezbędne, analityczne, marketingowe, preferencyjne, nieskategoryzowane), ocena poziomu ryzyka, zmiany w stosowanych cookies.
  • Dane zespołu Adresy e-mail zaproszonych członków zespołu, przypisane role (właściciel, administrator, edytor, przeglądający), daty dołączenia, tokeny zaproszeń, uprawnienia dostępu do poszczególnych domen.
  • Dane organizacji Nazwa firmy, NIP, adres siedziby, telefon kontaktowy, kraj — zbierane podczas procesu onboardingu, w tym z wykorzystaniem API rejestru GUS (Główny Urząd Statystyczny) do autouzupełniania danych firmowych na podstawie numeru NIP.
  • Dane deklaracji AI Act Opisy systemów sztucznej inteligencji, klasyfikacje poziomu ryzyka AI, statusy deklaracji zgodności, dane publikowanych oświadczeń.
  • Dane listy zadań deweloperskich Identyfikatory zadań (fingerprint), statusy realizacji, notatki deweloperów, tokeny udostępniania (share tokens).

§ 4. Cele przetwarzania danych

Dane osobowe przetwarzamy w następujących celach:

  • Świadczenie usługi Fox's Nest — podstawa prawna: art. 6 ust. 1 lit. b) RODO (wykonanie umowy).
  • Zarządzanie kontem użytkownika — podstawa prawna: art. 6 ust. 1 lit. b) RODO (wykonanie umowy).
  • Obsługa płatności i subskrypcji — podstawa prawna: art. 6 ust. 1 lit. b) RODO (wykonanie umowy).
  • Realizacja obowiązków prawnych, w tym wystawianie faktur i rozliczenia podatkowe — podstawa prawna: art. 6 ust. 1 lit. c) RODO (obowiązek prawny).
  • Doskonalenie usługi i analiza sposobu korzystania z serwisu — podstawa prawna: art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes).
  • Zapewnienie bezpieczeństwa i zapobieganie nadużyciom — podstawa prawna: art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes).
  • Komunikacja marketingowa — podstawa prawna: art. 6 ust. 1 lit. a) RODO (zgoda). Zgodę można cofnąć w każdym czasie.
  • Zarządzanie zespołem i kontrola dostępu — podstawa prawna: art. 6 ust. 1 lit. b) RODO (wykonanie umowy) oraz art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes właściciela konta).

§ 5. Okres przechowywania danych

Dane osobowe przechowujemy przez następujące okresy:

  • Dane konta: przez czas trwania usługi + 30 dni po usunięciu konta.
  • Zapisy zgód (cookies): 24 miesiące — wymóg udowodnienia zgody zgodnie z RODO.
  • Wyniki audytów WCAG: 12 miesięcy.
  • Dane śledzenia stron: 12 miesięcy.
  • Faktury i dane rozliczeniowe: 5 lat (wymóg polskiego prawa podatkowego).
  • Logi serwera: 90 dni.
  • Zgody marketingowe: do momentu ich wycofania.
  • Pliki cookies: sesyjne (uwierzytelnianie) do 365 dni (preferencje zgód).
  • Wyniki skanów GDPR: 12 miesięcy.
  • Dane Cookie Monitor: 12 miesięcy od daty skanu.
  • Dane zespołu (zaproszenia, role): przez czas trwania członkostwa w zespole + 30 dni po jego zakończeniu.
  • Deklaracje AI Act: przez czas trwania usługi + 30 dni po usunięciu konta.
  • Dane listy zadań deweloperskich: 12 miesięcy od daty utworzenia lub do momentu usunięcia przez użytkownika.

§ 6. Prawa Użytkowników

Na podstawie RODO przysługują Ci następujące prawa:

  • Prawo dostępu Prawo do uzyskania informacji o przetwarzanych danych osobowych (art. 15 RODO).
  • Prawo do sprostowania Prawo do poprawienia nieprawidłowych lub niekompletnych danych (art. 16 RODO).
  • Prawo do usunięcia Prawo do żądania usunięcia danych (art. 17 RODO). Usunięcie konta możliwe w ustawieniach serwisu.
  • Prawo do ograniczenia Prawo do ograniczenia przetwarzania danych w określonych sytuacjach (art. 18 RODO).
  • Prawo do przenoszenia Prawo do otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (art. 20 RODO).
  • Prawo do sprzeciwu Prawo do wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 21 RODO).
  • Prawo do cofnięcia zgody Prawo do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem (art. 7 ust. 3 RODO).
  • Prawo do skargi Prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO) lub innego właściwego organu nadzorczego.

W celu realizacji powyższych praw prosimy o kontakt pod adresem: kontakt@calmfox.pl.

§ 7. Odbiorcy danych

Dane osobowe mogą być udostępniane następującym kategoriom odbiorców:

  • Stripe Inc. – Obsługa płatności (USA). Transfer na podstawie Standardowych Klauzul Umownych (SCC) oraz certyfikacji w ramach EU-US Data Privacy Framework (DPF).
  • Vercom S.A. (EmailLabs) – Dostarczanie wiadomości e-mail (Polska).
  • Anthropic – Analiza AI na potrzeby audytów WCAG i skanów GDPR (USA). Transfer na podstawie Standardowych Klauzul Umownych (SCC).
  • OpenAI – Analiza AI na potrzeby audytów WCAG i skanów GDPR (USA). Transfer na podstawie Standardowych Klauzul Umownych (SCC).
  • Google LLC – Analityka internetowa za pośrednictwem Google Analytics (USA). Transfer na podstawie Standardowych Klauzul Umownych (SCC) oraz certyfikacji w ramach EU-US Data Privacy Framework (DPF).
  • PostHog Inc. – Analityka dashboardu i badanie sposobu korzystania z serwisu (USA). Transfer na podstawie Standardowych Klauzul Umownych (SCC).
  • Organy państwowe, gdy wymagają tego przepisy prawa.

§ 8. Pliki cookies

Serwis Fox's Nest wykorzystuje następujące pliki cookies:

  • Sesyjne (JWT) Token uwierzytelniania. Czas trwania: sesja. Kategoria: niezbędne.
  • Refresh token Odświeżanie tokena uwierzytelniania. Czas trwania: 30 dni. Kategoria: niezbędne.
  • Zgoda na cookies Preferencje dotyczące zgód na pliki cookies. Czas trwania: 365 dni. Kategoria: niezbędne.
  • Google Analytics Analityka korzystania z serwisu. Czas trwania: 2 lata. Kategoria: analityczne — wyłącznie za zgodą użytkownika.
  • PostHog Analityka dashboardu i badanie zachowań użytkowników. Czas trwania: 365 dni. Kategoria: analityczne — wyłącznie za zgodą użytkownika.

Możesz zarządzać plikami cookies w ustawieniach przeglądarki. Wyłączenie plików cookies niezbędnych może ograniczyć funkcjonalność serwisu.

§ 9. Bezpieczeństwo danych

Stosujemy następujące środki bezpieczeństwa:

  • Szyfrowanie transmisji danych protokołem TLS/SSL.
  • Szyfrowanie danych przechowywanych na serwerach.
  • Kontrola dostępu i uprawnienia oparte na rolach.
  • Regularne audyty bezpieczeństwa i aktualizacje oprogramowania.
  • Pseudonimizacja identyfikatorów odwiedzających (visitor_id).

§ 10. Transfer danych poza EOG

Niektóre podmioty przetwarzające dane mają siedzibę w USA. W każdym przypadku transferu danych poza Europejski Obszar Gospodarczy stosujemy odpowiednie zabezpieczenia:

  • Stripe Inc. — Standardowe Klauzule Umowne (SCC) oraz certyfikacja w ramach EU-US Data Privacy Framework (DPF).
  • Anthropic — Standardowe Klauzule Umowne (SCC).
  • OpenAI — Standardowe Klauzule Umowne (SCC).
  • Google LLC — Standardowe Klauzule Umowne (SCC) oraz certyfikacja w ramach EU-US Data Privacy Framework (DPF).
  • PostHog Inc. — Standardowe Klauzule Umowne (SCC).

Zapisy zgód (consent records) przechowywane są na serwerach zlokalizowanych na terenie Unii Europejskiej.

Decyzja wykonawcza Komisji Europejskiej z dnia 10 lipca 2023 r. w sprawie odpowiedniego stopnia ochrony danych osobowych zapewnianego w ramach EU-US Data Privacy Framework stanowi dodatkową podstawę prawną transferu danych do podmiotów certyfikowanych w ramach DPF.

§ 11. Przetwarzanie z wykorzystaniem AI

W ramach usług audytów WCAG i skanów GDPR wykorzystujemy sztuczną inteligencję do analizy dostępności stron internetowych oraz zgodności z RODO.

Szczegóły dotyczące przetwarzania z wykorzystaniem AI:

  • AI analizuje strukturę stron internetowych pod kątem naruszeń dostępności (WCAG 2.1/2.2) oraz zgodności z RODO (cookies, technologie śledzące, polityki prywatności).
  • Nie podejmujemy zautomatyzowanych decyzji mających wpływ na prawa lub wolności użytkowników.
  • Dostawcy AI: Anthropic (Claude) i OpenAI — transfer danych na podstawie Standardowych Klauzul Umownych (SCC).
  • Użytkownik może żądać weryfikacji wyników wygenerowanych przez AI przez człowieka.
  • Wykorzystanie AI w Serwisie odbywa się z uwzględnieniem wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 w sprawie sztucznej inteligencji (AI Act). Systemy AI wykorzystywane w Serwisie nie stanowią systemów AI wysokiego ryzyka.

§ 12. Dane odwiedzających strony Użytkownika

Widgety Fox's Nest (cookie banner, widget dostępności) zbierają dane odwiedzających strony internetowe Użytkownika. W tym zakresie Użytkownik jest administratorem danych, a CALMFOX pełni rolę procesora.

Szczegółowe zasady powierzenia przetwarzania tych danych określa Umowa powierzenia danych (DPA).

§ 13. Profilowanie

Nie profilujemy użytkowników w celu podejmowania zautomatyzowanych decyzji.

Anonimowe statystyki zbiorcze wykorzystywane są wyłącznie w celu doskonalenia usługi.

§ 14. Publiczne udostępnianie danych

Niektóre funkcje Serwisu umożliwiają publiczne udostępnianie danych przez Użytkownika. Publiczne dane obejmują: wynik audytu WCAG prezentowany na Odznace (Badge), publiczny raport dostępności, listę zadań deweloperskich udostępnioną za pośrednictwem tokena oraz opublikowane deklaracje AI Act. Użytkownik samodzielnie decyduje o aktywacji tych funkcji i może je w każdej chwili wyłączyć w panelu zarządzania.

§ 15. Zmiany Polityki Prywatności

Zastrzegamy sobie prawo do zmiany niniejszej Polityki Prywatności. O istotnych zmianach poinformujemy drogą e-mailową z 14-dniowym wyprzedzeniem.

Kontynuowanie korzystania z serwisu po wejściu w życie zmian oznacza ich akceptację.

§ 16. Kontakt

W sprawach związanych z ochroną danych osobowych prosimy o kontakt:

  • E-mail: kontakt@calmfox.pl
  • Adres: CALMFOX Sp. z o.o., ul. Długa 47, 85-034 Bydgoszcz