Polityka Prywatności

a) Dane Klienta (organizacji)

• Dane konta — adres e-mail wyznaczonej osoby, nazwa organizacji.
• Publiczny klucz szyfrowania — wygenerowany i przechowywany na potrzeby szyfrowania E2E zgłoszeń.
• Komunikacja — treść e-maili wysłanych do nas, zapytania o wsparcie.

b) Dane Sygnalisty

c) Dane zbierane automatycznie (tylko na dashboardzie)

• Dane techniczne — adres IP, typ przeglądarki (tylko dla uwierzytelnionych użytkowników na dashboardzie).
• Pliki cookie sesyjne — zgodnie z Polityką Plików Cookie.

• Świadczenie Usług — tworzenie i zarządzanie kontem, obsługa kanału zgłoszeniowego, szyfrowanie i przechowywanie zgłoszeń.
• Komunikacja serwisowa — powiadomienia o nowych zgłoszeniach, upływie terminów prawnych, aktualizacjach Platformy.
• Bezpieczeństwo — ochrona infrastruktury, wykrywanie nadużyć, zapobieganie nieautoryzowanemu dostępowi.
• Zgodność prawna — wypełnianie obowiązków prawnych (Dyrektywa (UE) 2019/1937, GDPR, prawo podatkowe).

Nie sprzedajemy, nie wynajmujemy ani nie udostępniamy danych osobowych użytkowników podmiotom trzecim w celach marketingowych.

Przetwarzamy dane osobowe na następujących podstawach prawnych (art. 6 GDPR):

• Dane konta — przez okres istnienia konta i maksymalnie 30 dni po złożeniu wniosku o usunięcie.
• Zaszyfrowane zgłoszenia — zgodnie z polityką retencji Klienta i obowiązkami wynikającymi z Dyrektywa (UE) 2019/1937 (minimum 5 lat od daty zgłoszenia).
• Dane techniczne (dashboard) — maksymalnie 12 miesięcy od zebrania.
• Komunikacja i zapytania o wsparcie — maksymalnie 3 lata od ostatniej komunikacji.
• Dane do fakturowania — 10 lat zgodnie z rumuńskim prawem podatkowym (Legea 82/1991).

Dane osobowe mogą być udostępniane lub przetwarzane przez następujące podmioty przetwarzające:

W przypadku transferów danych poza EOG opieramy się na Standardowych Klauzulach Umownych (SCCs) zatwierdzonych przez Komisję Europejską.

Ważne: Treść zgłoszeń jest zaszyfrowana E2E i nie jest dostępna dla żadnego podmiotu przetwarzającego.

Zgodnie z GDPR przysługują Państwu następujące prawa:

• Prawo dostępu (art. 15) — uzyskanie kopii przetwarzanych danych osobowych.
• Prawo do sprostowania (art. 16) — poprawienie niedokładnych lub niekompletnych danych.
• Prawo do usunięcia (art. 17) — usunięcie danych zgodnie z przepisami prawa.
• Prawo do ograniczenia przetwarzania (art. 18) — ograniczenie przetwarzania w określonych sytuacjach.
• Prawo do przenoszenia danych (art. 20) — otrzymanie danych w formacie ustrukturyzowanym (JSON/CSV).
• Prawo do sprzeciwu (art. 21) — sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie.
• Prawo do wycofania zgody (art. 7) — wycofanie w dowolnym momencie.
• Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji (art. 22) — w tym profilowaniu.

W celu skorzystania z praw prosimy o wysłanie e-maila na adres contact@whistle-box.eu z tematem „Wniosek GDPR WhistleBox”.

Wdrażamy odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych:

• Szyfrowanie end-to-end (E2E) treści zgłoszeń.
• Szyfrowanie w trakcie przesyłania (TLS 1.2+) dla całej komunikacji z serwerem.
• Hasła są przechowywane przy użyciu bezpiecznych algorytmów hashujących (bcrypt z salt).
• Ograniczony dostęp do baz danych i infrastruktury zgodnie z zasadą minimalnych uprawnień.
• Serwery w Unii Europejskiej (Hetzner Online GmbH, Niemcy).
• Regularne i zaszyfrowane kopie zapasowe.
• Ciągłe monitorowanie dostępu i anomalii.
• Uwierzytelnianie za pomocą tokenów JWT z ograniczonym czasem ważności.
• Strony zgłoszeniowe (/r/) nie ustawiają plików cookie i nie zbierają danych identyfikacyjnych.

Operator może okresowo aktualizować niniejszą politykę. Użytkownicy zostaną powiadomieni drogą e-mailową i/lub ogłoszeniem na Platformie z co najmniej 15-dniowym wyprzedzeniem przed wejściem w życie istotnych zmian.