Polityka Prywatności

Administratorem Twoich danych osobowych jest: EPKO Spółka z ograniczoną odpowiedzialnością (EPKO sp. z o.o.) ul. Podleśna 2, 05-270 Marki, Polska KRS: 0000908693 (Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego) NIP: 1251720637 REGON: 389307530 Kapitał zakładowy: 6 300,00 zł (w pełni opłacony) Kontakt w sprawie danych osobowych: E-mail: biuro@epko.tech Nie wyznaczyliśmy Inspektora Ochrony Danych (IOD), ponieważ nie jesteśmy do tego zobowiązani przepisami prawa. Wszelkie zapytania dotyczące ochrony danych osobowych kieruj bezpośrednio na powyższy adres e-mail.

Zbieramy tylko te dane, które są niezbędne do realizacji naszych usług i prawidłowego działania strony. Oto ich pełna lista: 2.1. Dane podane przez Ciebie dobrowolnie • Imię i nazwisko • Adres e-mail • Numer telefonu (opcjonalnie) • Temat wiadomości • Treść wiadomości w formularzu kontaktowym • Nazwa firmy i stanowisko (jeśli podasz w ramach współpracy) 2.2. Dane zbierane automatycznie • Adres IP (anonimizowany w Google Analytics; w logach formularza kontaktowego zapisywany przez czas trwania sesji, w tabeli zgód cookies zapisywany wyłącznie jako skrót SHA-256 z dodatkową solą, bez możliwości odtworzenia oryginalnego IP) • Typ i wersja przeglądarki • System operacyjny • Rozdzielczość ekranu • Preferencje językowe • Strony, które odwiedzasz na naszej witrynie • Czas spędzony na stronie • Źródło wejścia (skąd trafiłeś na naszą stronę) • Parametry kampanii UTM (utm_source, utm_medium, utm_campaign, utm_content, utm_term): przechowywane w sessionStorage przeglądarki, znikają po zamknięciu karty • Identyfikator wariantu testów A/B (np. wersja sekcji hero): zapisywany w localStorage tylko po wyrażeniu zgody na cookies funkcjonalne • Identyfikator zgody na cookies (consent_id): losowy UUID generowany w Twojej przeglądarce przy pierwszej decyzji o cookies. Pozwala nam udowodnić, że uzyskaliśmy Twoją zgodę (RODO Art. 7 ust. 1). Identyfikator nie jest powiązany z żadnymi innymi danymi i sam w sobie Cię nie identyfikuje. 2.3. Dane transakcyjne (w ramach współpracy) • Historia zamówień i kwoty • Terminy płatności • Dane do faktur (NIP, adres firmy) • Historia korespondencji e-mail

Każde przetwarzanie danych ma konkretny cel i podstawę prawną. Oto pełne zestawienie: 3.1. Realizacja umowy lub działania przed jej zawarciem Podstawa: art. 6 ust. 1 lit. b RODO • Odpowiedź na Twoje zapytanie z formularza kontaktowego • Przygotowanie i realizacja oferty lub umowy • Komunikacja w ramach trwającego projektu • Obsługa płatności i fakturowanie 3.2. Obowiązki prawne Podstawa: art. 6 ust. 1 lit. c RODO • Wystawianie i przechowywanie faktur (ustawa o rachunkowości) • Rozliczenia podatkowe (ordynacja podatkowa) • Odpowiedzi na żądania organów publicznych 3.3. Prawnie uzasadniony interes administratora Podstawa: art. 6 ust. 1 lit. f RODO Nasze prawnie uzasadnione interesy to: • Obsługa klienta i kontakt zwrotny w odpowiedzi na zapytania (komunikacja biznesowa) • Dochodzenie lub obrona przed roszczeniami prawnymi (np. archiwum korespondencji projektowej) • Zapewnienie bezpieczeństwa strony internetowej, w tym ograniczanie nadużyć formularzy (rate limiting po adresie IP, 5 zgłoszeń na minutę) • Wewnętrzna automatyzacja obsługi leadów na naszym serwerze w Finlandii (przekazanie zgłoszenia z formularza kontaktowego do naszej instancji n8n w celu powiadomień zespołu i klasyfikacji) • Bezcookiowa analityka odwiedzin (self-hostowany Umami): zliczanie wyświetleń stron, źródeł ruchu i podstawowych metryk Core Web Vitals bez identyfikowania osób, bez plików cookies i bez przekazywania danych poza nasz serwer • Prowadzenie rejestru zgód na cookies (RODO Art. 7 ust. 1) w celu wykazania, że uzyskaliśmy zgodę Przed oparciem przetwarzania na art. 6 ust. 1 lit. f RODO przeprowadziliśmy test równowagi (LIA) i uznaliśmy, że nasz interes nie narusza Twoich praw i wolności. Możesz w każdej chwili wnieść sprzeciw - patrz sekcja 7.6. 3.4. Twoja zgoda Podstawa: art. 6 ust. 1 lit. a RODO • Cookies funkcjonalne (m.in. zapamiętanie wariantu testu A/B) • Cookies analityczne (Google Analytics) • Cookies marketingowe (Facebook Pixel, Google Ads, TikTok Pixel) • Wysyłka zhasowanych danych z Twojego zgłoszenia do Meta Conversions API (gdy wyraziłeś zgodę na cookies marketingowe) Zgodę możesz wycofać w dowolnym momencie. Wycofanie zgody nie wpływa na legalność przetwarzania, które miało miejsce przed jej wycofaniem.

Nasza strona korzysta z plików cookies (ciasteczek) i podobnych technologii. Stosujemy cztery kategorie cookies: • Niezbędne (zawsze aktywne) - konieczne do działania strony • Funkcjonalne - zapamiętują Twoje preferencje (np. motyw ciemny/jasny, przypisanie do wariantu testu A/B) • Analityczne - pomagają nam zrozumieć, jak korzystasz ze strony (Google Analytics z anonimizacją IP) • Marketingowe - umożliwiają wyświetlanie dopasowanych reklam (Facebook Pixel, Google Ads, TikTok Pixel) Cookies analityczne i marketingowe ładują się dopiero po Twojej wyraźnej zgodzie. Stosujemy Google Consent Mode v2, co oznacza, że domyślnie wszystkie sygnały zgody są ustawione na "denied". Oprócz cookies używamy też bezcookiowej analityki Umami uruchomionej na naszym serwerze w Finlandii. Umami nie zapisuje plików cookies w Twojej przeglądarce, nie tworzy identyfikatorów wieloziarnistych ani odcisku przeglądarki ("fingerprintingu"). Skrypt Umami odczytuje wyłącznie jedną wartość z localStorage Twojej przeglądarki: klucz "umami.disabled", który ustawiasz samodzielnie, jeśli chcesz wyłączyć Umami u siebie (mechanizm opt-out). Klucz ten nie zawiera identyfikatora ani innych danych - jest jedynie flagą Twojej preferencji i nie jest przez nas zapisywany. Pomiar po stronie serwera bazuje na krótkotrwałym anonimowym skrócie z adresu IP, User-Agent i dziennej soli; żaden trwały identyfikator nie wraca do Twojej przeglądarki. Przetwarzanie odbywa się na podstawie naszego prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO). Sam odczyt klucza opt-out z urządzenia końcowego traktujemy jako ściśle niezbędny do realizacji świadczenia, które wprost zażądałeś (uszanowania Twojej decyzji o wyłączeniu Umami) - art. 398 ust. 5 pkt 2 ustawy z dnia 12 lipca 2024 r. Prawo komunikacji elektronicznej (wcześniej art. 173 ust. 3 pkt 2 Prawa telekomunikacyjnego, uchylonego w listopadzie 2024 r.). Jeśli mimo to chcesz całkowicie zablokować Umami u siebie, ustaw klucz "umami.disabled" na "true" w localStorage albo zablokuj domenę analytics.epko.tech w przeglądarce lub w rozszerzeniach prywatności. Swoje preferencje możesz zmienić w dowolnym momencie przez przycisk "Zarządzaj cookies" w stopce strony.

Twoje dane mogą być przetwarzane przez zaufane podmioty trzecie, z którymi współpracujemy. Oto ich pełna lista: 5.1. Hosting i infrastruktura • Serwer dedykowany w Finlandii (UE) - na nim hostujemy stronę, instancję n8n oraz instancję analityki Umami. Dane na tej warstwie nigdy nie opuszczają Europejskiego Obszaru Gospodarczego. • Self-hostowana analityka Umami (oprogramowanie: Umami Software, Inc., USA) - uruchomiona pod naszą domeną analytics.epko.tech, na naszym serwerze w Finlandii. Zlicza anonimowe wyświetlenia stron oraz metryki Core Web Vitals. Nie używa cookies, nie tworzy profili, nie wysyła danych do dostawcy oprogramowania. Mimo to skrypt ładuje się dopiero po wyrażeniu zgody na cookies analityczne (zgodność z art. 5 ust. 3 dyrektywy ePrivacy). Podstawa: art. 6 ust. 1 lit. a RODO (zgoda). 5.2. Analityka i marketing (tylko po Twojej zgodzie) • Google LLC (Google Analytics 4, Google Ads) - z anonimizacją IP. Transfer do USA na podstawie Data Privacy Framework (decyzja Komisji Europejskiej z 10 lipca 2023) oraz standardowych klauzul umownych UE. • Meta Platforms Ireland Ltd (Facebook Pixel oraz Conversions API) - administrator w UE/EOG; infrastruktura Meta może obejmować transfer do USA, zabezpieczony Data Privacy Framework i SCC. W ramach Facebook Pixel i Conversions API jesteśmy współadministratorem wraz z Meta na podstawie Meta Business Tools Terms (art. 26 RODO). Istota uzgodnień: EPKO odpowiada za podstawę prawną zbierania danych (Twoja zgoda na cookies marketingowe) oraz za informowanie Cię o przetwarzaniu, Meta odpowiada za bezpieczeństwo przetwarzania w swoich systemach i za realizację praw podmiotu danych w zakresie danych już znajdujących się w jej platformie (kontakt do Meta w sprawie tych praw: https://www.facebook.com/help/contact/540977946302970). Korzystamy z dwóch równoległych kanałów transmisji zdarzeń: - Facebook Pixel (przeglądarka): dane techniczne wizyt, kliknięć - Conversions API (serwer-do-serwera): po wysłaniu formularza kontaktowego przesyłamy do Meta zaszyfrowane (SHA-256) dane: adres e-mail, numer telefonu, imię i nazwisko, wraz z adresem IP i identyfikatorem sesji. Zaszyfrowane dane służą wyłącznie deduplikacji i atrybucji konwersji - Meta nie ma dostępu do oryginalnych wartości. Oba kanały dzielą wspólny identyfikator zdarzenia, dzięki czemu zdarzenie liczone jest tylko raz. • TikTok Technology Ltd (TikTok Pixel) - administrator w Irlandii (UE), infrastruktura globalna. Transfer poza EOG zabezpieczony SCC. • LinkedIn Ireland Unlimited Company (LinkedIn Insight Tag) - administrator danych dla użytkowników z UE, z siedzibą w Dublinie. Skrypt ładowany z domeny snap.licdn.com. LinkedIn jest niezależnym administratorem swoich plików cookies (m.in. li_*, bcookie, lidc, UserMatchHistory); transfer do USA zabezpieczony Standardowymi Klauzulami Umownymi. 5.3. Usługi biznesowe • Supabase Inc. (siedziba: Delaware, USA) - baza danych, uwierzytelnianie oraz przechowywanie wiadomości z formularza kontaktowego i rejestru zgód cookies. Dane przechowywane fizycznie w regionie UE (Frankfurt). Transfer poza EOG zabezpieczony Standardowymi Klauzulami Umownymi (SCC) Komisji Europejskiej oraz Data Privacy Framework. • Sanity Inc. (siedziba: USA / Norwegia) - headless CMS przechowujący treści, które publikujemy na stronie (artykuły blogowe, opisy projektów, profile naszych pracowników). Nie zapisujemy w Sanity Twoich danych jako odwiedzającego (Sanity przechowuje wyłącznie content edytorski autorstwa naszego zespołu, nie dane wprowadzane przez Ciebie). Transfer zabezpieczony SCC i Data Privacy Framework (dla operacji w USA). • Self-hostowana instancja n8n (oprogramowanie: n8n GmbH, Berlin, Niemcy) - platforma automatyzacji uruchomiona na naszym serwerze dedykowanym w Finlandii (UE). Po wysłaniu formularza kontaktowego przekazujemy do n8n kopię zgłoszenia (imię i nazwisko, e-mail, telefon, nazwa firmy, temat, treść wiadomości, adres URL strony, z której wysłano formularz, oraz adres IP klienta) w celu wewnętrznej automatyzacji obsługi leadów (np. powiadomienia, integracja z CRM, zadania zespołu). Transmisja zabezpieczona podpisem HMAC-SHA256. Dane nie opuszczają EOG i nie są przekazywane n8n GmbH jako podmiotowi przetwarzającemu; n8n GmbH jest wyłącznie dostawcą oprogramowania. • Resend, Inc. (siedziba: Delaware, USA) - dostawca transakcyjnej obsługi e-mail. Wysyłamy przez Resend wewnętrzne powiadomienia o nowych leadach (zawierają dane podane przez Ciebie w formularzu) oraz odpowiedzi do Ciebie z adresu biuro@epko.tech. Transfer poza EOG zabezpieczony Standardowymi Klauzulami Umownymi (SCC) Komisji Europejskiej. • Dostawcy systemów płatności (w ramach fakturowania, gdy zostajesz naszym klientem) • Biuro rachunkowe (w zakresie wymaganym przez prawo podatkowe; siedziba w Polsce) 5.4. Narzędzia komunikacji • Dostawcy usług e-mail wspomniani powyżej (Resend) plus standardowi dostawcy poczty po obu stronach (Twój i nasz) w ramach korespondencji biznesowej. W przypadku podmiotów spoza UE/EOG zapewniamy odpowiedni poziom ochrony danych poprzez: • Decyzje Komisji Europejskiej o adekwatności poziomu ochrony (np. EU-U.S. Data Privacy Framework) • Standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską • Inne prawnie dopuszczalne zabezpieczenia (art. 46 RODO) Nigdy nie sprzedajemy Twoich danych. Nie udostępniamy ich również brokerom danych, sieciom reklamowym typu third-party data marketplace ani innym podmiotom poza tymi, które wymieniliśmy powyżej.

Nie przechowujemy danych dłużej niż to konieczne. Oto konkretne okresy retencji: • Dane z formularza kontaktowego: do 12 miesięcy od ostatniego kontaktu (na wypadek kontynuacji rozmowy) • Dane umowne i projektowe: przez czas trwania umowy + 6 lat (okres przedawnienia roszczeń cywilnych) • Dokumenty księgowe i faktury: 5 lat od końca roku obrotowego (ustawa o rachunkowości) • Korespondencja e-mail: przez czas trwania relacji biznesowej + 3 lata • Preferencje cookies (localStorage): 30 dni od ostatniej decyzji, po czym poprosimy Cię o ponowne wyrażenie zgody • Identyfikator zgody (consent_id, localStorage): do czasu wyczyszczenia przez Ciebie pamięci przeglądarki lub kliknięcia "reset" w ustawieniach cookies • Rejestr zgód na serwerze (consent_logs): 5 lat na podstawie zasady rozliczalności (art. 5 ust. 2 i art. 7 ust. 1 RODO) - okres pozwala wykazać, że uzyskaliśmy zgodę, jeśli skuteczność zgody zostanie zakwestionowana. Zamiast adresu IP w postaci czystej zapisujemy skrót SHA-256 z dodatkową solą. • Parametry UTM (sessionStorage): do zamknięcia karty przeglądarki • Wariant testu A/B (localStorage): do końca trwania danego testu lub do wycofania zgody na cookies funkcjonalne • Dane analityczne (Google Analytics): do 26 miesięcy (z anonimizacją IP) • Dane anonimowe Umami (na naszym serwerze w Finlandii): do 24 miesięcy w formie zagregowanej; brak danych osobowych umożliwiających identyfikację • Dane marketingowe (Facebook Pixel, TikTok Pixel): do 13 miesięcy Po upływie tych okresów dane są trwale usuwane lub skutecznie anonimizowane.

Na mocy RODO przysługuje Ci szereg praw. Realizujemy je bez zbędnej zwłoki, najdalej w ciągu 30 dni od otrzymania żądania. 7.1. Prawo dostępu (art. 15 RODO) Możesz zapytać, czy przetwarzamy Twoje dane, i poprosić o ich kopię. 7.2. Prawo do sprostowania (art. 16 RODO) Jeśli Twoje dane są nieprawidłowe lub niekompletne, masz prawo je poprawić. 7.3. Prawo do usunięcia (art. 17 RODO) Możesz zażądać usunięcia swoich danych ("prawo do bycia zapomnianym"), chyba że mamy prawny obowiązek ich dalszego przechowywania. 7.4. Prawo do ograniczenia przetwarzania (art. 18 RODO) Możesz poprosić o ograniczenie przetwarzania danych w określonych sytuacjach. 7.5. Prawo do przenoszenia danych (art. 20 RODO) Masz prawo otrzymać swoje dane w ustrukturyzowanym formacie (np. CSV, JSON) i przekazać je innemu administratorowi. 7.6. Prawo do sprzeciwu (art. 21 RODO) Możesz w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych opartego na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f). 7.7. Prawo do wycofania zgody (art. 7 ust. 3 RODO) Zgodę na cookies lub inne przetwarzanie możesz wycofać w każdej chwili. Nie wpływa to na legalność wcześniejszego przetwarzania. 7.8. Prawo do skargi Jeśli uważasz, że przetwarzamy Twoje dane niezgodnie z prawem, masz prawo złożyć skargę do: Prezes Urzędu Ochrony Danych Osobowych (PUODO) ul. Stawki 2, 00-193 Warszawa Tel.: 22 531 03 00 https://uodo.gov.pl Aby skorzystać z dowolnego z powyższych praw, napisz do nas: biuro@epko.tech. Odpowiemy jak najszybciej.

Nie podejmujemy wobec Ciebie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie na Ciebie wpływały (art. 22 RODO). Narzędzia marketingowe i analityczne, których używamy (Google Analytics, Facebook Pixel, TikTok Pixel, Google Ads), mogą tworzyć profile behawioralne na podstawie Twojej aktywności na stronie. Dzieje się to wyłącznie po wyrażeniu przez Ciebie zgody na odpowiednie kategorie cookies. Profile te służą do mierzenia skuteczności kampanii i dopasowywania reklam; nie służą do podejmowania decyzji, które miałyby wobec Ciebie skutki prawne lub w podobny sposób istotnie na Ciebie wpływały w rozumieniu art. 22 RODO.

Traktujemy bezpieczeństwo Twoich danych poważnie. Stosujemy odpowiednie środki techniczne i organizacyjne, w tym: • Szyfrowanie transmisji danych (SSL/TLS) • Serwer dedykowany w Finlandii (UE) z kontrolowanym dostępem • Regularne aktualizacje oprogramowania i zależności • Kontrola dostępu - dane osobowe przetwarzają wyłącznie upoważnione osoby • Kopie zapasowe z szyfrowaniem • Monitoring bezpieczeństwa i logowanie zdarzeń • Security headers (Content-Security-Policy, HSTS, X-Frame-Options) • Anonimizacja IP w narzędziach analitycznych W przypadku stwierdzenia naruszenia ochrony danych osobowych, które może powodować ryzyko naruszenia Twoich praw lub wolności, zgłosimy je Prezesowi UODO bez zbędnej zwłoki, nie później niż w terminie 72 godzin od stwierdzenia (art. 33 RODO). Jeśli naruszenie może powodować wysokie ryzyko, powiadomimy również Ciebie bez zbędnej zwłoki (art. 34 RODO).

Nasza strona i usługi nie są skierowane do osób poniżej 16. roku życia. Świadomie nie zbieramy danych osobowych od dzieci. Jeśli dowiesz się, że dziecko przekazało nam swoje dane, skontaktuj się z nami, a niezwłocznie je usuniemy.

Podanie danych osobowych jest dobrowolne, ale w niektórych sytuacjach niezbędne, abyśmy mogli odpowiedzieć lub świadczyć usługi: • Formularz kontaktowy: imię i nazwisko, adres e-mail oraz treść wiadomości są wymagane, żebyśmy mogli odpowiedzieć. Numer telefonu i firma są opcjonalne. Bez podania danych obowiązkowych nie będziemy w stanie skontaktować się z Tobą. • Umowa o współpracę: do zawarcia i wykonania umowy potrzebujemy danych identyfikacyjnych (imię i nazwisko lub nazwa firmy, NIP, adres) oraz danych kontaktowych. Bez tych danych nie możemy zawrzeć umowy ani wystawić faktury. • Cookies analityczne i marketingowe: w pełni opcjonalne. Brak zgody nie ogranicza dostępu do strony i nie zmienia jej funkcjonalności. • Cookies funkcjonalne (np. wariant testu A/B, motyw): opcjonalne. Brak zgody oznacza, że nie zapamiętamy Twoich preferencji między wizytami. Podanie danych do celów księgowych (faktura) wynika z przepisów prawa (ustawa o rachunkowości, ustawa o VAT) i jest obowiązkowe, gdy zostajesz naszym klientem.

Możemy aktualizować tę Politykę Prywatności, aby odzwierciedlała zmiany w przepisach prawa lub w naszych usługach. O istotnych zmianach poinformujemy Cię poprzez: • Wyraźną informację na stronie internetowej • Banner informacyjny przy Twojej pierwszej wizycie po zmianach • Wiadomość e-mail (jeśli jesteś naszym klientem) Data ostatniej aktualizacji jest zawsze widoczna na górze tej strony. Zachęcamy do regularnego sprawdzania Polityki Prywatności.