Polityka prywatności

Ostatnia aktualizacja: 7 kwietnia 2026 r.

§ 1. Administrator danych osobowych

  1. Administratorem podanych przez Panią/Pana danych osobowych jest Paweł Mirosławski, prowadzący działalność gospodarczą pod firmą Bit9 Paweł Mirosławski, ul. Legionów 26/2, 43-300 Bielsko-Biała, NIP: 9372436514, REGON: 242891141 (dalej jako „Administrator”).
  2. Jeśli ma Pani/Pan jakiekolwiek pytania odnośnie przetwarzania przez nas danych czy praw, jakie Pani/Panu w związku z tym przysługują, proszę o przesłanie wiadomości e-mail na adres: kontakt@hopflow.pl.
  3. Administrator jest administratorem danych osobowych, które są podawane i przetwarzane w ramach aplikacji hopflow.pl dostępnej pod adresem app.hopflow.pl (dalej jako „Aplikacja”) oraz strony internetowej hopflow.pl (dalej jako „Strona”). Aplikacja i Strona są dalej łącznie zwane „Serwisem”.

§ 2. Cele i podstawy prawne przetwarzania danych

  1. Świadczenie Usługi — przetwarzanie danych jest niezbędne do wykonania umowy, której stroną jest Usługobiorca, lub do podjęcia działań na żądanie Usługobiorcy przed zawarciem umowy (art. 6 ust. 1 lit. b) RODO). Obejmuje to w szczególności:
    1. rejestrację i obsługę Konta w Aplikacji,
    2. skracanie linków, generowanie kodów QR, tworzenie stron Bio,
    3. udostępnianie statystyk kliknięć (w tym danych o urządzeniach, lokalizacji, źródłach ruchu osób odwiedzających linki Usługobiorcy),
    4. obsługę Workspace'ów i domen własnych,
    5. obsługę płatności i subskrypcji za pośrednictwem Stripe.
  2. Rozliczenia i obowiązki podatkowe — przetwarzanie danych niezbędnych do wystawienia faktury VAT i prowadzenia dokumentacji księgowej (art. 6 ust. 1 lit. c) RODO — obowiązek prawny wynikający z przepisów podatkowych i rachunkowych).
  3. Kontakt i obsługa zgłoszeń — przetwarzanie danych w celu udzielenia odpowiedzi na przesłane pytania, reklamacje lub zgłoszenia naruszeń treści (art. 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes Administratora, jakim jest właściwa obsługa Usługobiorców).
  4. Bezpieczeństwo i przeciwdziałanie nadużyciom — przetwarzanie danych w celu wykrywania i zapobiegania nadużyciom, spamowi, phishingowi oraz innym naruszeniom Regulaminu (art. 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes Administratora, jakim jest zapewnienie bezpieczeństwa Serwisu i ochrona praw Usługobiorców).
  5. Analityka i ulepszanie Serwisu — przetwarzanie zanonimizowanych danych o sposobie korzystania ze Strony i Aplikacji w celu poprawy ich funkcjonowania (art. 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes Administratora). Administrator korzysta z narzędzia Umami Analytics, które jest hostowane na własnych serwerach Administratora, nie stosuje plików cookies, nie śledzi użytkowników między stronami i nie przekazuje danych podmiotom trzecim.
  6. Pliki cookies — w zakresie cookies koniecznych do działania Serwisu na podstawie art. 6 ust. 1 lit. f) RODO, a w zakresie cookies opcjonalnych — na podstawie art. 6 ust. 1 lit. a) RODO (zgoda).

§ 3. Zakres przetwarzanych danych

W zależności od sposobu korzystania z Serwisu, przetwarzamy następujące kategorie danych osobowych:

  1. Dane rejestracyjne:
    1. adres e-mail,
    2. hasło (przechowywane w formie zaszyfrowanej — bcrypt).
  2. Dane billingowe (w przypadku Umowy Odpłatnej):
    1. imię i nazwisko lub nazwa firmy,
    2. adres,
    3. NIP (w przypadku firm),
    4. dane karty płatniczej — przetwarzane wyłącznie przez Stripe (Administrator nie przechowuje pełnych danych karty).
  3. Dane o kliknięciach (dotyczące osób odwiedzających linki Usługobiorcy):
    1. adres IP (anonimizowany po przetworzeniu do geolokacji),
    2. przybliżona lokalizacja geograficzna (kraj, region),
    3. typ urządzenia i system operacyjny,
    4. przeglądarka,
    5. język przeglądarki,
    6. źródło ruchu (referrer).
  4. Dane techniczne:
    1. adres IP przy logowaniu,
    2. znaczniki czasu operacji (tworzenie/edycja linków, logowanie),
    3. identyfikator sesji.
  5. Treści Usługobiorcy:
    1. skrócone linki i ich adresy docelowe,
    2. kody QR i ich konfiguracja,
    3. strony Bio (treść, układ, pliki graficzne),
    4. ustawienia domen i Workspace'ów.

§ 4. Odbiorcy danych

  1. Pani/Pana dane mogą być przekazywane wyłącznie następującym kategoriom podmiotów:
    1. Stripe, Inc. (USA) — w zakresie niezbędnym do obsługi płatności. Stripe jest niezależnym administratorem danych płatniczych. Transfer danych do USA odbywa się na podstawie standardowych klauzul umownych (SCC) oraz certyfikacji Stripe w ramach EU-US Data Privacy Framework. Polityka prywatności Stripe: https://stripe.com/privacy.
    2. Hetzner Online GmbH (Niemcy) — dostawca infrastruktury serwerowej. Dane przetwarzane są na serwerach w Falkenstein (Niemcy), w ramach Unii Europejskiej. Hetzner działa jako podmiot przetwarzający na podstawie umowy powierzenia przetwarzania danych.
    3. Cloudflare, Inc. (USA) — w zakresie usług bezpieczeństwa (ochrona DDoS, DNS, weryfikacja Turnstile przy rejestracji). Cloudflare przetwarza dane w centrach danych na terenie UE w pierwszej kolejności. Transfer danych do USA odbywa się na podstawie standardowych klauzul umownych (SCC). Cloudflare Turnstile nie stosuje plików cookies i nie zbiera danych osobowych.
    4. Fakturownia sp. z o.o. (Polska) — w zakresie wystawiania faktur VAT. Fakturownia działa jako podmiot przetwarzający na podstawie umowy powierzenia przetwarzania danych.
    5. Amazon Web Services EMEA SARL (Luksemburg) — w zakresie przechowywania plików (awatary, loga, kody QR) na serwerach S3 w regionie eu-central-1 (Frankfurt, Niemcy), w ramach Unii Europejskiej.
    6. Podmioty świadczące na rzecz Administratora usługi księgowe — przetwarzają dane na podstawie umów zawartych z Administratorem i wyłącznie zgodnie z jego poleceniami.
  2. Poza podmiotami wymienionymi w ust. 1, Pani/Pana dane mogą zostać udostępnione wyłącznie na żądanie podmiotów upoważnionych do tego na podstawie przepisów prawa.
  3. Administrator nie sprzedaje danych osobowych. Administrator nie wykorzystuje danych osobowych do profilowania ani do podejmowania zautomatyzowanych decyzji w rozumieniu art. 22 RODO.

§ 5. Przekazywanie danych poza EOG

  1. Dane osobowe są przetwarzane przede wszystkim na serwerach zlokalizowanych w Unii Europejskiej (Niemcy — Hetzner Falkenstein i AWS Frankfurt).
  2. W przypadku korzystania z usług Stripe i Cloudflare dane mogą być przekazywane do USA. Transfer odbywa się na podstawie:
    1. standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską,
    2. w przypadku Stripe — dodatkowo na podstawie certyfikacji w ramach EU-US Data Privacy Framework.
  3. Administrator nie przekazuje danych do państw trzecich w żadnym innym celu.

§ 6. Okres przechowywania danych

  1. Dane Konta — przez czas trwania Umowy, a po jej zakończeniu przez okres archiwizacji wynoszący 30 dni, po czym dane są trwale usuwane.
  2. Dane billingowe i faktury — przez okres wymagany przepisami prawa podatkowego i rachunkowego (5 lat od końca roku podatkowego, w którym wystawiono fakturę).
  3. Dane o kliknięciach — przez okres trwania Umowy z Usługobiorcą, który utworzył dany link. Adresy IP są anonimizowane po przetworzeniu do geolokacji (przybliżona lokalizacja).
  4. Dane z formularza kontaktowego — przez okres niezbędny do udzielenia odpowiedzi i ewentualnego dalszego kontaktu, nie dłużej niż 12 miesięcy.
  5. Dane z plików cookies — sesyjne: do zakończenia sesji przeglądarki; stałe: maksymalnie 12 miesięcy lub do czasu wycofania zgody.
  6. Logi systemowe — przez okres 90 dni, w celach bezpieczeństwa i diagnostyki.
  7. Podanie danych osobowych jest dobrowolne, lecz niezbędne do korzystania z Serwisu. Niepodanie danych rejestracyjnych uniemożliwia założenie Konta. Niepodanie danych billingowych uniemożliwia zawarcie Umowy Odpłatnej.

§ 7. Prawa osób, których dane dotyczą

  1. Na zasadach określonych w RODO przysługują Pani/Panu następujące prawa:
    1. Prawo dostępu do danych (art. 15 RODO) — ma Pani/Pan prawo uzyskać informację, czy przetwarzamy Pani/Pana dane osobowe, a jeżeli tak — uzyskać do nich dostęp.
    2. Prawo do sprostowania danych (art. 16 RODO) — ma Pani/Pan prawo żądać poprawienia nieprawidłowych danych lub uzupełnienia niekompletnych.
    3. Prawo do usunięcia danych (art. 17 RODO) — ma Pani/Pan prawo żądać usunięcia danych w przypadkach przewidzianych w RODO, w szczególności gdy dane nie są już niezbędne do celów, w których zostały zebrane.
    4. Prawo do ograniczenia przetwarzania (art. 18 RODO) — ma Pani/Pan prawo żądać ograniczenia przetwarzania danych w przypadkach przewidzianych w RODO.
    5. Prawo do przenoszenia danych (art. 20 RODO) — ma Pani/Pan prawo otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie (JSON lub CSV) oraz przesłać je innemu administratorowi. Eksport danych z Aplikacji jest możliwy poprzez kontakt na adres kontakt@hopflow.pl; dane udostępniane są w terminie 30 dni.
    6. Prawo do sprzeciwu (art. 21 RODO) — ma Pani/Pan prawo zgłosić sprzeciw wobec przetwarzania danych opartego na prawnie uzasadnionym interesie Administratora (art. 6 ust. 1 lit. f) RODO).
    7. Prawo do wycofania zgody — w przypadku przetwarzania danych na podstawie zgody (art. 6 ust. 1 lit. a) RODO), ma Pani/Pan prawo wycofać zgodę w dowolnym momencie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
    8. Prawo do skargi — bezpieczeństwo Pani/Pana danych jest dla nas priorytetem. Jeśli jednak uzna Pani/Pan, że przetwarzając dane naruszamy przepisy RODO, ma Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, kancelaria@uodo.gov.pl).
  2. W celu skorzystania z powyższych praw prosimy o kontakt na adres: kontakt@hopflow.pl.

§ 8. Dane osób odwiedzających linki (osoby trzecie)

  1. Osoby klikające w linki skrócone za pomocą Aplikacji nie są Usługobiorcami Administratora. Administrator przetwarza ich dane (adres IP, lokalizacja, urządzenie, przeglądarka, referrer) jako podmiot przetwarzający w imieniu Usługobiorcy, który utworzył dany link.
  2. Usługobiorca, który tworzy linki, jest administratorem danych osób klikających w te linki w rozumieniu RODO. Usługobiorca jest zobowiązany do zapewnienia odpowiedniej podstawy prawnej przetwarzania tych danych (np. prawnie uzasadniony interes — analityka marketingowa) oraz do informowania osób, których dane dotyczą, o przetwarzaniu ich danych.
  3. Administrator anonimizuje adresy IP osób odwiedzających linki po przetworzeniu do przybliżonej geolokacji. Administrator nie łączy danych o kliknięciach z danymi umożliwiającymi bezpośrednią identyfikację osoby odwiedzającej link.

§ 9. Pliki cookies i technologie przechowywania

  1. Plik cookie to niewielki plik tekstowy, który jest zapisywany na Pani/Pana urządzeniu, gdy odwiedza Pani/Pan Serwis. Każdy plik cookie posiada anonimowy identyfikator i pozwala zidentyfikować urządzenie, w którego pamięci został zapisany, przez określony czas. Pliki cookies są zapisywane w celu rozpoznania Pani/Pana urządzenia i zapewnienia prawidłowego działania Serwisu.
  2. Serwis korzysta z minimalnej liczby plików cookies i technologii przechowywania danych w przeglądarce:
    1. Pliki cookies konieczne (zawsze aktywne):
      Cookie sesji — niezbędny do utrzymania zalogowanego stanu w Aplikacji. Wygasa po zamknięciu przeglądarki lub po upływie czasu sesji. Bez tego pliku cookie nie jest możliwe korzystanie z Aplikacji po zalogowaniu.
    2. Pamięć lokalna przeglądarki (localStorage):
      Serwis wykorzystuje localStorage (nie jest to plik cookie) do przechowywania preferencji użytkownika, takich jak:
      1. wybrany motyw (jasny/ciemny),
      2. ostatnio używana domena w Workspace,
      3. stan zamknięcia komunikatów informacyjnych.

      Dane z localStorage nie są wysyłane na serwer i pozostają wyłącznie na Pani/Pana urządzeniu.

    3. Cloudflare Turnstile:
      Przy rejestracji Konta Serwis wykorzystuje mechanizm weryfikacji Cloudflare Turnstile. Turnstile nie stosuje plików cookies, nie zbiera danych osobowych i nie śledzi użytkowników.
    4. Analityka — Umami:
      Serwis może korzystać z narzędzia Umami Analytics do zbierania anonimowych statystyk odwiedzin. Umami jest hostowane na własnych serwerach Administratora, nie stosuje plików cookies, nie zbiera danych osobowych i nie śledzi użytkowników między stronami. Umami jest zgodne z RODO bez konieczności uzyskania zgody.
  3. Serwis nie korzysta z Google Analytics, Facebook Pixel ani innych zewnętrznych narzędzi śledzących.
  4. Cookie sesji pozostaje na Pani/Pana urządzeniu do momentu wylogowania lub zamknięcia przeglądarki. Dane w localStorage pozostają do momentu ich ręcznego usunięcia lub wyczyszczenia danych przeglądarki.
  5. Może Pani/Pan zarządzać plikami cookies w ustawieniach przeglądarki. Należy pamiętać, że zablokowanie cookies koniecznych uniemożliwi korzystanie z Aplikacji po zalogowaniu. Sposoby konfigurowania ustawień dotyczących plików cookies w poszczególnych przeglądarkach:
    1. Google Chrome: https://support.google.com/chrome/answer/95647?hl=pl
    2. Mozilla Firefox: https://support.mozilla.org/pl/kb/usuwanie-ciasteczek
    3. Microsoft Edge: https://support.microsoft.com/pl-pl/microsoft-edge/
    4. Safari: https://support.apple.com/pl-pl/guide/safari/sfri11471/mac

§ 10. Bezpieczeństwo danych

  1. Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, w szczególności:
    1. szyfrowanie transmisji danych (SSL/TLS),
    2. szyfrowanie haseł (bcrypt),
    3. dwuetapowa weryfikacja logowania (2FA/TOTP — opcjonalnie),
    4. monitoring bezpieczeństwa i wykrywanie nadużyć,
    5. regularne kopie zapasowe,
    6. ograniczenie dostępu do danych wyłącznie do osób upoważnionych.

§ 11. Zmiany Polityki prywatności

  1. Administrator może dokonywać zmian w niniejszej Polityce prywatności, w szczególności w celu dostosowania jej do zmian w przepisach prawa, zmian w Serwisie lub zmian w sposobie przetwarzania danych.
  2. O istotnych zmianach Polityki prywatności Administrator poinformuje Usługobiorców za pośrednictwem poczty elektronicznej lub komunikatu w Aplikacji, nie później niż 14 dni przed wejściem zmian w życie.
  3. Aktualna wersja Polityki prywatności jest zawsze dostępna pod adresem: https://hopflow.pl/polityka-prywatnosci.

§ 12. Kontakt

  1. Jeżeli ma Pani/Pan dodatkowe pytania dotyczące przetwarzania danych osobowych, prosimy o kontakt:
    Bit9 Paweł Mirosławski
    ul. Legionów 26/2, 43-300 Bielsko-Biała
    E-mail: kontakt@hopflow.pl

Obowiązuje od [data publikacji] r.