← Powrót

Polityka prywatności

NOX ProfitTracker - profit.noxecom.pl

Ostatnia aktualizacja: 27 marca 2026

1. Administrator danych osobowych

Administratorem danych osobowych przetwarzanych w ramach serwisu NOX ProfitTracker (dalej: "Serwis", "Platforma"), dostępnego pod adresem profit.noxecom.pl, jest:

  • Ferrax Wiktor Krawczyk
  • ul. Prosta 25, 05-552 Warszawianka
  • NIP: 1231511103
  • Email kontaktowy: kontakt@noxecom.pl

Administrator nie wyznaczył Inspektora Ochrony Danych. We wszystkich sprawach dotyczących przetwarzania danych osobowych oraz realizacji praw przysługujących osobom, których dane dotyczą, prosimy o kontakt pod adresem: kontakt@noxecom.pl.

2. Zakres i kategorie przetwarzanych danych

W ramach korzystania z Serwisu przetwarzamy następujące kategorie danych:

2.1. Dane rejestracyjne i uwierzytelniające

  • Adres email
  • Hash hasła (przy rejestracji przez email) lub identyfikator Google OAuth
  • Data rejestracji i ostatniego logowania

2.2. Dane sklepów e-commerce

  • Adres URL sklepu WooCommerce
  • Nazwa sklepu, waluta, ustawienia kosztów (prowizje, wysyłka, podatki)
  • Klucze API WooCommerce (consumer key i consumer secret) - szyfrowane algorytmem AES-256-GCM
  • Historia kosztów zakupu towarów (COGS) z zakresami dat

2.3. Dane zamówień

  • Zsynchronizowane z WooCommerce: numer zamówienia, kwoty, pozycje produktowe, metody płatności i wysyłki, status zamówienia
  • Dane o zwrotach

Nie zbieramy danych osobowych klientów końcowych Użytkownika (imion, adresów, emaili kupujących). Synchronizowane są wyłącznie dane transakcyjne niezbędne do kalkulacji KPI.

2.4. Dane z Facebook Marketing API

  • Token dostępu do konta reklamowego Facebook (zaszyfrowany)
  • Identyfikator konta reklamowego Facebook
  • Dane wydatków reklamowych (spend), zasięgu, kliknięć, konwersji - wyłącznie w trybie odczytu (scope: ads_read)
  • Dane demograficzne kampanii (wiek, płeć, lokalizacja - dane zagregowane, nie dane osobowe)

Platforma nigdy nie modyfikuje, nie tworzy ani nie usuwa kampanii, zestawów reklam ani reklam na koncie Facebook Użytkownika. Dostęp jest wyłącznie w trybie odczytu (ads_read).

2.5. Dane z formularza kontaktowego

  • Adres email nadawcy
  • Treść wiadomości

2.6. Dane techniczne (logi)

  • Adres IP (przetwarzany przez Vercel w ramach hostingu)
  • Typ i wersja przeglądarki, system operacyjny
  • Data i czas żądań HTTP

3. Cele przetwarzania danych

Dane osobowe są przetwarzane w następujących celach:

  • Świadczenie usługi - rejestracja konta, uwierzytelnianie, synchronizacja danych z WooCommerce i Facebook, kalkulacja KPI, analityka produktów, generowanie raportów, obsługa funkcji udostępniania dashboardu.
  • Bezpieczeństwo - ochrona przed nieautoryzowanym dostępem, zapobieganie nadużyciom, rate limiting, weryfikacja integralności sesji.
  • Komunikacja - odpowiedzi na zapytania przesłane przez formularz kontaktowy, powiadomienia o zmianach regulaminu lub polityki prywatności, powiadomienia techniczne dotyczące konta.
  • Obowiązki prawne - archiwizacja danych wymagana przepisami prawa podatkowego i rachunkowego.
  • Prawnie uzasadniony interes Administratora - poprawa jakości usługi, diagnozowanie błędów, analiza sposobu korzystania z Platformy w celu ulepszania funkcjonalności.

4. Podstawy prawne przetwarzania

Przetwarzanie danych osobowych odbywa się na podstawie art. 6 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO):

  • Art. 6 ust. 1 lit. b) RODO - wykonanie umowy - przetwarzanie jest niezbędne do świadczenia Usługi, tj. rejestracji konta, synchronizacji danych ze sklepu WooCommerce, integracji z Facebook Marketing API, kalkulacji KPI, generowania raportów analitycznych i obsługi funkcji udostępniania dashboardu.
  • Art. 6 ust. 1 lit. a) RODO - zgoda - przetwarzanie danych z konta reklamowego Facebook na podstawie wyraźnej zgody Użytkownika wyrażonej poprzez autoryzację OAuth (połączenie konta Facebook). Zgoda może być cofnięta w dowolnym momencie poprzez odłączenie konta Facebook w ustawieniach Platformy.
  • Art. 6 ust. 1 lit. c) RODO - obowiązek prawny - przechowywanie danych rozliczeniowych zgodnie z ustawą o rachunkowości i przepisami prawa podatkowego.
  • Art. 6 ust. 1 lit. f) RODO - prawnie uzasadniony interes - zapewnienie bezpieczeństwa Serwisu, zapobieganie nadużyciom, diagnozowanie błędów, poprawa jakości usługi.

5. Odbiorcy danych - podmioty przetwarzające

Dane osobowe mogą być przekazywane następującym podmiotom trzecim (procesorom), wyłącznie w zakresie niezbędnym do świadczenia Usługi:

  • Supabase Inc. (USA, serwery w regionie EU - Frankfurt, Niemcy) - baza danych PostgreSQL, uwierzytelnianie użytkowników, przechowywanie danych. Supabase przetwarza dane na podstawie Data Processing Agreement (DPA) i jest zgodne z RODO. Serwery danych zlokalizowane w Unii Europejskiej.
  • Vercel Inc. (USA, serwery edge w EU) - hosting aplikacji webowej, przetwarzanie żądań HTTP. Vercel przetwarza dane zgodnie z ich DPA oraz stosuje Standardowe Klauzule Umowne (SCC) dla transferów danych poza EOG.
  • Stripe Inc. (USA/Irlandia) - przetwarzanie płatności, obsługa subskrypcji. Stripe jest certyfikowanym dostawcą usług płatniczych (PCI DSS Level 1). Dane kart płatniczych są przetwarzane wyłącznie przez Stripe - Administrator nie ma do nich dostępu. Stripe posiada DPA zgodne z RODO.
  • Google LLC (USA) - uwierzytelnianie OAuth (logowanie przez Google). Przetwarzane dane: identyfikator konta Google, adres email. Transfer danych na podstawie SCC.
  • Meta Platforms Ireland Ltd. (Irlandia/USA) - Facebook Marketing API. Platforma pobiera dane wydatków reklamowych z konta Facebook Użytkownika w trybie odczytu (ads_read). Meta przetwarza dane zgodnie z Meta Platform Terms i posiada odpowiednie mechanizmy transferu danych.

Administrator nie sprzedaje danych osobowych Użytkowników podmiotom trzecim. Dane nie są udostępniane w celach marketingowych podmiotom zewnętrznym.

6. Transfer danych poza Europejski Obszar Gospodarczy

Niektórzy z naszych procesorów danych mają siedzibę w Stanach Zjednoczonych. Transfer danych osobowych poza EOG odbywa się na podstawie:

  • Standardowych Klauzul Umownych (SCC) - przyjętych decyzją Komisji Europejskiej, zawartych w umowach z procesorami danych.
  • EU-U.S. Data Privacy Framework - w przypadku podmiotów certyfikowanych w ramach tego programu (Vercel, Google, Stripe, Meta).

Baza danych Supabase jest zlokalizowana w regionie EU (Frankfurt, Niemcy), co oznacza, że dane przechowywane w bazie nie opuszczają Europejskiego Obszaru Gospodarczego.

7. Dane z Facebook Marketing API - zgodność z Meta Platform Terms

W związku z integracją z Facebook Marketing API, Administrator informuje:

  • Platforma uzyskuje dostęp do danych konta reklamowego Facebook wyłącznie po wyraźnej autoryzacji Użytkownika poprzez proces OAuth (Facebook Login).
  • Zakres uprawnień jest ograniczony do ads_read - Platforma może wyłącznie odczytywać dane o kampaniach, zestawach reklam, reklamach, wydatkach, zasięgu i konwersjach. Platforma nie posiada uprawnień do tworzenia, modyfikowania ani usuwania kampanii reklamowych.
  • Dane z Facebook są wykorzystywane wyłącznie w celu prezentowania Użytkownikowi statystyk wydatków reklamowych, kalkulacji ROAS i innych wskaźników efektywności w ramach dashboardu ProfitTracker.
  • Dane z Facebook nie są udostępniane żadnym podmiotom trzecim, nie są wykorzystywane do celów reklamowych, profilowania ani do budowania profili odbiorców.
  • Użytkownik może w dowolnym momencie odłączyć konto Facebook w ustawieniach Platformy, co skutkuje natychmiastowym usunięciem tokena dostępu i zaprzestaniem pobierania danych z Facebook.
  • Token dostępu do Facebook jest przechowywany w zaszyfrowanej formie w bazie danych i jest wykorzystywany wyłącznie do autoryzowanych wywołań API w imieniu Użytkownika.
  • Platforma przechowuje jedynie zagregowane metryki kampanii (wydatki, zasięg, kliknięcia, konwersje). Nie przechowuje danych osobowych odbiorców reklam Facebook.

8. Okres przechowywania danych

Dane osobowe są przechowywane przez następujące okresy:

  • Dane konta - przez cały okres posiadania aktywnego konta na Platformie, do momentu jego usunięcia przez Użytkownika.
  • Dane sklepów, zamówień i produktów - do momentu usunięcia sklepu lub konta Użytkownika.
  • Klucze API WooCommerce - szyfrowane (AES-256-GCM), trwale usuwane wraz z usunięciem sklepu lub konta Użytkownika.
  • Token Facebook - zaszyfrowany, trwale usuwany po odłączeniu konta Facebook lub usunięciu konta Użytkownika.
  • Dane wydatków reklamowych Facebook - do momentu usunięcia konta Użytkownika. Użytkownik może je wcześniej usunąć odłączając konto Facebook.
  • Dane rozliczeniowe - przez 5 lat od końca roku podatkowego, w którym dokonano transakcji, zgodnie z art. 74 ustawy o rachunkowości i art. 86 Ordynacji podatkowej.
  • Dane z formularza kontaktowego - przez okres niezbędny do obsługi zapytania, nie dłużej niż 12 miesięcy.
  • Linki udostępniania (share) - dane udostępnione przez link tymczasowy wygasają automatycznie po 48 godzinach. Token jest jednorazowy i po wygaśnięciu nie umożliwia dostępu do danych.
  • Logi techniczne - zgodnie z polityką retencji dostawcy hostingu (Vercel), zwykle do 30 dni.

Po usunięciu konta dane osobowe są trwale usuwane z bazy danych, z wyjątkiem danych, których przechowywanie jest wymagane przez bezwzględnie obowiązujące przepisy prawa.

9. Prawa Użytkownika

Zgodnie z Rozdziałem III RODO (art. 15-22), Użytkownikowi przysługują następujące prawa:

  • Prawo dostępu do danych (art. 15) - prawo do uzyskania od Administratora potwierdzenia, czy przetwarzane są dane osobowe Użytkownika, a jeżeli tak, do uzyskania dostępu do nich oraz informacji o celach przetwarzania, kategoriach danych, odbiorcach, okresie przechowywania i prawach przysługujących Użytkownikowi.
  • Prawo do sprostowania danych (art. 16) - prawo do żądania niezwłocznego sprostowania nieprawidłowych danych osobowych lub uzupełnienia niekompletnych danych.
  • Prawo do usunięcia danych (art. 17) - prawo do żądania usunięcia danych osobowych ("prawo do bycia zapomnianym"). Użytkownik może usunąć swoje konto i wszystkie powiązane dane z poziomu Ustawień Platformy.
  • Prawo do ograniczenia przetwarzania (art. 18) - prawo do żądania ograniczenia przetwarzania danych w przypadkach przewidzianych w RODO, np. gdy Użytkownik kwestionuje prawidłowość danych.
  • Prawo do przenoszenia danych (art. 20) - prawo do otrzymania danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. JSON, CSV) oraz prawo do przesłania tych danych innemu administratorowi.
  • Prawo do sprzeciwu (art. 21) - prawo do wniesienia sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO).
  • Prawo do cofnięcia zgody (art. 7 ust. 3) - w przypadku przetwarzania danych na podstawie zgody (np. integracja z Facebook), Użytkownik ma prawo cofnąć zgodę w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem zgody. Cofnięcie zgody na integrację z Facebook następuje przez odłączenie konta Facebook w ustawieniach Platformy.

W celu realizacji powyższych praw prosimy o kontakt pod adresem: kontakt@noxecom.pl. Administrator realizuje żądania bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania żądania. W przypadku skomplikowanych żądań termin może zostać przedłużony o kolejne dwa miesiące, o czym Użytkownik zostanie poinformowany.

10. Prawo do wniesienia skargi

Użytkownikowi przysługuje prawo wniesienia skargi do organu nadzorczego, jeżeli uzna, że przetwarzanie danych osobowych narusza przepisy RODO. Organem nadzorczym właściwym dla terytorium Rzeczypospolitej Polskiej jest:

  • Prezes Urzędu Ochrony Danych Osobowych (UODO)
  • ul. Stawki 2, 00-193 Warszawa
  • Telefon: 22 531 03 00
  • Strona: https://uodo.gov.pl

11. Pliki cookies i technologie śledzące

11.1. Stosowane pliki cookies

Platforma wykorzystuje wyłącznie pliki cookies niezbędne do prawidłowego funkcjonowania Serwisu (cookies techniczne/funkcjonalne). Zgodnie z art. 173 ust. 3 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, cookies niezbędne do świadczenia usługi drogą elektroniczną nie wymagają zgody Użytkownika.

Stosowane cookies:

NazwaDostawcaCelWygasa
sb-*-auth-tokenSupabaseSesja uwierzytelniania, token dostępu i odświeżaniaPo sesji / 7 dni
sb-*-auth-token-code-verifierSupabaseWeryfikacja PKCE w procesie OAuthPo sesji
__stripe_mid / __stripe_sidStripeZapobieganie oszustwom podczas płatności1 rok / 30 min

11.2. Cookies marketingowe i śledzące

Platforma nie stosuje cookies marketingowych, reklamowych ani śledzących. Nie korzystamy z Google Analytics, Facebook Pixel ani żadnych innych narzędzi śledzenia aktywności Użytkowników przez podmioty trzecie.

11.3. Zarządzanie cookies

Użytkownik może zarządzać plikami cookies poprzez ustawienia przeglądarki internetowej. Zablokowanie cookies technicznych może uniemożliwić korzystanie z Platformy (w szczególności zalogowanie się).

12. Bezpieczeństwo danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, w szczególności:

  • Szyfrowanie w transmisji - cała komunikacja między przeglądarką Użytkownika a serwerem odbywa się przez protokół HTTPS/TLS.
  • Szyfrowanie kluczy API - klucze WooCommerce i tokeny Facebook są szyfrowane algorytmem AES-256-GCM przed zapisem w bazie danych. Klucz szyfrujący jest przechowywany wyłącznie jako zmienna środowiskowa po stronie serwera i nigdy nie jest eksponowany klientowi.
  • Row Level Security (RLS) - polityki bezpieczeństwa na poziomie bazy danych gwarantują, że każdy Użytkownik ma dostęp wyłącznie do własnych danych. Wszystkie tabele posiadają polityki RLS.
  • Bezpieczne przechowywanie haseł - hasła Użytkowników są hashowane algorytmem bcrypt i nigdy nie są przechowywane w formie jawnej.
  • Rate limiting - ograniczenie częstotliwości żądań API w celu ochrony przed atakami brute-force i nadużyciami.
  • HMAC state verification - weryfikacja integralności parametrów OAuth (Facebook, Google) w celu ochrony przed atakami CSRF.
  • Security headers - nagłówki bezpieczeństwa HTTP (HSTS, CSP, X-Frame-Options, X-Content-Type-Options).
  • Walidacja danych wejściowych - wszystkie dane przesyłane przez Użytkownika są walidowane po stronie serwera.
  • Regularne aktualizacje - oprogramowanie i zależności są regularnie aktualizowane w celu eliminacji znanych podatności.

13. Szyfrowanie kluczy API WooCommerce

Klucze API WooCommerce (consumer key i consumer secret) podlegają szczególnej ochronie:

  • Są szyfrowane algorytmem AES-256-GCM z unikatowym wektorem inicjalizacyjnym (IV) i tagem uwierzytelniającym przed zapisaniem w bazie danych.
  • Klucz szyfrujący jest przechowywany wyłącznie po stronie serwera jako zmienna środowiskowa i nigdy nie jest eksponowany w odpowiedziach API ani kodzie klienta.
  • Klucze są deszyfrowane wyłącznie w momencie synchronizacji danych ze sklepem i testowania połączenia. Po wykonaniu operacji klucz jest natychmiast usuwany z pamięci.
  • Klucze nigdy nie są zwracane w odpowiedziach API - Użytkownik widzi jedynie informację o statusie połączenia.
  • Klucze są trwale usuwane z bazy danych po usunięciu sklepu lub konta Użytkownika.

14. Funkcja udostępniania dashboardu (Share)

Platforma umożliwia Użytkownikowi wygenerowanie tymczasowego linku do dashboardu w trybie tylko do odczytu (np. w celu konsultacji z mentorem lub doradcą). W związku z tą funkcją:

  • Link jest ważny przez maksymalnie 48 godzin od momentu wygenerowania.
  • Osoba posiadająca link ma dostęp wyłącznie do odczytu danych dashboardu - nie może modyfikować ustawień, synchronizować danych ani wykonywać żadnych operacji na koncie Użytkownika.
  • Użytkownik jest odpowiedzialny za udostępnianie linku wyłącznie zaufanym osobom.
  • Po wygaśnięciu link przestaje działać i nie można go odnowić - konieczne jest wygenerowanie nowego linku.
  • Użytkownik może w dowolnym momencie dezaktywować aktywny link w ustawieniach.

15. Konto demonstracyjne (Demo)

Platforma udostępnia konto demonstracyjne (demo) umożliwiające zapoznanie się z funkcjonalnościami Serwisu bez konieczności rejestracji. Konto demo zawiera fikcyjne dane testowe. Korzystanie z konta demo nie wymaga podania żadnych danych osobowych. Dane prezentowane na koncie demo nie stanowią danych osobowych i są generowane wyłącznie w celach demonstracyjnych.

16. Zautomatyzowane podejmowanie decyzji i profilowanie

Administrator nie stosuje zautomatyzowanego podejmowania decyzji, w tym profilowania, o którym mowa w art. 22 ust. 1 i 4 RODO, tzn. nie podejmuje decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu, które wywołują wobec Użytkownika skutki prawne lub w podobny sposób istotnie na niego wpływają. Kalkulacje KPI i analizy prezentowane w dashboardzie mają charakter wyłącznie informacyjny i wspierający - nie stanowią zautomatyzowanych decyzji.

17. Dane dzieci

Serwis jest skierowany do przedsiębiorców i osób prowadzących sklepy e-commerce. Administrator świadomie nie zbiera danych osobowych osób poniżej 16. roku życia. Jeżeli Administrator poweźmie informację, że dane dziecka zostały zebrane bez zgody rodzica lub opiekuna prawnego, dane te zostaną niezwłocznie usunięte.

18. Obowiązek podania danych

Podanie danych osobowych jest dobrowolne, lecz niezbędne do korzystania z Serwisu. Brak podania adresu email uniemożliwia utworzenie konta. Brak podania kluczy API WooCommerce uniemożliwia synchronizację danych sklepu. Brak autoryzacji Facebook uniemożliwia import danych wydatków reklamowych. Podanie danych w formularzu kontaktowym jest dobrowolne, lecz niezbędne do udzielenia odpowiedzi na zapytanie.

19. Zmiany polityki prywatności

Administrator zastrzega sobie prawo do zmiany niniejszej Polityki prywatności, w szczególności w przypadku zmian przepisów prawa, zmian technologicznych lub zmian w zakresie przetwarzanych danych.

O każdej istotnej zmianie Użytkownik zostanie poinformowany z co najmniej 14-dniowym wyprzedzeniem za pośrednictwem wiadomości email wysłanej na adres podany przy rejestracji lub powiadomienia wyświetlonego w Platformie. Aktualna wersja Polityki prywatności jest zawsze dostępna pod adresem profit.noxecom.pl/polityka-prywatnosci.

20. Przepisy prawa

Niniejsza Polityka prywatności została sporządzona w oparciu o:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO)
  • Ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.)
  • Ustawę z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 nr 144 poz. 1204 ze zm.)
  • Ustawę z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. 2004 nr 171 poz. 1800 ze zm.) - w zakresie plików cookies
  • Meta Platform Terms i Meta Business Tools Terms - w zakresie danych z Facebook Marketing API

21. Kontakt

We wszystkich sprawach związanych z przetwarzaniem danych osobowych prosimy o kontakt:

  • Email: kontakt@noxecom.pl
  • Adres korespondencyjny: Ferrax Wiktor Krawczyk, ul. Prosta 25, 05-552 Warszawianka