Polityka Prywatności
Ostatnia aktualizacja: 12 czerwca 2026 r.
§ 1. Administrator danych osobowych
Administratorem danych osobowych przetwarzanych w związku z korzystaniem z serwisu WZtownik.pl jest:
- Bartosz Wojciechowski prowadzący działalność pod nazwą Własna Pracownia Projektowa
- NIP: 668-197-02-10
- Adres siedziby: ul. Siennicka 38a/32, 04-393 Warszawa
- E-mail kontaktowy: hello@wztownik.pl
We wszystkich sprawach dotyczących ochrony danych osobowych (RODO) możesz kontaktować się bezpośrednio z Administratorem przez wskazany adres e-mail.
§ 2. Cele i podstawy prawne przetwarzania
Przetwarzamy Twoje dane wyłącznie w zakresie opisanym poniżej:
| Cel | Dane | Podstawa prawna |
|---|---|---|
| Obsługa kreatora (wypełnianie formularza wniosku WZ) | Dane działki i inwestora — przechowywane lokalnie w Twojej przeglądarce (localStorage). Wysyłamy je na nasz serwer dopiero w momencie generowania pliku DOCX/PDF | art. 6 ust. 1 lit. b RODO (niezbędne do świadczenia usługi) |
| Realizacja umowy — dostarczenie zamówionego wniosku po zakupie pakietu (T1/T2/T3) | Imię i nazwisko, adres e-mail, telefon, lokalizacja działki, parametry inwestycji. Część danych (e-mail) przekazywana jest również do operatora płatności (Stripe) celem wystawienia potwierdzenia transakcji | art. 6 ust. 1 lit. b RODO (wykonanie umowy) |
| Obsługa płatności | Imię, adres e-mail oraz dane karty/banku — przekazywane bezpośrednio operatorowi płatności (Stripe Payments Europe Ltd.). WZtownik nie przechowuje danych karty na swoim serwerze | art. 6 ust. 1 lit. b RODO (wykonanie umowy) |
| Wystawienie faktury / rachunku (na życzenie) | Dane do faktury (firma, NIP, adres) — przekazane przez Klienta | art. 6 ust. 1 lit. c RODO (obowiązek prawny — przepisy podatkowe i o rachunkowości) |
| Kontakt w sprawie rozpoczętego, niedokończonego zamówienia (zapis adresu e-mail podanego w kreatorze lub formularzu T3 — szczegóły w § 3) | Adres e-mail, imię i nazwisko (jeśli podane), lokalizacja działki (gmina, powiat, województwo), wybrany pakiet | Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) — możliwość obsłużenia rozpoczętego zamówienia; przysługuje Ci sprzeciw (§ 7) |
| Analityka ruchu (Google Analytics 4) | Anonimowe dane techniczne (przeglądarka, sesja, zdarzenia nawigacji) | Zgoda (art. 6 ust. 1 lit. a RODO) |
| Analiza użyteczności serwisu — Microsoft Clarity (mapy cieplne, nagrania sesji: ruchy kursora, kliknięcia, przewijanie) | Dane techniczne i behawioralne sesji (bez treści wpisywanych w pola formularzy — maskowane) | Zgoda (art. 6 ust. 1 lit. a RODO) |
| Pomiar skuteczności reklam (Google Ads — śledzenie konwersji) | Identyfikatory reklamowe, dane o konwersji (zakup pakietu, wartość) | Zgoda (art. 6 ust. 1 lit. a RODO — zgoda „Marketingowe" w banerze cookie) |
| Remarketing i oferty komercyjne | Imię i nazwisko, adres e-mail, lokalizacja działki (gmina, powiat, województwo) | Zgoda (art. 6 ust. 1 lit. a RODO) |
| Bezpieczeństwo i logi serwera | Adres IP, data i czas połączenia, user-agent | Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) |
§ 3. Marketing bezpośredni — jak i po co zbieramy dane?
Trigger: mechanizm aktywuje się dopiero gdy łącznie spełnione są dwa warunki: (a) wyraziłeś/aś zgodę marketingową w banerze cookie (checkbox „Marketingowe"), (b) pobierasz wygenerowany wniosek WZ z kreatora (pakiet T1 lub T2). Wtedy automatycznie zapiszemy następujące dane:
- imię i nazwisko (z pola „Inwestor" w kreatorze)
- adres e-mail (z pola „Inwestor" w kreatorze)
- lokalizacja działki (gmina, powiat, województwo)
- datę i godzinę wyrażenia zgody
Dane te mogą być wykorzystane do przesyłania spersonalizowanych ofert handlowych, w tym ofert gotowych projektów domów dostosowanych do Twojej lokalizacji. Pakiet T3 (intake form) nie zapisuje danych marketingowo — tylko realizacyjnie.
Zgoda jest dobrowolna i nie wpływa na możliwość zakupu pakietu. Możesz ją cofnąć w dowolnym momencie:
- wyłączając opcję „Marketingowe" w banerze cookie (wyczyść localStorage by zobaczyć baner ponownie), lub
- pisząc na hello@wztownik.pl z prośbą o usunięcie z bazy marketingowej
Cofnięcie zgody nie wpływa na legalność przetwarzania danych przed jej cofnięciem. Dane marketingowe są usuwane automatycznie po 24 miesiącach braku aktywności (otwarcia e-maila, kliknięcia).
Zapis rozpoczętego zamówienia (niezależny od zgody marketingowej): gdy w kreatorze (krok „Inwestor") lub w formularzu zamówienia T3 podasz adres e-mail, zapisujemy go wraz z imieniem, lokalizacją działki i wybranym pakietem — także jeśli nie dokończysz zamówienia. Robimy to na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), aby móc obsłużyć rozpoczęte zamówienie (np. odpowiedzieć na pytania, pomóc dokończyć proces po przerwaniu płatności). Danych tych nie wykorzystujemy do wysyłki ofert handlowych bez Twojej odrębnej zgody. Możesz w każdej chwili wnieść sprzeciw lub zażądać usunięcia tych danych, pisząc na hello@wztownik.pl. Dane rozpoczętych zamówień usuwamy najpóźniej po 12 miesiącach.
§ 4. Pliki Cookie i Local Storage
Serwis korzysta z plików cookie oraz mechanizmu localStorage. Poniżej przedstawiamy wykaz używanych identyfikatorów:
| Identyfikator | Podmiot | Cel | Okres | Typ |
|---|---|---|---|---|
cookie_consent | WZtownik.pl | Zapis wyboru zgody cookie (analytics / marketing) | Bezterminowo (localStorage) | Niezbędne |
wz_paid_session | WZtownik.pl | Sesja opłaconej płatności (HttpOnly, Secure) — paywall kreatora | 24 godziny | Niezbędne |
wz_wizard_state_v2 | WZtownik.pl | Dane wniosku zapisywane lokalnie w przeglądarce — nie trafiają na serwer dopóki nie wygenerujesz pliku | Bezterminowo (localStorage — możesz wyczyścić) | Niezbędne |
wz_selected_tier | WZtownik.pl | Zapamiętanie wybranego pakietu (T1/T2/T3) po przejściu z cennika | Bezterminowo (localStorage) | Niezbędne |
wz_generator_disclaimer_accepted | WZtownik.pl | Zapamiętanie akceptacji disclaimera kreatora (informacja o edukacyjnym charakterze narzędzia) | Bezterminowo (localStorage) | Niezbędne |
wz_t3_intake | WZtownik.pl | Dane formularza zamówienia T3 zapisywane lokalnie w przeglądarce na czas przejścia przez płatność (żeby nie wpisywać ich ponownie) | Bezterminowo (localStorage — możesz wyczyścić) | Niezbędne |
wz_t3_bar_dismissed | WZtownik.pl | Zapamiętanie zamknięcia paska informacyjnego o pakiecie T3 w kreatorze | Bezterminowo (localStorage) | Niezbędne |
__stripe_mid, __stripe_sid | Stripe Payments Europe Ltd. | Sesja Stripe Checkout (na domenie checkout.stripe.com) — ochrona przed fraudem | 1 rok / sesja | Niezbędne dla płatności |
_ga, _ga_* | Google LLC | Analityka Google Analytics 4 (anonimowa) | 2 lata | Analityczne (wymaga zgody) |
_clck, _clsk | Microsoft Corporation | Microsoft Clarity — mapy cieplne i nagrania sesji (analiza użyteczności) | do 13 miesięcy / sesja | Analityczne (wymaga zgody) |
_gcl_au, _gcl_* | Google LLC | Google Ads — pomiar konwersji reklam | 90 dni | Marketingowe (wymaga zgody) |
Analityczne i marketingowe pliki cookie są zapisywane wyłącznie po wyrażeniu odpowiedniej zgody. Możesz zmienić swój wybór w dowolnym momencie, klikając „Dostosuj" w banerze cookie (wyczyść localStorage, aby ponownie zobaczyć baner).
§ 5. Odbiorcy danych
Twoje dane mogą być przekazywane następującym podmiotom:
- Stripe Payments Europe Ltd. (Dublin, Irlandia — Administrator dla UE) — bramka płatności obsługująca karty płatnicze, BLIK i Przelewy24. Dane karty/banku przekazujesz bezpośrednio na stronie Stripe Checkout — WZtownik nie widzi ich i nie przechowuje. Stripe może przekazywać dane do Stripe, Inc. (USA) na podstawie EU-US Data Privacy Framework (DPF) oraz Standardowych Klauzul Umownych (SCC) zatwierdzonych decyzją Komisji Europejskiej 2021/914
- Resend Inc. (Delaware, USA) — mailer transakcyjny do wysyłki potwierdzeń zamówień i powiadomień. Transfer do USA na podstawie DPF + SCC
- Microsoft Corporation (Redmond, USA) — Microsoft Clarity: mapy cieplne i nagrania sesji (wyłącznie po zgodzie cookie; treści wpisywane w pola formularzy są maskowane). Transfer do USA na podstawie DPF + SCC
- Mikrus sp. z o.o. — hosting VPS, na którym działa aplikacja (Polska/UE; brak transferu poza EOG)
- Cytrus (Mikrus)— reverse proxy + terminacja TLS (Let's Encrypt) (Polska/UE)
- cyber_Folks S.A. — usługi pocztowe dla domeny wztownik.pl (forwarding na adresy zewnętrzne) (Polska/UE)
- Google LLC — Google Analytics 4 (analityka ruchu) oraz Google Ads (pomiar konwersji reklam) — wyłącznie po odpowiedniej zgodzie cookie. Transfer do USA na podstawie DPF + Standardowych Klauzul Umownych (SCC)
- GUGiK (Główny Urząd Geodezji i Kartografii) oraz OpenStreetMap / Nominatim — publiczne usługi danych geodezyjnych. Wysyłamy do nich tylko współrzędne wskazane przez Ciebie na mapie (bez Twoich danych osobowych)
Transfer do państw trzecich (USA): niektóre usługi (Stripe, Resend, Google, Microsoft) wiążą się z transferem danych do USA. Odbywa się on na podstawie EU-US Data Privacy Framework (decyzja Komisji Europejskiej 2023/1795 z 10 lipca 2023 r.) oraz Standardowych Klauzul Umownych (SCC). Mimo ograniczeń orzeczonych przez TSUE (sprawy Schrems I i II), mechanizmy te są obecnie podstawą legalnego transferu. Masz prawo sprzeciwu wobec takiego transferu (zob. § 7).
Nie sprzedajemy Twoich danych osobowych osobom trzecim.
§ 6. Okres przechowywania danych
| Kategoria danych | Okres | Podstawa |
|---|---|---|
| Dane zamówień (numer, pakiet, e-mail, lokalizacja działki) | 6 lat (od końca roku rozliczeniowego) | art. 86 § 1 Ordynacji podatkowej (5 lat) + bezpieczny margines |
| Załączniki wgrane przez Klienta (mapa, promesy) | 5 lat lub do żądania usunięcia | Obowiązki dowodowe + uprawnienia umowne |
Cookie wz_paid_session | 24 godziny (auto-expiry) | Cel: pojedyncza sesja zakupowa |
| Dane marketingowe (lista lead'ów) | Do cofnięcia zgody lub 24 miesiące braku aktywności | Cofnięcie zgody (art. 7 ust. 3 RODO) + zasada minimalizacji |
| Dane rozpoczętych, niedokończonych zamówień (e-mail, imię, lokalizacja, pakiet — § 3) | Maksymalnie 12 miesięcy lub do wniesienia sprzeciwu | Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) + zasada minimalizacji |
| Microsoft Clarity (nagrania sesji, mapy cieplne) | Nagrania: 30 dni; dane zagregowane: do 13 miesięcy | Polityka retencji Microsoft Clarity |
| Logi serwera Docker (request log, error log) | Maksymalnie 90 dni | Rotacja Docker default; cel: bezpieczeństwo i debugging |
| Google Analytics 4 (anonimowe dane techniczne) | 14 miesięcy (default właściwości GA4) | Ustawienia GA4 — minimalny dostępny okres |
| Stripe — historia transakcji | Zgodnie z polityką Stripe (zwykle 7 lat dla wymogów PCI/AML) | Odrębny administrator (Stripe Payments Europe Ltd.) |
Po upływie okresu przechowywania dane są usuwane lub anonimizowane. Możesz wcześniej zażądać usunięcia danych — patrz § 7 prawo do bycia zapomnianym.
§ 7. Twoje prawa (RODO)
Zgodnie z RODO masz prawo do:
- dostępu do swoich danych (art. 15 RODO) — uzyskania informacji jakie dane przetwarzamy i otrzymania ich kopii
- sprostowania (art. 16 RODO) — poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych
- usunięcia (art. 17 RODO, „prawo do bycia zapomnianym”) — z zastrzeżeniem przypadków gdzie ciąży na nas obowiązek prawny przechowywania danych (np. dokumentacja księgowa)
- ograniczenia przetwarzania (art. 18 RODO)
- przenoszenia danych (art. 20 RODO) — otrzymania danych w ustrukturyzowanym formacie
- sprzeciwu (art. 21 RODO) — wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f) lub na potrzeby marketingu bezpośredniego
- cofnięcia zgody (art. 7 ust. 3 RODO) — w dowolnym momencie, bez wpływu na legalność wcześniejszego przetwarzania
- niepodlegania zautomatyzowanej decyzji (art. 22 RODO) — w naszym serwisie nie podejmujemy zautomatyzowanych decyzji wywołujących skutki prawne wobec Ciebie
Aby skorzystać z powyższych praw, skontaktuj się z Administratorem: hello@wztownik.pl
Skarga do organu nadzorczego: jeśli uważasz, że przetwarzanie Twoich danych narusza RODO, masz prawo wnieść skargę do:
- Prezes Urzędu Ochrony Danych Osobowych (PUODO)
- ul. Stawki 2, 00-193 Warszawa
- tel. (22) 531 03 00
- e-mail: kancelaria@uodo.gov.pl
- strona: https://uodo.gov.pl
§ 8. Zmiany polityki prywatności
Zastrzegamy sobie prawo do aktualizacji niniejszej polityki — np. gdy zmienią się wykorzystywane narzędzia lub przepisy. Aktualna wersja jest zawsze dostępna pod tym adresem, a data ostatniej aktualizacji widnieje na górze dokumentu. O istotnych zmianach poinformujemy widocznym komunikatem w Serwisie.
§ 9. Profilowanie i automatyczne podejmowanie decyzji
WZtownik nie profiluje użytkowników (poza opartą na zgodzie analityką Google Analytics 4 i Microsoft Clarity) i nie podejmuje zautomatyzowanych decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na osobę, której dane dotyczą (art. 22 RODO).
Konkretnie:
- Każde zamówienie pakietu T3 obsługujemy ręcznie (architekt Bartosz prowadzi sprawę indywidualnie)
- Algorytmiczne dopasowanie urzędu w Kroku 1 kreatora jest deterministyczne (po identyfikatorze TERYT z bazy GUS) — nie statystyczne i nie oparte na profilowaniu
- Wskaźniki zabudowy obliczane przez kreator są wyłącznie matematycznymi formułami — nie oceną osoby
- Nie używamy AI/ML do podejmowania decyzji dotyczących użytkowników (akceptacja zamówienia, cena dynamiczna, scoring kredytowy itp.)
§ 10. Bezpieczeństwo danych
Stosujemy adekwatne środki techniczne i organizacyjne, aby chronić przetwarzane dane:
- Szyfrowanie w tranzycie: cała komunikacja z serwisem odbywa się przez TLS 1.2+ (HTTPS), z certyfikatem Let's Encrypt zarządzanym przez Cytrus
- Minimalizacja danych: dane formularza są przechowywane lokalnie w przeglądarce użytkownika do momentu generowania pliku — wysyłamy na serwer tylko to, co konieczne do wykonania usługi
- Kontrola dostępu: dostęp do serwera VPS i danych zamówień ma wyłącznie Administrator (Bartosz Wojciechowski)
- Notyfikacja naruszeń: w razie wykrycia naruszenia ochrony danych, niezwłocznie (nie później niż w ciągu 72 godzin) zawiadomimy Prezesa UODO oraz, jeśli to konieczne, osoby których dane dotyczą — zgodnie z art. 33–34 RODO