← WZtownik

Polityka Prywatności

Ostatnia aktualizacja: 12 czerwca 2026 r.

§ 1. Administrator danych osobowych

Administratorem danych osobowych przetwarzanych w związku z korzystaniem z serwisu WZtownik.pl jest:

  • Bartosz Wojciechowski prowadzący działalność pod nazwą Własna Pracownia Projektowa
  • NIP: 668-197-02-10
  • Adres siedziby: ul. Siennicka 38a/32, 04-393 Warszawa
  • E-mail kontaktowy: hello@wztownik.pl

We wszystkich sprawach dotyczących ochrony danych osobowych (RODO) możesz kontaktować się bezpośrednio z Administratorem przez wskazany adres e-mail.

§ 2. Cele i podstawy prawne przetwarzania

Przetwarzamy Twoje dane wyłącznie w zakresie opisanym poniżej:

CelDanePodstawa prawna
Obsługa kreatora (wypełnianie formularza wniosku WZ)Dane działki i inwestora — przechowywane lokalnie w Twojej przeglądarce (localStorage). Wysyłamy je na nasz serwer dopiero w momencie generowania pliku DOCX/PDFart. 6 ust. 1 lit. b RODO (niezbędne do świadczenia usługi)
Realizacja umowy — dostarczenie zamówionego wniosku po zakupie pakietu (T1/T2/T3)Imię i nazwisko, adres e-mail, telefon, lokalizacja działki, parametry inwestycji. Część danych (e-mail) przekazywana jest również do operatora płatności (Stripe) celem wystawienia potwierdzenia transakcjiart. 6 ust. 1 lit. b RODO (wykonanie umowy)
Obsługa płatnościImię, adres e-mail oraz dane karty/banku — przekazywane bezpośrednio operatorowi płatności (Stripe Payments Europe Ltd.). WZtownik nie przechowuje danych karty na swoim serwerzeart. 6 ust. 1 lit. b RODO (wykonanie umowy)
Wystawienie faktury / rachunku (na życzenie)Dane do faktury (firma, NIP, adres) — przekazane przez Klientaart. 6 ust. 1 lit. c RODO (obowiązek prawny — przepisy podatkowe i o rachunkowości)
Kontakt w sprawie rozpoczętego, niedokończonego zamówienia (zapis adresu e-mail podanego w kreatorze lub formularzu T3 — szczegóły w § 3)Adres e-mail, imię i nazwisko (jeśli podane), lokalizacja działki (gmina, powiat, województwo), wybrany pakietPrawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) — możliwość obsłużenia rozpoczętego zamówienia; przysługuje Ci sprzeciw (§ 7)
Analityka ruchu (Google Analytics 4)Anonimowe dane techniczne (przeglądarka, sesja, zdarzenia nawigacji)Zgoda (art. 6 ust. 1 lit. a RODO)
Analiza użyteczności serwisu — Microsoft Clarity (mapy cieplne, nagrania sesji: ruchy kursora, kliknięcia, przewijanie)Dane techniczne i behawioralne sesji (bez treści wpisywanych w pola formularzy — maskowane)Zgoda (art. 6 ust. 1 lit. a RODO)
Pomiar skuteczności reklam (Google Ads — śledzenie konwersji)Identyfikatory reklamowe, dane o konwersji (zakup pakietu, wartość)Zgoda (art. 6 ust. 1 lit. a RODO — zgoda „Marketingowe" w banerze cookie)
Remarketing i oferty komercyjneImię i nazwisko, adres e-mail, lokalizacja działki (gmina, powiat, województwo)Zgoda (art. 6 ust. 1 lit. a RODO)
Bezpieczeństwo i logi serweraAdres IP, data i czas połączenia, user-agentPrawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO)

§ 3. Marketing bezpośredni — jak i po co zbieramy dane?

Trigger: mechanizm aktywuje się dopiero gdy łącznie spełnione są dwa warunki: (a) wyraziłeś/aś zgodę marketingową w banerze cookie (checkbox „Marketingowe"), (b) pobierasz wygenerowany wniosek WZ z kreatora (pakiet T1 lub T2). Wtedy automatycznie zapiszemy następujące dane:

  • imię i nazwisko (z pola „Inwestor" w kreatorze)
  • adres e-mail (z pola „Inwestor" w kreatorze)
  • lokalizacja działki (gmina, powiat, województwo)
  • datę i godzinę wyrażenia zgody

Dane te mogą być wykorzystane do przesyłania spersonalizowanych ofert handlowych, w tym ofert gotowych projektów domów dostosowanych do Twojej lokalizacji. Pakiet T3 (intake form) nie zapisuje danych marketingowo — tylko realizacyjnie.

Zgoda jest dobrowolna i nie wpływa na możliwość zakupu pakietu. Możesz ją cofnąć w dowolnym momencie:

  • wyłączając opcję „Marketingowe" w banerze cookie (wyczyść localStorage by zobaczyć baner ponownie), lub
  • pisząc na hello@wztownik.pl z prośbą o usunięcie z bazy marketingowej

Cofnięcie zgody nie wpływa na legalność przetwarzania danych przed jej cofnięciem. Dane marketingowe są usuwane automatycznie po 24 miesiącach braku aktywności (otwarcia e-maila, kliknięcia).

Zapis rozpoczętego zamówienia (niezależny od zgody marketingowej): gdy w kreatorze (krok „Inwestor") lub w formularzu zamówienia T3 podasz adres e-mail, zapisujemy go wraz z imieniem, lokalizacją działki i wybranym pakietem — także jeśli nie dokończysz zamówienia. Robimy to na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), aby móc obsłużyć rozpoczęte zamówienie (np. odpowiedzieć na pytania, pomóc dokończyć proces po przerwaniu płatności). Danych tych nie wykorzystujemy do wysyłki ofert handlowych bez Twojej odrębnej zgody. Możesz w każdej chwili wnieść sprzeciw lub zażądać usunięcia tych danych, pisząc na hello@wztownik.pl. Dane rozpoczętych zamówień usuwamy najpóźniej po 12 miesiącach.

§ 4. Pliki Cookie i Local Storage

Serwis korzysta z plików cookie oraz mechanizmu localStorage. Poniżej przedstawiamy wykaz używanych identyfikatorów:

IdentyfikatorPodmiotCelOkresTyp
cookie_consentWZtownik.plZapis wyboru zgody cookie (analytics / marketing)Bezterminowo (localStorage)Niezbędne
wz_paid_sessionWZtownik.plSesja opłaconej płatności (HttpOnly, Secure) — paywall kreatora24 godzinyNiezbędne
wz_wizard_state_v2WZtownik.plDane wniosku zapisywane lokalnie w przeglądarce — nie trafiają na serwer dopóki nie wygenerujesz plikuBezterminowo (localStorage — możesz wyczyścić)Niezbędne
wz_selected_tierWZtownik.plZapamiętanie wybranego pakietu (T1/T2/T3) po przejściu z cennikaBezterminowo (localStorage)Niezbędne
wz_generator_disclaimer_acceptedWZtownik.plZapamiętanie akceptacji disclaimera kreatora (informacja o edukacyjnym charakterze narzędzia)Bezterminowo (localStorage)Niezbędne
wz_t3_intakeWZtownik.plDane formularza zamówienia T3 zapisywane lokalnie w przeglądarce na czas przejścia przez płatność (żeby nie wpisywać ich ponownie)Bezterminowo (localStorage — możesz wyczyścić)Niezbędne
wz_t3_bar_dismissedWZtownik.plZapamiętanie zamknięcia paska informacyjnego o pakiecie T3 w kreatorzeBezterminowo (localStorage)Niezbędne
__stripe_mid, __stripe_sidStripe Payments Europe Ltd.Sesja Stripe Checkout (na domenie checkout.stripe.com) — ochrona przed fraudem1 rok / sesjaNiezbędne dla płatności
_ga, _ga_*Google LLCAnalityka Google Analytics 4 (anonimowa)2 lataAnalityczne (wymaga zgody)
_clck, _clskMicrosoft CorporationMicrosoft Clarity — mapy cieplne i nagrania sesji (analiza użyteczności)do 13 miesięcy / sesjaAnalityczne (wymaga zgody)
_gcl_au, _gcl_*Google LLCGoogle Ads — pomiar konwersji reklam90 dniMarketingowe (wymaga zgody)

Analityczne i marketingowe pliki cookie są zapisywane wyłącznie po wyrażeniu odpowiedniej zgody. Możesz zmienić swój wybór w dowolnym momencie, klikając „Dostosuj" w banerze cookie (wyczyść localStorage, aby ponownie zobaczyć baner).

§ 5. Odbiorcy danych

Twoje dane mogą być przekazywane następującym podmiotom:

  • Stripe Payments Europe Ltd. (Dublin, Irlandia — Administrator dla UE) — bramka płatności obsługująca karty płatnicze, BLIK i Przelewy24. Dane karty/banku przekazujesz bezpośrednio na stronie Stripe Checkout — WZtownik nie widzi ich i nie przechowuje. Stripe może przekazywać dane do Stripe, Inc. (USA) na podstawie EU-US Data Privacy Framework (DPF) oraz Standardowych Klauzul Umownych (SCC) zatwierdzonych decyzją Komisji Europejskiej 2021/914
  • Resend Inc. (Delaware, USA) — mailer transakcyjny do wysyłki potwierdzeń zamówień i powiadomień. Transfer do USA na podstawie DPF + SCC
  • Microsoft Corporation (Redmond, USA) — Microsoft Clarity: mapy cieplne i nagrania sesji (wyłącznie po zgodzie cookie; treści wpisywane w pola formularzy są maskowane). Transfer do USA na podstawie DPF + SCC
  • Mikrus sp. z o.o. — hosting VPS, na którym działa aplikacja (Polska/UE; brak transferu poza EOG)
  • Cytrus (Mikrus)— reverse proxy + terminacja TLS (Let's Encrypt) (Polska/UE)
  • cyber_Folks S.A. — usługi pocztowe dla domeny wztownik.pl (forwarding na adresy zewnętrzne) (Polska/UE)
  • Google LLC — Google Analytics 4 (analityka ruchu) oraz Google Ads (pomiar konwersji reklam) — wyłącznie po odpowiedniej zgodzie cookie. Transfer do USA na podstawie DPF + Standardowych Klauzul Umownych (SCC)
  • GUGiK (Główny Urząd Geodezji i Kartografii) oraz OpenStreetMap / Nominatim — publiczne usługi danych geodezyjnych. Wysyłamy do nich tylko współrzędne wskazane przez Ciebie na mapie (bez Twoich danych osobowych)

Transfer do państw trzecich (USA): niektóre usługi (Stripe, Resend, Google, Microsoft) wiążą się z transferem danych do USA. Odbywa się on na podstawie EU-US Data Privacy Framework (decyzja Komisji Europejskiej 2023/1795 z 10 lipca 2023 r.) oraz Standardowych Klauzul Umownych (SCC). Mimo ograniczeń orzeczonych przez TSUE (sprawy Schrems I i II), mechanizmy te są obecnie podstawą legalnego transferu. Masz prawo sprzeciwu wobec takiego transferu (zob. § 7).

Nie sprzedajemy Twoich danych osobowych osobom trzecim.

§ 6. Okres przechowywania danych

Kategoria danychOkresPodstawa
Dane zamówień (numer, pakiet, e-mail, lokalizacja działki)6 lat (od końca roku rozliczeniowego)art. 86 § 1 Ordynacji podatkowej (5 lat) + bezpieczny margines
Załączniki wgrane przez Klienta (mapa, promesy)5 lat lub do żądania usunięciaObowiązki dowodowe + uprawnienia umowne
Cookie wz_paid_session24 godziny (auto-expiry)Cel: pojedyncza sesja zakupowa
Dane marketingowe (lista lead'ów)Do cofnięcia zgody lub 24 miesiące braku aktywnościCofnięcie zgody (art. 7 ust. 3 RODO) + zasada minimalizacji
Dane rozpoczętych, niedokończonych zamówień (e-mail, imię, lokalizacja, pakiet — § 3)Maksymalnie 12 miesięcy lub do wniesienia sprzeciwuPrawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) + zasada minimalizacji
Microsoft Clarity (nagrania sesji, mapy cieplne)Nagrania: 30 dni; dane zagregowane: do 13 miesięcyPolityka retencji Microsoft Clarity
Logi serwera Docker (request log, error log)Maksymalnie 90 dniRotacja Docker default; cel: bezpieczeństwo i debugging
Google Analytics 4 (anonimowe dane techniczne)14 miesięcy (default właściwości GA4)Ustawienia GA4 — minimalny dostępny okres
Stripe — historia transakcjiZgodnie z polityką Stripe (zwykle 7 lat dla wymogów PCI/AML)Odrębny administrator (Stripe Payments Europe Ltd.)

Po upływie okresu przechowywania dane są usuwane lub anonimizowane. Możesz wcześniej zażądać usunięcia danych — patrz § 7 prawo do bycia zapomnianym.

§ 7. Twoje prawa (RODO)

Zgodnie z RODO masz prawo do:

  • dostępu do swoich danych (art. 15 RODO) — uzyskania informacji jakie dane przetwarzamy i otrzymania ich kopii
  • sprostowania (art. 16 RODO) — poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych
  • usunięcia (art. 17 RODO, „prawo do bycia zapomnianym”) — z zastrzeżeniem przypadków gdzie ciąży na nas obowiązek prawny przechowywania danych (np. dokumentacja księgowa)
  • ograniczenia przetwarzania (art. 18 RODO)
  • przenoszenia danych (art. 20 RODO) — otrzymania danych w ustrukturyzowanym formacie
  • sprzeciwu (art. 21 RODO) — wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f) lub na potrzeby marketingu bezpośredniego
  • cofnięcia zgody (art. 7 ust. 3 RODO) — w dowolnym momencie, bez wpływu na legalność wcześniejszego przetwarzania
  • niepodlegania zautomatyzowanej decyzji (art. 22 RODO) — w naszym serwisie nie podejmujemy zautomatyzowanych decyzji wywołujących skutki prawne wobec Ciebie

Aby skorzystać z powyższych praw, skontaktuj się z Administratorem: hello@wztownik.pl

Skarga do organu nadzorczego: jeśli uważasz, że przetwarzanie Twoich danych narusza RODO, masz prawo wnieść skargę do:

§ 8. Zmiany polityki prywatności

Zastrzegamy sobie prawo do aktualizacji niniejszej polityki — np. gdy zmienią się wykorzystywane narzędzia lub przepisy. Aktualna wersja jest zawsze dostępna pod tym adresem, a data ostatniej aktualizacji widnieje na górze dokumentu. O istotnych zmianach poinformujemy widocznym komunikatem w Serwisie.

§ 9. Profilowanie i automatyczne podejmowanie decyzji

WZtownik nie profiluje użytkowników (poza opartą na zgodzie analityką Google Analytics 4 i Microsoft Clarity) i nie podejmuje zautomatyzowanych decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na osobę, której dane dotyczą (art. 22 RODO).

Konkretnie:

  • Każde zamówienie pakietu T3 obsługujemy ręcznie (architekt Bartosz prowadzi sprawę indywidualnie)
  • Algorytmiczne dopasowanie urzędu w Kroku 1 kreatora jest deterministyczne (po identyfikatorze TERYT z bazy GUS) — nie statystyczne i nie oparte na profilowaniu
  • Wskaźniki zabudowy obliczane przez kreator są wyłącznie matematycznymi formułami — nie oceną osoby
  • Nie używamy AI/ML do podejmowania decyzji dotyczących użytkowników (akceptacja zamówienia, cena dynamiczna, scoring kredytowy itp.)

§ 10. Bezpieczeństwo danych

Stosujemy adekwatne środki techniczne i organizacyjne, aby chronić przetwarzane dane:

  • Szyfrowanie w tranzycie: cała komunikacja z serwisem odbywa się przez TLS 1.2+ (HTTPS), z certyfikatem Let's Encrypt zarządzanym przez Cytrus
  • Minimalizacja danych: dane formularza są przechowywane lokalnie w przeglądarce użytkownika do momentu generowania pliku — wysyłamy na serwer tylko to, co konieczne do wykonania usługi
  • Kontrola dostępu: dostęp do serwera VPS i danych zamówień ma wyłącznie Administrator (Bartosz Wojciechowski)
  • Notyfikacja naruszeń: w razie wykrycia naruszenia ochrony danych, niezwłocznie (nie później niż w ciągu 72 godzin) zawiadomimy Prezesa UODO oraz, jeśli to konieczne, osoby których dane dotyczą — zgodnie z art. 33–34 RODO