Polityka prywatności

Obowiązuje od: 6 maja 2026 r. | Administrator: Adresy.app

Spis treści

Administrator danych
Jakie dane przetwarzamy i w jakim celu
Odbiorcy danych — podmioty przetwarzające
Transfery poza Europejski Obszar Gospodarczy
Pliki cookie i sesje
Czas przechowywania danych
Twoje prawa
Kontakt

1. Administrator danych

Administratorem Twoich danych osobowych jest:

ICV Sp. z o.o.
ul. Zabrzańska 18/14, 41-907 Bytom
NIP: 6263039706
Serwis: api.adresy.app
E-mail: [email protected]
Tel.: +48 512 723 440

2. Jakie dane przetwarzamy i w jakim celu

2.1 Dane konta użytkownika

Podczas rejestracji zbieramy: adres e-mail i hasło (przechowywane wyłącznie jako skrót bcrypt — nigdy w postaci jawnej). Dane te są niezbędne do świadczenia usługi.

Podstawa prawna: art. 6 ust. 1 lit. b RODO — wykonanie umowy.

2.2 Dane rozliczeniowe i fakturowe

Jeśli korzystasz z płatnego planu, możesz podać dane do faktury: nazwę firmy, NIP lub numer VAT UE, adres siedziby, adres e-mail do faktur. Dane te są wymagane przepisami podatkowymi.

Podstawa prawna: art. 6 ust. 1 lit. c RODO — obowiązek prawny (ustawa o VAT, przepisy rachunkowe).

2.3 Dane sesji i logowania

Przy każdym logowaniu zapisujemy: token sesji (przechowywany jako skrót SHA-256), adres IP i identyfikator przeglądarki (user-agent). Służy to ochronie Twojego konta przed nieautoryzowanym dostępem.

Podstawa prawna: art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (bezpieczeństwo systemu).

2.4 Logi użycia API

Każde wywołanie API rejestrujemy w celach rozliczania limitów i kwot abonamentowych. Zapisujemy: identyfikator użytkownika, wywoływany endpoint, timestamp, kod odpowiedzi HTTP i koszt w jednostkach limitu. Nie zapisujemy treści zapytań adresowych (samych adresów) w powiązaniu z kontem użytkownika.

Podstawa prawna: art. 6 ust. 1 lit. b RODO — wykonanie umowy (rozliczanie limitów).

2.5 Logi bezpieczeństwa

W celu ochrony przed atakami (brute-force, nadużyciami) rejestrujemy adresy IP przy próbach logowania oraz działaniach administracyjnych.

Podstawa prawna: art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (bezpieczeństwo).

2.6 Korespondencja przychodząca (e-mail i webhook)

Jeśli wyślesz do nas wiadomość e-mail lub skorzystasz z funkcji webhooków e-mailowych, przechowujemy: adres nadawcy, temat, treść wiadomości oraz automatyczną klasyfikację zapytania (AI). Treść wiadomości jest przetwarzana przez model AI (patrz sekcja 3) w celu udzielenia odpowiedzi lub przekazania do obsługi.

Podstawa prawna: art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (obsługa klientów).

2.7 Klucze API

Generowane przez Ciebie klucze API przechowujemy wyłącznie jako skróty SHA-256 (klucz jawny pokazywany jest tylko raz, przy tworzeniu). Zapisujemy też nadaną przez Ciebie nazwę klucza, prefix (8 pierwszych znaków) oraz datę ostatniego użycia.

Podstawa prawna: art. 6 ust. 1 lit. b RODO — wykonanie umowy.

2.8 Anonimowe logi zapytań (query log)

Rejestrujemy zagregowane statystyki dopasowań adresowych (czas przetwarzania, wynik, źródło zapytania) w celach diagnostycznych. Logi te nie zawierają identyfikatora użytkownika — są anonimowe.

Podstawa prawna: art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (jakość usługi).

2.9 Pliki przesyłane do przetwarzania wsadowego

Pliki CSV/XLSX przesyłane przez Ciebie do weryfikacji adresów są przetwarzane wyłącznie w pamięci operacyjnej serwera i nie są zapisywane na dysku ani w bazie danych. Po zakończeniu przetwarzania plik jest usuwany z pamięci.

3. Odbiorcy danych — podmioty przetwarzające

Twoje dane mogą być przekazywane następującym podwykonawcom, z którymi łączą nas umowy powierzenia przetwarzania danych:

Podmiot	Rola	Przetwarzane dane
Stripe, Inc.	Operator płatności i fakturowania	Dane rozliczeniowe, adres, NIP/VAT, historia płatności
Resend, Inc.	Wysyłka e-maili transakcyjnych	Adres e-mail odbiorcy, treść wiadomości systemowych
Anthropic, PBC	Przetwarzanie AI — klasyfikacja i obsługa korespondencji	Treść e-maili przesłanych do nas przez klientów
Sentry (Functional Software, Inc.)	Monitoring błędów aplikacji	Informacje o błędach technicznych; dane identyfikacyjne (nagłówki authorization, cookie) są filtrowane i nie są przekazywane
Przelewy24 (PayPro S.A.)	Operator płatności online	Dane do płatności przekazywane przy transakcji (imię/firma, e-mail, kwota); PayPro S.A. z siedzibą w Polsce (EOG)
Hetzner Online GmbH	Hosting serwera aplikacji	Wszystkie dane przechowywane w bazie danych (serwery w Niemczech, UE)

4. Transfery poza Europejski Obszar Gospodarczy

Część podwykonawców (Stripe, Resend, Anthropic, Sentry) ma siedzibę w Stanach Zjednoczonych. Transfery danych do tych podmiotów odbywają się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską lub innych mechanizmów zapewniających odpowiedni poziom ochrony wymagany przez RODO (art. 46).

Serwer aplikacji (Hetzner) jest zlokalizowany w Niemczech — w granicach EOG, co oznacza, że większość danych nigdy nie opuszcza Unii Europejskiej.

Korzystamy wyłącznie z technicznych plików cookie, niezbędnych do działania serwisu. Nie używamy plików cookie śledzących, marketingowych ani analitycznych.

Nazwa	Cel	Czas życia	Zakres
`adresy_session`	Sesja zalogowanego użytkownika — umożliwia pozostanie zalogowanym	30 dni	Tylko zalogowani użytkownicy
`session_id`	Anonimowy identyfikator techniczny — używany do zarządzania limitami zapytań i ochrony przed nadużyciami	1 godzina	Wszyscy odwiedzający

Oba pliki cookie są oznaczone flagą HttpOnly (niedostępne dla JavaScript) i Secure (przesyłane wyłącznie przez HTTPS). Nie zawierają danych umożliwiających bezpośrednią identyfikację — są to losowe tokeny techniczne.

Jako że są to pliki cookie niezbędne do funkcjonowania usługi, ich użycie nie wymaga odrębnej zgody zgodnie z art. 5 ust. 3 Dyrektywy 2002/58/WE (ePrivacy).

6. Czas przechowywania danych

Kategoria danych	Czas przechowywania	Podstawa
Dane konta (email, hasło)	Do usunięcia konta	Umowa
Dane rozliczeniowe (firma, NIP, adres)	5 lat od końca roku podatkowego	Obowiązek prawny (ustawa o rachunkowości)
Sesje logowania (IP, user-agent)	30 dni od wygaśnięcia sesji	Prawnie uzasadniony interes
Logi użycia API	13 miesięcy	Umowa (historia limitów)
Logi bezpieczeństwa (IP przy logowaniu)	90 dni	Prawnie uzasadniony interes
Korespondencja przychodząca (e-mail)	12 miesięcy	Prawnie uzasadniony interes
Klucze API	Do usunięcia konta lub klucza	Umowa
Pliki przesyłane (CSV/XLSX)	Nie są przechowywane — przetwarzane wyłącznie w pamięci	—

7. Twoje prawa

Na podstawie RODO przysługują Ci następujące prawa:

Prawo dostępu (art. 15) — możesz poprosić o kopię danych, które przetwarzamy.
Prawo do sprostowania (art. 16) — możesz poprosić o poprawienie błędnych lub uzupełnienie niekompletnych danych.
Prawo do usunięcia (art. 17) — możesz poprosić o usunięcie danych, gdy nie są już niezbędne do celów, w których zostały zebrane (z zastrzeżeniem obowiązków prawnych, np. przechowywania dokumentacji podatkowej).
Prawo do ograniczenia przetwarzania (art. 18) — możesz poprosić o wstrzymanie przetwarzania danych w określonych sytuacjach.
Prawo do przenoszenia danych (art. 20) — możesz otrzymać swoje dane w ustrukturyzowanym formacie (dotyczy danych przetwarzanych na podstawie umowy lub zgody).
Prawo sprzeciwu (art. 21) — możesz wnieść sprzeciw wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu.
Prawo do skargi (art. 77) — możesz złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Aby skorzystać z powyższych praw, napisz na adres: [email protected]. Odpowiemy w terminie 30 dni. W przypadku wątpliwości co do tożsamości możemy poprosić o dodatkowe potwierdzenie.

8. Kontakt

W sprawach dotyczących danych osobowych skontaktuj się z nami:
ICV Sp. z o.o.
ul. Zabrzańska 18/14, 41-907 Bytom
NIP: 6263039706
E-mail: [email protected]
Tel.: +48 512 723 440

Polityka może być aktualizowana w przypadku istotnych zmian w sposobie przetwarzania danych. Data ostatniej aktualizacji widoczna jest na górze strony.