Polityka prywatności
Twoja prywatność jest dla nas priorytetem. AURESTA RCP to oprogramowanie on-premise — oznacza to, że uruchamiasz je na własnej infrastrukturze i dane Twoich pracowników nigdy nie opuszczają Twojej sieci. Ta polityka opisuje wyłącznie dane, które my (AURESTA) przetwarzamy w ramach obsługi umowy licencyjnej — głównie Twoje dane kontaktowe i dane do faktury.
§1 Administrator danych
Administratorem danych osobowych przetwarzanych w ramach obsługi umowy licencyjnej AURESTA RCP jest AURESTA, marka handlowa działająca pod adresem auresta.pl, dalej zwana „Administratorem”.
Kontakt w sprawach ochrony danych: privacy@auresta.pl
Inspektor Ochrony Danych: Nie został powołany — brak ustawowego obowiązku (art. 37 ust. 1 RODO).
💡 Ważne: Administrator vs Klient on-premise
W modelu on-premise Klient (Twoja firma) jest Administratorem danych swoich pracowników, ponieważ to Klient hostuje system na własnej infrastrukturze. AURESTA nie ma dostępu do tych danych. My jesteśmy Administratorem wyłącznie Twoich danych kontaktowych (np. email firmowy, NIP do faktury), które przekazujesz nam w procesie zakupu licencji.
⚡ Wyjątki — kiedy AURESTA ma czasowy dostęp do danych Twoich pracowników
Jako Operator AURESTA staje się Procesorem danych (art. 28 RODO) wyłącznie w dwóch sytuacjach:
a) Podczas wdrożenia systemu (jednorazowo, do 30 dni od podpisania umowy) — czas potrzebny na zainstalowanie systemu na Twoim serwerze, konfigurację, ewentualną migrację danych pracowniczych i szkolenie administratora. Tę relację reguluje Umowa Powierzenia A — Wdrożenie (DPA-A), podpisywana przy zakupie licencji. Po podpisaniu przez Ciebie protokołu odbioru końcowego wycofujemy wszystkie zdalne dostępy do Twojego serwera i DPA-A automatycznie wygaśnie.
b) Podczas opcjonalnego wsparcia zdalnego (jeśli wykupisz abonament wsparcia 199 zł/mc) — mamy okresowy dostęp ad-hoc, wyłącznie na czas konkretnej sesji wsparcia, uruchamianej za Twoją każdorazową zgodą. Tę relację reguluje Umowa Powierzenia B — Wsparcie (DPA-B), podpisywana wraz z abonamentem.
W pozostałych okresach (codzienna praca z systemem bez aktywnego wsparcia, automatyczne aktualizacje pobierane przez Ciebie) — nie mamy żadnego dostępu do Twoich danych pracowniczych. Wówczas nie ma relacji procesorskiej, jesteśmy wyłącznie dostawcą oprogramowania (jak Microsoft sprzedający Office).
§2 Jakie dane przetwarzamy
W ramach świadczenia usług AURESTA przetwarza następujące kategorie danych:
| Kategoria | Przykłady | Cel |
|---|---|---|
| Dane kontaktowe | Email firmowy, telefon, imię i nazwisko osoby kontaktowej | Obsługa umowy, komunikacja, wsparcie techniczne |
| Dane firmy | Nazwa firmy, NIP, REGON, adres siedziby | Wystawianie faktur, obowiązki podatkowe |
| Dane techniczne | IP dostępu do repozytorium kodu, logi pobrań licencji | Bezpieczeństwo, zwalczanie nadużyć |
| Dane operacyjne | Historia zgłoszeń wsparcia, preferencje kontaktu | Świadczenie wsparcia technicznego (jeśli wykupione) |
❌ Czego NIE przetwarzamy
Ponieważ AURESTA RCP działa on-premise, NIE mamy dostępu do:
- Danych Twoich pracowników (imiona, nazwiska, PESEL, numery kart)
- Godzin pracy, rejestracji wejść/wyjść, harmonogramów
- Danych płacowych, kadrowych, urlopowych
- Jakichkolwiek danych osobowych przetwarzanych przez Twoją firmę w ramach RCP
Wszystkie te dane pozostają na Twojej infrastrukturze, w Twoich bazach danych, pod Twoją kontrolą.
Powyższe odnosi się do trybu codziennej pracy systemu (tj. po zakończeniu wdrożenia i poza sesjami wsparcia zdalnego). W trakcie wdrożenia oraz sesji wsparcia (jeśli wykupisz) mamy czasowy dostęp do bazy Twojego serwera — szczegóły w §1 i §7 niniejszej polityki, oraz w odpowiednich umowach powierzenia.
§3 Podstawy prawne przetwarzania
Przetwarzanie Twoich danych opiera się na następujących podstawach prawnych wynikających z RODO (Rozporządzenie 2016/679):
- Art. 6 ust. 1 lit. b RODO — wykonanie umowy licencyjnej, której jesteś stroną
- Art. 6 ust. 1 lit. c RODO — wypełnienie obowiązków prawnych (faktury, księgowość)
- Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora (bezpieczeństwo, obsługa reklamacji)
§4 Okres przechowywania
- Dane księgowe i fakturowe — 5 lat od końca roku podatkowego (wymóg Ordynacji Podatkowej, art. 86)
- Dane kontaktowe — czas trwania umowy licencyjnej + 2 lata (okres przedawnienia roszczeń)
- Historia wsparcia technicznego — 3 lata od zakończenia sprawy
- Logi techniczne — 90 dni
§5 Komu udostępniamy dane
AURESTA nie sprzedaje, nie wynajmuje ani nie przekazuje Twoich danych podmiotom trzecim w celach marketingowych. W uzasadnionych przypadkach dane mogą być przekazywane:
- Biuro księgowe — w zakresie niezbędnym do obsługi księgowej
- Kancelaria prawna FinLegalTech — w sprawach obsługi umów i sporów
- Dostawca poczty firmowej — w zakresie obsługi komunikacji email
- Organy państwowe — wyłącznie na podstawie prawomocnego wezwania
W modelu on-premise nie korzystamy z sub-processorów dla danych Twoich pracowników, bo nie mamy do nich dostępu.
§6 Twoje prawa
Zgodnie z RODO przysługują Ci następujące prawa:
- Prawo dostępu (art. 15) — możesz zażądać informacji o tym, jakie dane o Tobie przetwarzamy
- Prawo sprostowania (art. 16) — możesz poprawić nieprawidłowe dane
- Prawo usunięcia (art. 17) — „prawo do bycia zapomnianym” (z wyjątkami wynikającymi z prawa)
- Prawo ograniczenia przetwarzania (art. 18)
- Prawo sprzeciwu (art. 21) — szczególnie wobec przetwarzania na podstawie prawnie uzasadnionego interesu
- Prawo przenoszenia danych (art. 20)
- Prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO)
Aby skorzystać z któregokolwiek z tych praw, wyślij email na privacy@auresta.pl. Odpowiemy w terminie do 30 dni.
§7 Zdalne wsparcie techniczne
W przypadku wykupienia przez Klienta opcji Wsparcia miesięcznego, mogą zdarzyć się sytuacje, w których zespół AURESTA uzyskuje zdalny dostęp do infrastruktury Klienta w celu rozwiązania problemu technicznego. W takich przypadkach:
- Czas trwania: od rozpoczęcia prac do podpisania protokołu odbioru, maks. 30 dni
- Podstawa prawna: umowa powierzenia DPA-A podpisywana przed rozpoczęciem wdrożenia
- Po zakończeniu: AURESTA wycofuje wszystkie dostępy (SSH, VPN) w ciągu 24h i usuwa wszelkie tymczasowe kopie danych
- Procesor nie korzysta z subprocesorów w tej fazie
Scenariusz B — Wsparcie zdalne (DPA-B)
Klienci z aktywnym abonamentem Wsparcia miesięcznego mogą zgłaszać problemy techniczne. Gdy rozwiązanie wymaga dostępu do serwera, AURESTA uzyskuje go wyłącznie ad-hoc — na czas konkretnej sesji — za każdorazową zgodą Klienta. AURESTA działa wtedy jako Procesor danych w rozumieniu art. 28 RODO.
- Zdalny dostęp wyłącznie za wyraźną zgodą Klienta przed każdą sesją
- Każda sesja logowana w audit log po stronie Klienta
- AURESTA nie kopiuje danych Klienta do własnej infrastruktury
- Czas trwania relacji procesorskiej: czas aktywnego abonamentu + 30 dni wygaszania
- Podstawa prawna: umowa powierzenia DPA-B obowiązująca przez czas abonamentu
- Po zakończeniu abonamentu: AURESTA wycofuje wszystkie dostępy i usuwa dane w ciągu 24h
Scenariusz C — Standardowa praca bez udziału AURESTA
Codzienne korzystanie z Systemu bez aktywnej sesji wsparcia AURESTA nie tworzy relacji procesorskiej. System działa autonomicznie — AURESTA nie ma dostępu do żadnych danych pracowniczych przetwarzanych przez Klienta.
§8 Cookies
Marketing website rcp.auresta.pl nie używa cookies tracking, analitycznych ani reklamowych. Szczegóły znajdziesz w Polityce cookies.
§8a Transfery danych poza EOG
Dane osobowe są przetwarzane w obrębie Europejskiego Obszaru Gospodarczego (EOG). Administrator nie korzysta z dostawców spoza EOG dla danych Klientów. Jeżeli w przyszłości pojawi się taka konieczność, transfer będzie odbywał się wyłącznie w oparciu o mechanizmy z rozdziału V RODO: decyzję Komisji Europejskiej o adekwatności (EU-US Data Privacy Framework), standardowe klauzule umowne (SCC) z 4 czerwca 2021 r. lub wiążące reguły korporacyjne (BCR). Aktualna lista jest udostępniana na żądanie.
§8b Sztuczna inteligencja (AI Act)
Administrator informuje, że produkt AURESTA RCP nie zawiera systemów sztucznej inteligencji w rozumieniu art. 3 pkt 1 Rozporządzenia (UE) 2024/1689 (AI Act), w tym systemów wysokiego ryzyka z Załącznika III pkt 4 (zarządzanie pracownikami). System nie podejmuje zautomatyzowanych decyzji wobec pracowników w rozumieniu art. 22 RODO. Jeżeli w przyszłości pojawi się funkcjonalność AI, Administrator wdroży obowiązki przejrzystości z art. 50 AI Act.
§8c KSeF (Krajowy System e-Faktur)
Od dnia 1 kwietnia 2026 r. faktury VAT w obrocie B2B między Administratorem a Klientem wystawiane są jako faktury ustrukturyzowane za pośrednictwem KSeF, zgodnie z ustawą o VAT. Wobec Klientów będących konsumentami lub osobami fizycznymi nieprowadzącymi działalności gospodarczej, faktury są wystawiane poza KSeF (papierowo lub elektronicznie PDF).
§9 Zmiany polityki
AURESTA zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce prywatności. Data ostatniej aktualizacji jest widoczna na początku dokumentu. Istotne zmiany będą komunikowane Klientom droga elektroniczną.
§10 Kontakt
W sprawach ochrony danych osobowych skontaktuj się z nami:
- Email: privacy@auresta.pl
- Ogólny kontakt: kontakt@auresta.pl