POLITYKA PRYWATNOŚCI QUIZBASE

Wersja 1.0 — obowiązuje od dnia 8 maja 2026 r.

§ 1. Informacje wstępne

Niniejsza polityka prywatności (dalej: "Polityka") określa zasady przetwarzania danych osobowych Klientów Usługi QuizBase, dostępnej pod adresem https://quizbase.runriva.com (dalej: "Usługa").
Polityka stanowi załącznik do Regulaminu Usługi, dostępnego pod adresem https://quizbase.runriva.com/legal/terms. Pojęcia pisane wielką literą, niezdefiniowane w Polityce, mają znaczenie nadane im w Regulaminie.
Polityka realizuje obowiązek informacyjny wynikający z art. 13 i 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: "RODO").

§ 2. Administrator danych osobowych

Administratorem danych osobowych Klientów Usługi (dalej: "Administrator") jest Maciej Dzierżek, prowadzący jednoosobową działalność gospodarczą wpisaną do CEIDG, z adresem stałego miejsca wykonywania działalności gospodarczej: ul. Cieszyńska 1a/57, 02-716 Warszawa, Polska, NIP: PL7411885009, REGON: 280016640.
Kontakt z Administratorem we wszelkich sprawach dotyczących przetwarzania danych osobowych jest możliwy:
1. za pośrednictwem poczty elektronicznej, pod adresem: [email protected];
2. za pośrednictwem poczty tradycyjnej, pod adresem wskazanym w ust. 1.
Administrator nie wyznaczył inspektora ochrony danych (IOD), ponieważ nie jest do tego zobowiązany na podstawie art. 37 RODO.

§ 3. Jakie dane osobowe przetwarzamy

Administrator przetwarza następujące kategorie danych osobowych:

Dane Konta:
1. adres e-mail;
2. hasło (przechowywane wyłącznie w postaci nieodwracalnego skrótu kryptograficznego);
3. nazwa Klienta lub nazwa firmy;
4. opcjonalnie — numer NIP (dla Klientów Przedsiębiorców i Przedsiębiorców na prawach Konsumenta) oraz adres do faktury;
5. status oświadczenia o braku zawodowego charakteru Umowy (PnPK);
6. adres IP rejestracji oraz znacznik czasu (timestamp) akceptacji Regulaminu i Polityki;
7. preferencje językowe i ustawienia interfejsu.
Dane rozliczeniowe i płatności:
1. historia zamówień i transakcji;
2. faktury elektroniczne;
3. dane karty płatniczej, ograniczone do: ostatnich 4 cyfr numeru karty, kraju wydania karty, statusu transakcji. Pełne dane karty są przetwarzane wyłącznie przez Operatora Płatności (Stripe) i nie są przechowywane przez Administratora;
4. status subskrypcji, w tym daty płatności, kwoty i waluta.
Dane korzystania z Usługi:
1. log każdego zapytania API: znacznik czasu, adres URL endpointu, status odpowiedzi, identyfikator Klucza API (zabezpieczony skrót), adres IP zapytania, nagłówek User-Agent;
2. agregowane statystyki użycia, służące do rozliczeń i ochrony przed nadużyciami;
3. logi bezpieczeństwa (próby ataku, podejrzane wzorce ruchu, błędne logowania).
Dane komunikacji z Administratorem:
1. treść wiadomości e-mail przesłanych do Administratora i odpowiedzi Administratora;
2. metadane komunikacji (data, adres e-mail).
Dane marketingowe (newsletter) — przetwarzane wyłącznie w przypadku wyrażenia odrębnej zgody:
1. adres e-mail;
2. status zgody (data wyrażenia, data potwierdzenia w double opt-in, data ewentualnego cofnięcia);
3. metadane wysyłki (otwarcia, kliknięcia w linki — w zakresie udostępnianym przez dostawcę usługi e-mail).
Cookies i podobne technologie — szczegółowo w § 7 Polityki.

Administrator nie przetwarza danych wrażliwych w rozumieniu art. 9 RODO (dane o zdrowiu, pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych, przynależności do związków zawodowych, danych genetycznych, biometrycznych, dotyczących seksualności).

§ 4. Cele i podstawy prawne przetwarzania

Administrator przetwarza dane osobowe w następujących celach i na następujących podstawach prawnych:

Wykonanie Umowy — art. 6 ust. 1 lit. b RODO:
1. utworzenie i prowadzenie Konta;
2. udostępnianie Usługi (dostęp do API, panelu zarządzania, dokumentacji);
3. zarządzanie Kluczami API, Planem, Limitami Użycia, Spend Cap;
4. obsługa płatności i rozliczeń;
5. komunikacja związana z wykonaniem Umowy (potwierdzenia, faktury, alerty rozliczeniowe).
Okres przetwarzania: do czasu rozwiązania Umowy oraz przez 90 dni archiwizacji Konta po jej rozwiązaniu.
Realizacja obowiązków prawnych — art. 6 ust. 1 lit. c RODO:
1. wystawianie i przechowywanie faktur (5 lat zgodnie z przepisami podatkowymi);
2. obsługa reklamacji i odstąpień od Umowy;
3. odpowiedź na żądania uprawnionych organów (sąd, prokuratura, organ podatkowy, organ ścigania).
Okres przetwarzania: zgodnie z obowiązkiem prawnym (5 lat dla faktur i dokumentów księgowych; krócej dla pozostałych danych).
Prawnie uzasadniony interes Administratora — art. 6 ust. 1 lit. f RODO:
1. ochrona przed nadużyciami, fraudem, naruszeniami AUP, atakami na Usługę (w tym fingerprinting i analiza wzorców ruchu);
2. monitorowanie bezpieczeństwa Usługi i wykrywanie incydentów;
3. dochodzenie i obrona przed roszczeniami;
4. obsługa korespondencji i kontaktu z Klientem;
5. agregowane analityki służące rozwojowi Usługi (bez identyfikacji konkretnych Klientów);
6. marketing własnych produktów i usług w stosunku do istniejących Klientów (bez wykorzystania kanału newslettera, dla którego wymagana jest odrębna zgoda).
Okres przetwarzania: logi API i bezpieczeństwa — 90 dni; logi prób ataku — 12 miesięcy; pozostałe dane przez okres niezbędny do realizacji uzasadnionego interesu, nie dłużej niż 5 lat od ostatniej aktywności Klienta.
Zgoda Klienta — art. 6 ust. 1 lit. a RODO oraz art. 10 ust. 1-2 ustawy o świadczeniu usług drogą elektroniczną i art. 172 Prawa telekomunikacyjnego:
1. wysyłka newslettera i informacji handlowych Administratora drogą elektroniczną;
2. opcjonalne cookies nieesencjalne (jeżeli Administrator wprowadzi taki mechanizm w przyszłości).
Okres przetwarzania: do cofnięcia zgody. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano przed jej cofnięciem.

§ 5. Newsletter i komunikacja marketingowa

Administrator wysyła Klientom informacje o nowych funkcjonalnościach Usługi, zmianach w Regulaminie, ważnych zdarzeniach operacyjnych oraz okazjonalnie informacje handlowe (nowe Plany, promocje, treści produktowe).
Komunikacja transakcyjna związana z wykonaniem Umowy (potwierdzenia rejestracji, faktury, alerty rozliczeniowe, powiadomienia o zmianach Regulaminu) jest wysyłana niezależnie od zgody na newsletter — stanowi wykonanie Umowy.
Newsletter (informacje handlowe, marketing) jest wysyłany wyłącznie po wyrażeniu przez Klienta odrębnej zgody w trybie double opt-in:
1. zaznaczenie checkboxa zgody na newsletter w trakcie rejestracji lub w panelu zarządzania (checkbox niezaznaczony domyślnie, opcjonalny);
2. potwierdzenie zgody przez kliknięcie w link wysłany na adres e-mail Klienta.
Klient może w każdej chwili cofnąć zgodę na newsletter:
1. klikając w link "wypisz" (unsubscribe) zawarty w stopce każdej wiadomości — cofnięcie zgody nie wymaga zalogowania;
2. wyłączając opcję newslettera w panelu zarządzania;
3. przesyłając żądanie cofnięcia zgody na adres wskazany w § 2 ust. 2.
Cofnięcie zgody jest dla Klienta nieodpłatne i nie powoduje konsekwencji wobec dalszego korzystania z Usługi.

§ 6. Subprocesorzy (podmioty przetwarzające)

Administrator powierza przetwarzanie danych osobowych następującym podmiotom (Subprocesorom), wyłącznie w zakresie niezbędnym do świadczenia Usługi:

Subprocesor	Cel przetwarzania	Lokalizacja przetwarzania	Podstawa transferu poza EOG
Railway Corp. (USA)	Hosting aplikacji, baza danych Postgres (Konta, Klucze API, billing, logi), Redis	Serwery w regionie UE (`europe-west4`); dostęp z USA	Standardowe Klauzule Umowne (SCC)
Backblaze, Inc. (USA)	Zdalny backup bazy danych	USA	SCC
Microsoft Corporation (USA, EU) — usługa OneDrive	Lokalny backup bazy danych Administratora	USA / UE	SCC
Stripe Payments Europe, Limited (Irlandia) i Stripe, Inc. (USA)	Obsługa płatności, billing, faktury, dane karty	Irlandia, USA	SCC + EU-U.S. Data Privacy Framework
Resend, Inc. (USA)	Wysyłka wiadomości e-mail (transakcyjnych i newslettera)	USA	SCC
Cloudflare, Inc. (USA)	CDN, ochrona DDoS — przetwarza adres IP i nagłówki zapytań HTTP	Globalna sieć Edge, dostęp z USA	SCC
Functional Software, Inc. (Sentry) (USA)	Monitoring błędów aplikacji oraz przyjmowanie zgłoszeń użytkowników w aplikacji — logi błędów mogą zawierać identyfikator Klienta, adres IP, fragmenty zapytań; zgłoszenia wysłane przez wbudowany przycisk „Zgłoś problem" zawierają treść komentarza Klienta oraz, jeśli Klient dobrowolnie poda, imię i adres email	USA	SCC

Aktualną listę Subprocesorów Administrator prowadzi pod adresem https://quizbase.runriva.com/legal/subprocessors. Administrator zobowiązuje się do informowania Klientów o dodaniu nowego Subprocesora z wyprzedzeniem co najmniej 14 dni, za pośrednictwem poczty elektronicznej oraz aktualizacji listy.
Niektórzy Subprocesorzy mają siedzibę w państwach trzecich (poza Europejskim Obszarem Gospodarczym), w szczególności w Stanach Zjednoczonych. Transfer danych do tych państw odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską oraz, w przypadku Stripe, na podstawie EU-U.S. Data Privacy Framework. Administrator dokłada starań, aby Subprocesorzy zapewniali odpowiedni poziom ochrony danych osobowych.

§ 7. Cookies i podobne technologie

Usługa wykorzystuje pliki cookies oraz podobne technologie (localStorage, sessionStorage) wyłącznie w zakresie niezbędnym do świadczenia Usługi.
Administrator stosuje następujące rodzaje plików cookies:

Rodzaj	Cel	Czas życia	Kategoria
`qb_session`	Sesja zalogowanego Klienta	Sesja przeglądarki / 30 dni (z opcją "zapamiętaj mnie")	Niezbędny
`qb_csrf`	Ochrona przed atakami CSRF	Sesja przeglądarki	Niezbędny
`qb_lang`	Zapamiętanie wybranego języka interfejsu	1 rok	Preferencyjny
`qb_theme`	Zapamiętanie wybranego motywu (jasny/ciemny)	1 rok	Preferencyjny
`qb_consent`	Zapis preferencji dotyczących cookies	1 rok	Niezbędny

Cookies niezbędne są wykorzystywane bez zgody Klienta, na podstawie art. 173 ust. 3 Prawa telekomunikacyjnego (cookies konieczne do świadczenia usługi telekomunikacyjnej).
W chwili wejścia Polityki w życie Administrator nie wykorzystuje cookies analitycznych ani marketingowych podmiotów trzecich (np. Google Analytics, Meta Pixel). Usługa korzysta wyłącznie z Cloudflare Web Analytics, które nie używa cookies.
Usługa wyświetla banner zgody na cookies (cookie banner) przy pierwszej wizycie, umożliwiający Klientowi akceptację lub odrzucenie kategorii nieesencjalnych. Aktualnie kategoria "Analityczne" jest pusta (zero zewnętrznych cookies). W przyszłości, w razie wprowadzenia analytics lub marketing cookies, będą one wymagały opt-in zgody Klienta, a Polityka zostanie zaktualizowana z wyprzedzeniem co najmniej 14 dni.
Klient może w każdej chwili zmienić swoje preferencje dotyczące cookies klikając link "Preferencje cookies" w stopce serwisu lub w ustawieniach swojej przeglądarki (usuwać istniejące cookies oraz blokować nowe). Zablokowanie cookies niezbędnych może uniemożliwić korzystanie z funkcjonalności Konta.

§ 8. Okresy przechowywania danych

Kategoria danych	Okres przechowywania
Konto aktywne (e-mail, hasło, ustawienia)	Do rozwiązania Umowy
Konto po rozwiązaniu Umowy	90 dni archiwizacji, potem trwałe usunięcie
Faktury i dokumenty księgowe	5 lat od końca roku podatkowego (obowiązek podatkowy)
Logi zapytań API	90 dni
Logi bezpieczeństwa (próby ataku, błędne logowania)	12 miesięcy
Komunikacja e-mail (wiadomości i odpowiedzi)	3 lata od ostatniej wymiany
Zgoda na newsletter	Do cofnięcia zgody; po cofnięciu — 12 miesięcy zachowania zapisu cofnięcia (dowód)
Backupy bazy danych	Rotacja 30 dni dziennych + 12 miesięcznych snapshotów; pełny cykl 12 miesięcy
Dane sporne (postępowania, roszczenia)	Do prawomocnego zakończenia sprawy + okres przedawnienia roszczeń

Po upływie okresu przechowywania dane są trwale usuwane lub anonimizowane.

§ 9. Prawa Klienta

Klientowi przysługują następujące prawa, wynikające z RODO:
1. Prawo dostępu do danych (art. 15) — Klient może zażądać informacji, jakie dane go dotyczą oraz otrzymać kopię tych danych.
2. Prawo do sprostowania (art. 16) — Klient może żądać poprawienia niezgodnych z prawdą lub niekompletnych danych.
3. Prawo do usunięcia ("prawo do bycia zapomnianym", art. 17) — Klient może żądać usunięcia swoich danych w przypadkach przewidzianych prawem (m.in. cofnięcie zgody, dane już niepotrzebne).
4. Prawo do ograniczenia przetwarzania (art. 18) — Klient może żądać ograniczenia przetwarzania w określonych przypadkach.
5. Prawo do przenoszenia danych (art. 20) — Klient może otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie (JSON lub CSV) i przekazać je innemu administratorowi.
6. Prawo do sprzeciwu (art. 21) — Klient może wnieść sprzeciw wobec przetwarzania danych opartego na uzasadnionym interesie (z przyczyn związanych ze szczególną sytuacją) oraz zawsze wobec marketingu bezpośredniego.
7. Prawo do cofnięcia zgody (art. 7 ust. 3) — Klient może w każdej chwili cofnąć udzieloną zgodę. Cofnięcie nie wpływa na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
8. Prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu (art. 22) — Administrator nie stosuje decyzji wyłącznie zautomatyzowanych z istotnym skutkiem prawnym dla Klienta.
Realizacja praw odbywa się poprzez:
1. funkcjonalności panelu zarządzania (eksport, edycja, usunięcie Konta, zarządzanie zgodami);
2. żądanie przesłane na adres e-mail wskazany w § 2 ust. 2.
Administrator odpowiada na żądanie w terminie miesiąca od jego otrzymania. W przypadku skomplikowanych żądań termin może zostać wydłużony o kolejne dwa miesiące, o czym Administrator informuje Klienta.
Realizacja praw jest dla Klienta nieodpłatna. Administrator może odmówić realizacji żądania albo pobrać uzasadnioną opłatę wyłącznie w przypadku żądań ewidentnie nieuzasadnionych lub nadmiernych (art. 12 ust. 5 RODO).
Prawo do skargi — Klient ma prawo wnieść skargę do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych:
- adres: ul. Stawki 2, 00-193 Warszawa;
- strona: https://uodo.gov.pl.
Klient zamieszkały w innym państwie członkowskim Unii Europejskiej może wnieść skargę do organu nadzorczego właściwego dla swojego miejsca zwykłego pobytu.

§ 10. Bezpieczeństwo danych

Administrator stosuje środki techniczne i organizacyjne zapewniające bezpieczeństwo danych osobowych odpowiednie do zidentyfikowanych ryzyk, w szczególności:
1. szyfrowanie transmisji (TLS 1.2+);
2. nieodwracalne hashowanie haseł i Kluczy API (bcrypt);
3. kontrolę dostępu opartą na zasadzie najmniejszych uprawnień;
4. izolację baz danych i aplikacji;
5. cykliczne backupy z weryfikacją możliwości odtworzenia;
6. monitoring incydentów bezpieczeństwa;
7. aktualizacje bezpieczeństwa zależności i infrastruktury.
Administrator nie posiada certyfikatów ISO 27001, SOC 2 ani podobnych. Bezpieczeństwo Usługi opiera się na środkach proporcjonalnych do skali i charakteru działalności jednoosobowej działalności gospodarczej.
W razie incydentu naruszenia ochrony danych osobowych mogącego skutkować ryzykiem dla praw lub wolności Klientów Administrator dokona zgłoszenia incydentu organowi nadzorczemu zgodnie z art. 33 RODO oraz, w razie wysokiego ryzyka, zawiadomi dotkniętych Klientów zgodnie z art. 34 RODO.

§ 11. Decyzje zautomatyzowane i profilowanie

Administrator nie podejmuje wobec Klientów decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, wywołujących wobec Klientów skutki prawne lub w podobny sposób istotnie na nich wpływających.
Mechanizmy automatyczne stosowane przez Administratora (Limity Użycia, Spend Cap, fraud detection oparty na regułach, blokady IP w razie ataków) są oparte na deterministycznych regułach, a nie na profilowaniu w rozumieniu art. 4 pkt 4 RODO.

§ 12. Dzieci

Usługa nie jest skierowana do osób poniżej 16. roku życia.
Administrator nie przetwarza świadomie danych osobowych dzieci poniżej 16. roku życia. W razie powzięcia informacji o przetwarzaniu danych dziecka bez zgody przedstawiciela ustawowego, Administrator niezwłocznie usunie te dane.

§ 13. Klienci spoza Unii Europejskiej

Usługa jest dostępna globalnie. Klient korzystający z Usługi z państwa trzeciego (poza EOG) podlega niniejszej Polityce oraz prawu polskiemu i przepisom RODO w zakresie, w jakim Administrator jest podmiotem odpowiedzialnym (art. 3 RODO).
Klient z państwa trzeciego ma takie same prawa, jak Klient z Unii Europejskiej, opisane w § 9.
Niezależnie od powyższego, w razie istnienia przepisów imperatywnych dotyczących ochrony danych osobowych w państwie zwykłego pobytu Klienta, Administrator dołoży starań, aby je uwzględnić.

§ 14. Zmiany Polityki

Administrator może dokonywać zmian w Polityce z ważnych powodów, w szczególności:
1. zmiany przepisów prawa;
2. zmiany Subprocesorów lub zakresu przetwarzania;
3. wprowadzenia nowych funkcjonalności Usługi;
4. zmian technicznych w infrastrukturze.
O zmianie Polityki Administrator informuje Klientów za pośrednictwem poczty elektronicznej z wyprzedzeniem co najmniej 14 dni przed datą wejścia zmian w życie, oraz przez opublikowanie zmienionej wersji Polityki pod adresem https://quizbase.runriva.com/legal/privacy.
Klient, który nie zgadza się ze zmianą Polityki, może wypowiedzieć Umowę zgodnie z Regulaminem.

§ 15. Postanowienia końcowe

Polityka stanowi załącznik do Regulaminu Usługi.
W sprawach nieuregulowanych w Polityce zastosowanie znajdują postanowienia Regulaminu oraz powszechnie obowiązujące przepisy prawa, w szczególności RODO, ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, ustawa o świadczeniu usług drogą elektroniczną oraz Prawo telekomunikacyjne.
Niniejsza Polityka obowiązuje od dnia 8 maja 2026 r.. Wersja: 1.0.

Koniec Polityki prywatności.