Przejdź do treści
Plutario
Zacznij za darmo

Polityka prywatności

Ostatnia aktualizacja: 2026-04-08 · wersja 2.0.0

1. Administrator danych

Administratorem Twoich danych osobowych jest Kacper Czarczyński Dreaming Software (jednoosobowa działalność gospodarcza), z siedzibą pod adresem ul. Władysława Broniewskiego 24A/142, 01-771 Warszawa, NIP: 5252935425, REGON: 523925339, wpis do rejestru: wpis do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) (dalej: „my", „nas", „Administrator"). Kontakt w sprawach ochrony danych: contact@plutario.pl.

Administrator nie wyznaczył inspektora ochrony danych (IOD) — ze względu na charakter i skalę przetwarzania nie jest to wymagane przez art. 37 RODO. We wszystkich sprawach dotyczących danych osobowych prosimy kierować zapytania na adres podany powyżej. Odpowiadamy w terminie do 30 dni od otrzymania żądania (art. 12 ust. 3 RODO).

2. Jakie dane zbieramy

W ramach korzystania z usługi Plutario przetwarzamy następujące kategorie danych:

  • Dane rejestracyjne: adres e-mail oraz imię (jeśli zostało podane).
  • Dane uwierzytelniania: dane dostarczane przez dostawców OAuth (Google, GitHub, Microsoft) — nie przechowujemy haseł. Sesje logowania zarządzane są przez self-hosted Keycloak.
  • Dane finansowe: budżety, konta finansowe, transakcje, kategorie — wprowadzane przez Ciebie ręcznie lub importowane z plików CSV. Dane te uznajemy za wrażliwe i obejmujemy szczególną ochroną, mimo że formalnie nie są danymi szczególnej kategorii w rozumieniu art. 9 RODO.
  • Dane techniczne: adres IP, typ przeglądarki, system operacyjny, identyfikator sesji — zbierane automatycznie w celach bezpieczeństwa i diagnostyki.
  • Dane o lokalizacji: przybliżony kraj na podstawie adresu IP — wyłącznie w celach analityki zagregowanej (Cloudflare Web Analytics).
  • Dane analityczne: anonimowe statystyki użytkowania zbierane przez Cloudflare Web Analytics (bez cookies, bez śledzenia między stronami, bez odcisku palca przeglądarki).
  • Dane rozliczeniowe: przy zakupie subskrypcji — imię i nazwisko, adres e-mail, dane do faktury (jeżeli zostaną podane). Dane karty płatniczej nie są przez nas przechowywane — przetwarza je wyłącznie Stripe.

3. Cele i podstawy prawne przetwarzania

Przetwarzamy Twoje dane na następujących podstawach prawnych (art. 6 RODO):

  • Wykonanie umowy (art. 6 ust. 1 lit. b): świadczenie usługi Plutario, utworzenie i utrzymanie Konta, obsługa Subskrypcji, obsługa reklamacji i odstąpień, komunikacja transakcyjna.
  • Obowiązek prawny (art. 6 ust. 1 lit. c): wypełnianie obowiązków podatkowych, rachunkowych (ustawa o rachunkowości — przechowywanie dokumentów księgowych przez 5 lat), obsługa praw osób, których dane dotyczą (RODO).
  • Prawnie uzasadniony interes (art. 6 ust. 1 lit. f): zapewnienie bezpieczeństwa Usługi, zapobieganie nadużyciom i oszustwom, analityka zagregowana (Cloudflare Web Analytics), dochodzenie lub obrona przed roszczeniami, wewnętrzne raportowanie i statystyki.
  • Zgoda (art. 6 ust. 1 lit. a): komunikacja marketingowa (jeśli wyrazisz zgodę). Zgodę możesz w każdej chwili wycofać bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.

Zautomatyzowane podejmowanie decyzji i profilowanie

W ramach funkcji importu CSV Usługa automatycznie sugeruje kategorie dla importowanych transakcji na podstawie ich opisu (dopasowanie słownikowe). Jest to profilowanie w rozumieniu art. 4 pkt 4 RODO, jednak nie wywołuje wobec Ciebie skutków prawnych ani nie wpływa istotnie na Twoją sytuację — sugestia jest wyłącznie propozycją, którą możesz zaakceptować lub zmienić. Nie stosujemy zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO.

4. Odbiorcy danych i podmioty przetwarzające

Twoje dane mogą być udostępniane następującym odbiorcom / podmiotom przetwarzającym:

  • Stripe Payments Europe, Ltd. (siedziba: Dublin, Irlandia; spółka matka: Stripe, Inc., USA) — obsługa płatności i subskrypcji. Stripe jest samodzielnym administratorem danych płatniczych. Dane przetwarzane zgodnie z PCI DSS. Transfer do USA odbywa się na podstawie decyzji Komisji Europejskiej z dnia 10 lipca 2023 r. o adekwatności ochrony zapewnianej przez EU-US Data Privacy Framework (Stripe, Inc. jest aktywnym uczestnikiem DPF) oraz standardowych klauzul umownych (SCC) jako mechanizmu uzupełniającego.
  • Cloudflare, Inc. (USA) — CDN, WAF, ochrona DDoS, analityka webowa (Cloudflare Web Analytics). Transfer do USA odbywa się na podstawie EU-US Data Privacy Framework (Cloudflare jest aktywnym uczestnikiem DPF) oraz SCC jako mechanizmu uzupełniającego.
  • Hetzner Online GmbH (Niemcy, EOG) — hosting serwerów produkcyjnych (VPS), na których uruchomiona jest aplikacja Plutario oraz baza danych. Wszystkie dane finansowe i dane Konta są przechowywane wyłącznie na serwerach zlokalizowanych w Unii Europejskiej.
  • Keycloak — oprogramowanie open-source do uwierzytelniania, uruchomione na infrastrukturze Administratora (self-hosted na serwerach Hetzner w UE). Nie jest osobnym podmiotem przetwarzającym — stanowi narzędzie Administratora.
  • Dostawca usługi SMTP — do wysyłki wiadomości transakcyjnych (potwierdzenia zamówień, resetowanie hasła, powiadomienia). Szczegółowa informacja o aktualnym dostawcy SMTP oraz lokalizacji jego serwerów dostępna jest na żądanie pod adresem contact@plutario.pl.
  • Dostawcy OAuth (Google, GitHub, Microsoft) — jeżeli wybierzesz logowanie przez dostawcę zewnętrznego, odbiorca uzyskuje wyłącznie informację o fakcie logowania oraz przekazuje nam Twój identyfikator i adres e-mail. Zasady przetwarzania danych przez tych dostawców określają ich własne polityki prywatności.
  • Biuro rachunkowe — w zakresie dokumentów księgowych (faktur) wymaganych przepisami prawa podatkowego.

Z każdym podmiotem przetwarzającym Administrator zawarł umowę powierzenia przetwarzania danych osobowych zgodną z art. 28 RODO.

5. Współadministrowanie — funkcja współdzielenia budżetu

W planach Standard i Premium możesz zaprosić inne osoby do wspólnego budżetu. W zakresie danych przetwarzanych w ramach współdzielonego budżetu (transakcje, kategorie, konta finansowe), Ty i pozostali uczestnicy budżetu stajecie się współadministratorami w rozumieniu art. 26 RODO. Podział odpowiedzialności:

  • Właściciel budżetu — decyduje o celach i sposobach przetwarzania w ramach budżetu, zarządza uczestnikami, może w każdej chwili odwołać dostęp.
  • Uczestnicy budżetu — mają dostęp do danych budżetu w zakresie nadanych uprawnień; mogą wprowadzać i modyfikować transakcje.
  • Administrator (Plutario) — zapewnia infrastrukturę techniczną i bezpieczeństwo, realizuje żądania osób, których dane dotyczą, we współpracy z Właścicielem budżetu.

Pełna treść uzgodnień współadministrowania udostępniana jest na żądanie pod adresem contact@plutario.pl. Niezależnie od uzgodnień, osoba, której dane dotyczą, może wykonywać swoje prawa wobec każdego ze współadministratorów.

6. Przechowywanie danych

  • Dane Konta: przechowywane przez cały okres korzystania z Usługi. Po usunięciu Konta dane są trwale usuwane bez zbędnej zwłoki, nie później niż w ciągu 30 dni.
  • Dane finansowe (budżety, transakcje): usuwane wraz z Kontem lub na Twoje żądanie (eksport + usunięcie).
  • Dane rozliczeniowe (faktury): przechowywane przez 5 lat od końca roku obrachunkowego (art. 74 ustawy o rachunkowości).
  • Dane do dochodzenia/obrony roszczeń: przechowywane przez okres przedawnienia roszczeń (zwykle do 6 lat od zakończenia umowy).
  • Logi techniczne i bezpieczeństwa: przechowywane do 90 dni.
  • Dane z obsługi reklamacji i odstąpień: przechowywane przez 3 lata od zakończenia sprawy.

7. Bezpieczeństwo danych

Stosujemy następujące środki techniczne i organizacyjne (art. 32 RODO):

  • Szyfrowanie wszystkich połączeń za pomocą TLS 1.3.
  • Przechowywanie danych produkcyjnych na serwerach w Unii Europejskiej (Hetzner, Niemcy).
  • Uwierzytelnianie OAuth 2.0 / OpenID Connect przez Keycloak.
  • Regularne kopie zapasowe bazy danych, przechowywane w lokalizacji w EOG.
  • Ograniczanie dostępu do danych zgodnie z zasadą najmniejszych uprawnień.
  • Monitorowanie i alarmowanie incydentów bezpieczeństwa.
  • Pseudonimizacja i minimalizacja danych w logach technicznych — nie zapisujemy kwot transakcji, adresów e-mail ani treści żądań HTTP do logów aplikacyjnych.

8. Twoje prawa (RODO)

Jako osoba, której dane dotyczą, masz prawo do:

  • Dostępu (art. 15 RODO) — uzyskania informacji o przetwarzanych danych oraz ich kopii.
  • Sprostowania (art. 16 RODO) — poprawienia nieprawidłowych lub niekompletnych danych.
  • Usunięcia / „prawa do bycia zapomnianym" (art. 17 RODO) — żądania usunięcia danych, z zastrzeżeniem obowiązków prawnych Administratora (np. przechowywanie dokumentów księgowych).
  • Przenoszenia (art. 20 RODO) — pobrania danych w formacie czytelnym dla komputera (funkcja eksportu w aplikacji).
  • Ograniczenia przetwarzania (art. 18 RODO) — w określonych sytuacjach.
  • Sprzeciwu (art. 21 RODO) — wobec przetwarzania opartego na prawnie uzasadnionym interesie, w tym analityki.
  • Cofnięcia zgody (art. 7 ust. 3 RODO) — w każdym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
  • Złożenia skargi do organu nadzorczego (art. 77 RODO) — Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Aby skorzystać z powyższych praw, skontaktuj się z nami: contact@plutario.pl. Odpowiadamy w terminie do 30 dni od otrzymania żądania. W uzasadnionych przypadkach (złożoność żądania) termin może zostać przedłużony o kolejne 60 dni — o czym poinformujemy.

9. Pliki cookie

Strona plutario.pl korzysta z Cloudflare Web Analytics, które nie używa plików cookie i nie śledzi użytkowników między stronami. Aplikacja app.plutario.pl używa wyłącznie cookies niezbędnych do działania usługi (sesja, uwierzytelnianie). Szczegóły w polityce cookies.

10. Przekazywanie danych poza EOG

Co do zasady, Twoje dane są przechowywane i przetwarzane wyłącznie na serwerach w Unii Europejskiej (Hetzner, Niemcy). W zakresie, w jakim korzystamy z usług Stripe i Cloudflare, dane mogą być przetwarzane również w Stanach Zjednoczonych — wówczas transfer odbywa się na podstawie decyzji wykonawczej Komisji Europejskiej (UE) 2023/1795 z dnia 10 lipca 2023 r. stwierdzającej odpowiedni stopień ochrony danych osobowych zapewniany przez EU-US Data Privacy Framework. Oba podmioty są aktywnymi uczestnikami DPF. Jako mechanizm uzupełniający stosowane są standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską.

Listę uczestników DPF możesz sprawdzić pod adresem dataprivacyframework.gov.

11. Zmiany polityki prywatności

Zastrzegamy sobie prawo do aktualizacji niniejszej polityki. O istotnych zmianach poinformujemy z co najmniej 14-dniowym wyprzedzeniem za pośrednictwem e-maila lub komunikatu w aplikacji. Data ostatniej aktualizacji oraz numer wersji widoczne są na górze strony.