← Strona główna SZOPly

Polityka prywatności

Wersja 1.0 · Obowiązuje od 1 kwietnia 2026 r. · RODO / GDPR

Administrator danych

SZOPLY SP. Z O.O.

NIP

6192066830

KRS

0001228259

Adres

Kryształowa 28, 63-600 Olszowa

E-mail (RODO)

hello@szoply.com

      Niniejsza polityka prywatności opisuje, jakie dane osobowe zbiera i przetwarza SZOPLY SP. Z O.O. jako administrator danych własnych użytkowników platformy SZOPly (klientów SZOPly). Odrębną kwestią jest przetwarzanie danych klientów sklepów internetowych — w tym zakresie SZOPly działa jako podmiot przetwarzający na zlecenie Użytkownika (patrz art. 8).
    

1. Administrator danych osobowych

Administratorem Twoich danych osobowych (danych Użytkowników serwisu SZOPly) jest:

SZOPLY SP. Z O.O.
Kryształowa 28, 63-600 Olszowa
NIP: 6192066830 · KRS: 0001228259
E-mail: hello@szoply.com

Możesz skontaktować się z nami w każdej sprawie dotyczącej przetwarzania Twoich danych osobowych pod adresem e-mail: hello@szoply.com.

2. Jakie dane zbieramy

2.1 Dane konta (Użytkownicy serwisu SZOPly)

Kategoria	Dane	Źródło
Dane identyfikacyjne	Imię i nazwisko lub nazwa firmy	Formularz rejestracyjny
Dane kontaktowe	Adres e-mail	Formularz rejestracyjny
Dane uwierzytelniające	Hash hasła (bcrypt), klucz TOTP 2FA (szyfrowany AES-128), kody zapasowe 2FA (szyfrowane), hash zaufanych urządzeń (SHA-256, ważność 30 dni)	System uwierzytelniania i weryfikacja dwuskładnikowa
Dane płatnicze	Identyfikator subskrypcji Stripe, historia faktur (nie przechowujemy numerów kart)	Stripe (procesor płatności)
Dane techniczne	Adresy IP, czas logowania, logi aktywności, typ urządzenia	Automatycznie przy korzystaniu z serwisu
Dane zespołu	Adresy e-mail zaproszonych członków, rola w zespole (owner/member), data zaproszenia, token potwierdzenia (jednorazowy)	Funkcja "Zespół" — zapraszanie współpracowników do konta

2.2 Dane sklepu (dane techniczne integracji)

W celu synchronizacji danych z platformami e-commerce przechowujemy zaszyfrowane dane dostępowe do API sklepów (klucze API, Consumer Key/Secret). Dane te są szyfrowane algorytmem AES-128 (biblioteka Fernet) i nigdy nie są udostępniane stronom trzecim z wyjątkiem samej platformy sklepowej w trakcie synchronizacji.

2.3 Dane subskrybentów newslettera

Jeśli zapisałeś się na newsletter SZOPly, przetwarzamy: adres e-mail, opcjonalnie imię, datę zapisu i źródło pozyskania.

2.4 Dane z formularza kontaktowego

Imię, adres e-mail, treść wiadomości i data przesłania.

3. Cele i podstawy prawne przetwarzania

Cel przetwarzania	Podstawa prawna (RODO)
Świadczenie usług platformy SZOPly — rejestracja, logowanie, dostęp do funkcji	Art. 6 ust. 1 lit. b — wykonanie umowy
Obsługa płatności, wystawianie faktur, rozliczenia	Art. 6 ust. 1 lit. b i c — wykonanie umowy oraz obowiązek prawny (ustawa o rachunkowości)
Bezpieczeństwo serwisu — wykrywanie nadużyć, logowanie zdarzeń bezpieczeństwa	Art. 6 ust. 1 lit. f — prawnie uzasadniony interes administratora
Komunikacja w sprawie konta (powiadomienia, transakcyjne e-maile)	Art. 6 ust. 1 lit. b — wykonanie umowy
Newsletter (wysyłka informacji marketingowych)	Art. 6 ust. 1 lit. a — zgoda
Obsługa formularza kontaktowego	Art. 6 ust. 1 lit. f — prawnie uzasadniony interes (odpowiedź na zapytanie)
Analiza i doskonalenie serwisu (anonimowe statystyki, Google Analytics 4)	Art. 6 ust. 1 lit. a — zgoda (cookie consent) lub lit. f — prawnie uzasadniony interes (anonimowe dane zbiorcze)
Dochodzenie roszczeń lub obrona przed roszczeniami	Art. 6 ust. 1 lit. f — prawnie uzasadniony interes administratora

4. Okres przechowywania danych

Kategoria danych	Okres przechowywania
Dane konta aktywnego Użytkownika	Do czasu usunięcia konta przez Użytkownika. W przypadku 2 lat braku aktywności (logowania) — powiadomienie email z możliwością przedłużenia. Po 90 dniach bez reakcji konto może zostać usunięte automatycznie.
Dane konta usuniętego (anonimizacja)	Natychmiast po żądaniu usunięcia — dane PII zastępowane przez hash/pseudonim
Dane płatnicze (faktury, historia subskrypcji)	5 lat od zakończenia roku podatkowego (obowiązek podatkowy)
Logi aktywności (ActivityLog)	12 miesięcy od zdarzenia
Logi bezpieczeństwa (SecurityEvent)	24 miesiące od zdarzenia
Logi synchronizacji (SyncLog)	6 miesięcy od zdarzenia
Newsletter — subskrybenci	Do czasu cofnięcia zgody lub 3 lat od ostatniej aktywności
Wiadomości kontaktowe	2 lata od daty przesłania
Dane klientów sklepów (powierzone)	Zgodnie z poleceniem Użytkownika; po rozwiązaniu umowy — 30 dni, następnie trwałe usunięcie
Zaufane urządzenia 2FA	30 dni od ostatniego użycia lub do wylogowania/usunięcia przez Użytkownika
Zaproszenia do zespołu	Do momentu przyjęcia lub 30 dni od wysłania (wygasają automatycznie)
Dane GA4/GSC (integracja Google)	Okres aktywności konta. Po odłączeniu integracji — tokeny usuwane natychmiast, dane zagregowane dostępne do usunięcia konta.

5. Odbiorcy danych i podmioty przetwarzające

Twoje dane mogą być przekazywane wyłącznie zaufanym podmiotom niezbędnym do świadczenia usługi:

Odbiorca	Cel	Kraj	Zabezpieczenia
OVH SAS	Hosting serwerów, infrastruktura VPS, usługa e-mail SMTP	Francja (UE)	Standardowe klauzule umowne UE, RODO
Stripe, Inc.	Przetwarzanie płatności kartą, obsługa subskrypcji	USA	Standard Contractual Clauses, certyfikat PCI DSS Level 1
Anthropic, PBC	Generowanie raportów AI (dane w pełni zanonimizowane przed wysłaniem)	USA	Zero Data Retention (ZDR) — Anthropic nie przechowuje przesłanych danych; zero PII — żadne dane osobowe klientów sklepów nie są przekazywane
InFakt S.A.	Wystawianie faktur VAT dla Użytkowników (dane do faktury: NIP, adres, kwoty)	Polska (UE)	Umowa powierzenia RODO, dane przetwarzane wyłącznie w UE
Google LLC	Google Analytics 4 (statystyki ruchu — anonimowe), opcjonalnie Google Search Console	USA	Standard Contractual Clauses, anonimizacja IP

Nie sprzedajemy, nie wynajmujemy ani nie udostępniamy Twoich danych osobowych w celach marketingowych stronom trzecim.

Dane mogą być ujawnione organom państwowym wyłącznie na podstawie prawnie wiążącego nakazu lub przepisu prawa.

5b. Integracja z Google Analytics i Google Search Console

SZOPly umożliwia Użytkownikom opcjonalne połączenie konta Google w celu importu danych analitycznych z Google Analytics 4 (GA4) oraz Google Search Console (GSC). Integracja odbywa się za pośrednictwem protokołu OAuth 2.0 i wymaga Twojej wyraźnej zgody.

Jakie dane pobieramy z Twojego konta Google

Źródło	Zakres danych	Cel
Google Analytics 4	Liczba sesji, użytkowników, odsłon, współczynnik odrzuceń, źródła ruchu, dane geograficzne (kraj/miasto) — w formie zagregowanej, bez danych osobowych pojedynczych odwiedzających	Wzbogacenie analityki sklepu: korelacja ruchu na stronie z danymi sprzedażowymi, wskaźnik konwersji, analiza skuteczności kampanii reklamowych
Google Search Console	Frazy wyszukiwania (queries), wyświetlenia, kliknięcia, średnia pozycja, CTR — zagregowane dane organicznego ruchu z wyszukiwarki Google	Analiza SEO: identyfikacja fraz o wysokim potencjale, optymalizacja treści, rekomendacje SEO Quick Wins

Uprawnienia OAuth (zakresy / scopes)

Podczas autoryzacji prosimy wyłącznie o uprawnienia tylko do odczytu:

https://www.googleapis.com/auth/analytics.readonly — odczyt danych GA4 (bez możliwości modyfikacji konfiguracji Analytics)
https://www.googleapis.com/auth/webmasters.readonly — odczyt danych Search Console (bez możliwości modyfikacji ustawień witryny)

Nigdy nie żądamy uprawnień do zapisu, usuwania ani modyfikacji danych w Twoim koncie Google Analytics ani Search Console.

Jak przechowujemy dane z Google

Tokeny dostępu (access_token, refresh_token) — przechowywane w bazie danych w formie zaszyfrowanej (Fernet AES-128). Używane wyłącznie do automatycznego odświeżania danych. Nigdy nie są udostępniane stronom trzecim.
Dane analityczne — przechowywane w bazie danych SZOPly wyłącznie w formie zagregowanej (dzienne podsumowania). Nie przechowujemy surowych logów ani danych osobowych odwiedzających Twojego sklepu.
Okres przechowywania — dane analityczne z GA4/GSC przechowujemy przez okres aktywności Twojego konta w SZOPly. Po usunięciu konta dane są trwale usuwane w ciągu 30 dni.

Komu udostępniamy dane z Google

Nikomu. Dane z Twojego konta Google Analytics i Search Console:

Nie są sprzedawane ani wynajmowane
Nie są udostępniane stronom trzecim w celach marketingowych
Nie są przekazywane do systemów AI — raporty AI korzystają wyłącznie z zagregowanych metryk (liczba sesji, bounce rate), nigdy z surowych danych GA4
Są widoczne wyłącznie dla Ciebie (właściciela konta SZOPly) i członków Twojego zespołu

Odłączenie integracji Google

Możesz w każdej chwili odłączyć integrację z Google w panelu SZOPly: Ustawienia → Integracje → Google Analytics → Odłącz. Po odłączeniu:

Tokeny dostępu są natychmiast usuwane z naszej bazy danych
Historyczne dane analityczne pozostają w Twoim koncie SZOPly (chyba że zażądasz ich usunięcia)
Możesz dodatkowo cofnąć dostęp w ustawieniach konta Google: myaccount.google.com/permissions

Zgodność z polityką Google API Services

Korzystanie z danych Google API przez SZOPly jest zgodne z Google API Services User Data Policy, w tym z wymaganiami dotyczącymi Limited Use. Dostęp do danych Google jest ograniczony do funkcji opisanych powyżej i nie jest wykorzystywany w żadnym innym celu.

6. Twoje prawa

Przysługują Ci następujące prawa (RODO Art. 15–22)

Prawo dostępu (Art. 15) — możesz zażądać informacji, jakie Twoje dane przetwarzamy oraz kopii tych danych.
Prawo do sprostowania (Art. 16) — możesz żądać poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
Prawo do usunięcia (Art. 17) — możesz zażądać usunięcia konta i danych osobowych. Realizujemy to przez anonimizację danych (nie możemy usunąć zapisów niezbędnych do celów podatkowych).
Prawo do ograniczenia przetwarzania (Art. 18) — w określonych przypadkach możesz żądać zawieszenia przetwarzania danych.
Prawo do przenoszenia danych (Art. 20) — możesz otrzymać swoje dane w formacie CSV/JSON i przenieść je do innego dostawcy.
Prawo do sprzeciwu (Art. 21) — masz prawo sprzeciwić się przetwarzaniu na podstawie prawnie uzasadnionego interesu (np. newsletter, analityka).
Cofnięcie zgody — jeśli przetwarzanie opiera się na Twojej zgodzie (np. newsletter, cookies analityczne), możesz ją w każdej chwili cofnąć bez wpływu na zgodność przetwarzania przed cofnięciem.

Jak skorzystać z praw

Wyślij wiadomość na adres hello@szoply.com z tematem "RODO — [Twoje żądanie]". Odpowiemy w ciągu 30 dni od otrzymania żądania.

Usunięcie konta jest dostępne bezpośrednio w panelu użytkownika: Ustawienia → Konto → Usuń konto.

Prawo do skargi

Jeśli uważasz, że przetwarzamy Twoje dane niezgodnie z prawem, masz prawo złożyć skargę do organu nadzorczego:

Prezes Urzędu Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warszawa
www.uodo.gov.pl

7. Pliki cookies i technologie śledzące

7.1 Czym są cookies

Cookies to niewielkie pliki tekstowe zapisywane na Twoim urządzeniu przez przeglądarkę internetową. Używamy ich do prawidłowego funkcjonowania serwisu i analizy ruchu.

7.2 Rodzaje cookies, które stosujemy

Typ	Identyfikator	Cel	Czas ważności	Zgoda wymagana
Niezbędne	`token`, `refresh_token`	Sesja użytkownika, tokeny JWT do uwierzytelniania	Sesja / 7 dni	Nie — konieczne do działania serwisu
Analityczne	`_ga`, `_ga_*`, `_gid`	Google Analytics 4 — statystyki ruchu, zachowania użytkowników (IP anonimizowane)	2 lata (_ga), 24h (_gid)	Tak — wymagana zgoda
Analityczne (Umami)	brak cookies	Umami — self-hosted analityka szoply.com. Nie stosuje cookies ani identyfikatorów przeglądarki. Dane w pełni anonimowe (liczba odsłon, źródła ruchu, kraj). Serwer w UE (OVH).	nie dotyczy	Nie — technologia bezplikowa (cookieless)
Funkcjonalne	`szoply_theme`, `szoply_shop`, `cookie_consent`, `szoply_device`	Zapamiętywanie preferencji UI (dark mode, wybrany sklep, zgoda cookie) oraz zaufane urządzenie 2FA (szoply_device — httpOnly, 30 dni)	30 dni	Nie — wynikają z działania aplikacji

7.3 Zarządzanie cookies

Przy pierwszej wizycie w serwisie wyświetlamy baner z możliwością wyboru zgody na cookies analityczne. Możesz zmienić swoją decyzję w każdej chwili:

Klikając link "Zarządzaj cookies" w stopce strony
Zmieniając ustawienia przeglądarki (usunięcie cookies spowoduje wylogowanie z serwisu)

Serwis SZOPly nie stosuje cookies reklamowych (remarketingowych) ani nie udostępnia danych reklamodawcom.

8. Powierzenie przetwarzania danych klientów sklepów

Ważna informacja o podwójnej roli:
W zakresie własnych danych Użytkowników (klientów SZOPly) — SZOPly jest administratorem.
W zakresie danych klientów sklepów internetowych synchronizowanych przez platformę — SZOPly jest podmiotem przetwarzającym na zlecenie Użytkownika (administratora danych klientów sklepu).

Użytkownik jako administrator danych swoich klientów

Jeśli prowadzisz sklep internetowy i integrujesz go z SZOPly, dane Twoich klientów (imię, nazwisko, adres, e-mail, historia zamówień) są synchronizowane do platformy SZOPly wyłącznie w celu świadczenia usługi analitycznej. W tym zakresie:

Ty (Użytkownik) jesteś administratorem danych klientów swojego sklepu w rozumieniu Art. 4 pkt 7 RODO.
SZOPly jest podmiotem przetwarzającym w rozumieniu Art. 4 pkt 8 RODO i przetwarza te dane wyłącznie zgodnie z Twoimi poleceniami.
Szczegóły umowy powierzenia przetwarzania danych (DPA) zawarte są w §9 Regulaminu SZOPly, który stanowi wiążącą umowę powierzenia w rozumieniu Art. 28 RODO. Akceptacja Regulaminu jest równoznaczna z zawarciem tej umowy.

Zabezpieczenia danych klientów sklepów

Szyfrowanie PII w bazie danych — algorytm AES-128 (biblioteka Fernet/AES-CBC z HMAC-SHA256)
Dane klientów sklepów są w pełni zanonimizowane przed wysłaniem do AI (Anthropic) — platforma widzi wyłącznie zagregowane statystyki
Dostęp do danych tylko dla zalogowanego Użytkownika-właściciela (izolacja multi-tenant)
Brak dostępu pracowników SZOPly do danych klientów sklepów bez wyraźnego zlecenia serwisowego

9. Bezpieczeństwo danych

Stosujemy następujące środki techniczne i organizacyjne w celu ochrony danych:

Szyfrowanie transmisji — TLS 1.2/1.3 (HTTPS) na całej platformie (HSTS)
Szyfrowanie danych PII w bazie — AES-128 (Fernet/AES-CBC) dla wybranych kategorii danych osobowych klientów sklepów; kopie zapasowe bazy danych szyfrowane AES-256-CBC
Hasła — przechowywane wyłącznie jako hash bcrypt; SZOPly nie zna Twoich haseł
Uwierzytelnianie dwuskładnikowe (2FA) — dostępne dla wszystkich Użytkowników. Metody: TOTP (Google Authenticator) lub kod email. Klucze TOTP i kody zapasowe szyfrowane AES-128 (Fernet). Opcja "zapamiętaj urządzenie" tworzy zaszyfrowany cookie na 30 dni (SHA-256 hash, httpOnly).
Tokeny JWT — krótkotrwałe tokeny dostępu (15 min) + tokeny odświeżania (7 dni) z możliwością unieważnienia
Rate limiting — ograniczenie liczby prób logowania i operacji API
Logi bezpieczeństwa — rejestrowanie nieudanych logowań, podejrzanych aktywności
Kopie zapasowe — codzienne szyfrowane backupy bazy danych (AES-256-CBC)
Infrastruktura — serwery w centrum danych OVH (Francja, ISO 27001, certyfikat SOC 2)

W przypadku naruszenia bezpieczeństwa danych osobowych (breach) poinformujemy Cię i organ nadzorczy (UODO) w terminie 72 godzin od wykrycia, zgodnie z Art. 33–34 RODO.

10. Zmiany polityki prywatności

Zastrzegamy prawo do zmiany niniejszej polityki prywatności. O każdej istotnej zmianie poinformujemy Cię:

Poprzez komunikat w panelu użytkownika (po zalogowaniu)
Drogą mailową na adres powiązany z Twoim kontem — z co najmniej 14-dniowym wyprzedzeniem

Bieżąca wersja polityki jest zawsze dostępna pod adresem: app.szoply.com/polityka-prywatnosci/

Data ostatniej aktualizacji: 1 kwietnia 2026 r.

11. Kontakt w sprawach prywatności

W przypadku pytań, żądań lub wątpliwości dotyczących przetwarzania danych osobowych skontaktuj się z nami:

E-mail	hello@szoply.com (temat: RODO)
Adres pocztowy	SZOPLY SP. Z O.O., Kryształowa 28, 63-600 Olszowa
Czas odpowiedzi	Do 30 dni od otrzymania żądania (Art. 12 ust. 3 RODO)

Regulamin · Polityka prywatności · Kontakt