SIMtrix
S
SIMtrix
ZalogujWypróbuj za darmo

Polityka Prywatności SIMtrix

Wersja 1.0 · Obowiązuje od 16 marca 2026 · Ostatnia aktualizacja: 16 marca 2026

POLITYKA PRYWATNOŚCI SIMTRIX

Wersja: 1.0
Data wejścia w życie: 16 marca 2026
Ostatnia aktualizacja: 16 marca 2026

1. ADMINISTRATOR DANYCH OSOBOWYCH

Administratorem danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: RODO) jest:

ANTENA sp. z o.o.
ul. Działdowska 16
81-208 Gdynia
Polska

2. WPROWADZENIE

Niniejsza Polityka Prywatności opisuje, w jaki sposób SIMtrix (dalej: „my", „nas", „nasz"), operator serwisu dostępnego pod adresem https://simtrix.app (dalej: „Serwis"), przetwarzamy dane osobowe użytkowników (dalej: „Wy", „Użytkownik", „Podmiot danych").

2.1 Czym jest SIMtrix?

SIMtrix to nowoczesna platforma SaaS (Software as a Service) stanowiąca techniczny pomost (bridge) łączący fizyczną kartę SIM w telefonie Android z systemem CRM Bitrix24. Platforma umożliwia:

  • Wykonywanie i odbieranie połączeń telefonicznych z poziomu Bitrix24 przez prawdziwą kartę SIM (bez VoIP)
  • Wysyłanie i odbieranie SMS-ów z poziomu Bitrix24
  • Dwukierunkową komunikację z logowaniem interakcji w Bitrix24
  • Nagrywanie rozmów telefonicznych (opcjonalnie)
  • Integrację z aplikacją mobilną na Androidzie

2.2 Zasada "Bridge not Storage"

Kluczowa zasada ochrony danych w SIMtrix: Nie jesteśmy dostawcą usług przechowywania danych. SIMtrix pełni wyłącznie rolę technicznego mostu (bridge) pomiędzy:

  • Aplikacją mobilną Android (zawierającą kartę SIM)
  • Systemem CRM Bitrix24 (właściwym miejscem przechowywania danych biznesowych)
  • Systemami telekomunikacyjnymi (operatorami sieci)

Treści SMS i nagrania rozmów są przesyłane poprzez naszą infrastrukturę tymczasowo i tran­zytem. Nie przechowujemy ich jako długoterminowe archiwa. Po przekazaniu do Bitrix24, odpowiedzialność za przechowywanie i ochronę tych danych przechodzi na klienta (patrz sekcja 5 poniżej).

3. JAKIE DANE PRZETWARZAMY?

3.1 Dane Konta Klienta (Tenant)

Przetwarzamy następujące dane na etapie rejestracji i zarządzania kontem:

  • Nazwa firmy/organizacji
  • Domena Bitrix24
  • Email kontaktowy (administratora)
  • Numer telefonu (opcjonalnie)
  • Kraj/lokalizacja
  • Dane rozliczeniowe (jeśli to dotyczy)

Podstawa prawna: Wykonanie umowy o świadczenie usług SaaS (art. 6 ust. 1 lit. b RODO)

Cel: Świadczenie usługi, zarządzanie kontem, rozliczenia, obsługa klienta

3.2 Dane Użytkowników Bitrix24 (synchronizacja)

Na polecenie administratora konta SIMtrix, synchronizujemy z Bitrix24 dane użytkowników przypisanych do obsługi połączeń i SMS-ów:

  • Imię i nazwisko
  • Numer wewnętrzny w Bitrix24
  • Unikalny identyfikator użytkownika (User ID)
  • Email biznesowy
  • Informacja o przypisanej karcie SIM

Podstawa prawna: Wykonanie umowy (art. 6 ust. 1 lit. b RODO) + uzasadniony interes (art. 6 ust. 1 lit. f RODO) — prawidłowe funkcjonowanie systemu

Cel: Mapowanie użytkowników Bitrix24 do urządzeń Android z kartami SIM; śledzenie kto wykonywał/odbierał połączenia

3.3 Dane Urządzenia Android

Aplikacja mobilna SIMtrix zbiera i przesyła na serwer następujące metadane urządzenia:

  • Nazwa urządzenia
  • Model urządzenia
  • Wersja systemu operacyjnego Android
  • Numer (IMEI) oraz identyfikator SIM (ICCID)
  • Operator sieci komórkowej
  • Firebase Cloud Messaging (FCM) token — do push notyfikacji
  • Unikalny identyfikator urządzenia (UUID)

Podstawa prawna: Wykonanie umowy (art. 6 ust. 1 lit. b RODO)

Cel: Rejestracja i identyfikacja urządzenia; konfiguracja połączeń; push notyfikacje w czasie rzeczywistym

3.4 Metadane Komunikacji (Połączenia i SMS-y)

Najistotniejsza kategoria danych. Przetwarzamy:

3.4.1 Metadane Połączeń Telefonicznych:

  • Numer telefonu nadawcy (lub urządzenia pochodzącego)
  • Numer telefonu odbiorcy (numer docelowy)
  • Data i czas rozpoczęcia połączenia
  • Data i czas zakończenia połączenia
  • Długość połączenia (w sekundach)
  • Status połączenia: odebrane (answered), nieodebrane (missed), odrzucone (rejected), błąd (failed)
  • Typ: połączenie przychodzące czy wychodzące
  • Wskazanie nagrania (jeśli włączone)

3.4.2 Metadane SMS-ów:

  • Numer telefonu nadawcy
  • Numer telefonu odbiorcy
  • Data i czas wysłania
  • Data i czas dostarczenia
  • Status: wysłane (sent), dostarczone (delivered), nieudane (failed), oczekujące (pending)
  • Liczba SMS-ów w wiadomości (jeśli wieloczęściowa)
  • Typ: SMS przychodzący czy wychodzący

3.4.3 Treść SMS-ów i Rozmów:

WAŻNE: Treść SMS-ów oraz nagrania rozmów są przetwarzane jako dane przesyłowe (tymczasowe), a nie jako dane przechowywane przez SIMtrix:

  • Treść SMS: Przetwarzana tran­zytem w formacie zaszyfrowanym (AES-256), przesłana bezpośrednio do Bitrix24 i na kartę SIM. Po przekazaniu do Bitrix24, usuwana z naszych serwerów w ciągu 7 dni (przez automatyczne oczyszczanie).
  • Nagrania rozmów: Przesyłane na serwer tymczasowo, szyfrowane (TLS), przekazywane do Bitrix24, usuwane z naszych serwerów w ciągu 24 godzin (automatyczne usuwanie).

Po upływie okresu retencji metadane komunikacji bez treści są przechowywane przez maksymalnie 90 dni (konfigurowalne przez administratora).

Podstawa prawna: Wykonanie umowy (art. 6 ust. 1 lit. b RODO)

Cel: Świadczenie usługi przesyłania połączeń i SMS-ów; logowanie historii w Bitrix24; analityka użytkowania; wsparcie technicznego i diagnostyka

3.5 Dane Techniczne i Logi Serwera

Przetwarzamy standardowe dane techniczne:

  • Adresy IP (nadawcy żądań)
  • User-agent przeglądarki
  • Cookies sesyjne i tokeny uwierzytelniania
  • Logi dostępu do API
  • Dzienniki błędów i zdarzeń
  • Czasowe znaczniki (timestamps)
  • Dane dotyczące wydajności i przepustowości

Podstawa prawna: Uzasadniony interes (art. 6 ust. 1 lit. f RODO) — bezpieczeństwo, diagnostyka, zapobieganie nadużyciom

Cel: Monitorowanie bezpieczeństwa; diagnostyka błędów; zapobieganie dostępom nieuprawnionym; optymalizacja wydajności; zgodność z wymogami prawa

3.6 Dane Rozliczeniowe

  • Dane płatnika (nazwa, adres, NIP/VAT ID)
  • Dane karty kredytowej — przetwarzane wyłącznie przez Paddle.com Market Limited (naszego Merchant of Record), my nie mamy dostępu
  • Historia faktur i transakcji
  • Informacje o subskrypcji (plan, data rozpoczęcia, data odnowienia)

Podstawa prawna: Obowiązek prawny (art. 6 ust. 1 lit. c RODO) — prawo podatkowe i księgowe

Cel: Fakturowanie; zarządzanie subskrypcją; zgodność z wymogami podatkowymi i rachunkowości

4. CELE I PODSTAWY PRAWNE PRZETWARZANIA

4.1 Podsumowanie Podstaw Prawnych

Kategoria danychCel przetwarzaniaPodstawa prawna
Dane kontaŚwiadczenie usługi, zarządzanie kontem, rozliczeniaArt. 6 ust. 1 lit. b RODO (wykonanie umowy)
Dane użytkowników Bitrix24Mapowanie użytkowników; śledzenie interakcjiArt. 6 ust. 1 lit. b RODO
Dane urządzeniaRejestracja urządzenia; push notyfikacjeArt. 6 ust. 1 lit. b RODO
Metadane komunikacjiŚwiadczenie usługi; logowanie w Bitrix24Art. 6 ust. 1 lit. b RODO
Treść SMS i nagraniaTransmisja do Bitrix24; tymczasowe przechowywanieArt. 6 ust. 1 lit. b RODO
Dane techniczne/logiBezpieczeństwo; diagnostyka; zapobieganie nadużyciomArt. 6 ust. 1 lit. f RODO (uzasadniony interes)
Dane rozliczenioweFakturowanie; wymogi podatkoweArt. 6 ust. 1 lit. c RODO (obowiązek prawny)
Marketing (jeśli dotyczy)Wysyłanie informacji o nowych funkcjach, promocjachArt. 6 ust. 1 lit. a RODO (zgoda)

4.2 Szczegółowe Cele Przetwarzania

Świadczenie Usługi

Podstawowym celem przetwarzania danych jest realizacja umowy — umożliwienie Klientom korzystania z platformy SIMtrix do wykonywania/odbierania połączeń i SMS-ów za pośrednictwem Bitrix24.

Bezpieczeństwo i Ochrona Przed Nadużyciami

Przetwarzamy dane techniczne i logi w celu:

  • Ochrony przed nieuprawnionym dostępem
  • Wykrywania i zapobiegania fraudom
  • Monitorowania anomalii w użytkowaniu
  • Reagowania na incydenty bezpieczeństwa

Zapewnienie Zgodności Prawnej

  • Wymogi prawa podatkowego (przechowywanie dokumentów rozliczeniowych)
  • Wymogi RODO (dokumentacja, ślady przetwarzania)
  • Wymogi dotyczące telekomunikacji (jeśli obowiązują)

Doskonalenie Usługi (opcjonalnie)

Anonimizowane dane analityczne (liczba połączeń, SMS-ów, średnia długość rozmowy) mogą być przetwarzane w celu optymalizacji platformy — wyłącznie w formie zaanonimizowanej, bez możliwości identyfikacji podmiotu.

5. PODWÓJNA ROLA: KONTROLER A PROCESOR

5.1 SIMtrix jako Kontroler Danych (Administrator)

SIMtrix jest niezależnym kontrolerem dla:

  • Danych konta klienta (nazwa firmy, email, dane rozliczeniowe)
  • Danych urządzenia Android
  • Danych technicznych i logów serwera
  • Danych dotyczących subskrypcji i płatności

W tej roli podejmujemy decyzje o tym, jakie dane zbieramy, w jakim celu, jak długo je przechowujemy i jakie środki zabezpieczające stosujemy.

5.2 SIMtrix jako Procesor Danych (Podwykonawca)

SIMtrix pełni rolę Procesora danych dla:

  • Numerów telefonów kontaktów z CRM Bitrix24 klienta (przesyłane przez aplikację)
  • Treści SMS-ów (transmisja do Bitrix24)
  • Nagrań rozmów (transmisja i tymczasowe przechowywanie)
  • Jakichkolwiek innych danych osobowych, których klient przesyła poprzez platformę

W tej roli:

  • Działamy wyłącznie na polecenie klienta (administratora konta SIMtrix)
  • Nie decydujemy samodzielnie o celach i środkach przetwarzania
  • Klient zachowuje pełną kontrolę i odpowiedzialność jako Kontroler
  • Powiązani jesteśmy Umową o Przetwarzaniu Danych (DPA — Data Processing Agreement)

5.3 Istotne Konsekwencje Podwójnej Roli

Dla Klientów SIMtrix:

  • Jesteście odpowiedzialni za prawność przetwarzania danych CRM przez SIMtrix (jako Procesor)
  • Musicie zapewnić podstawę prawną dla przekazania nam danych swoich kontaktów
  • W razie pytań od PUODO dotyczących danych SMS/rozmów przesyłanych poprzez SIMtrix, to wy jako Kontroler musicie wykazać zgodność z RODO

Dla SIMtrix:

  • Nie jesteśmy odpowiedzialni za to, czy Klienci mają prawo przesyłać nam konkretne dane
  • Stawiamy jednak warunki (patrz sekcja dotycząca DPA)
  • Posiadamy uprawnienia do odmowy obsługi jeśli podejrzewamy naruszenia

5.4 Zakaz Przetwarzania Danych Szczególnych Kategorii

Usługa SIMtrix NIE jest przeznaczona do przetwarzania danych szczególnych kategorii w rozumieniu art. 9 RODO, w tym danych dotyczących:

  • Zdrowia, informacji medycznych lub biometrycznych
  • Przekonań religijnych lub filozoficznych
  • Orientacji seksualnej
  • Przynależności do związków zawodowych
  • Poglądów politycznych
  • Pochodzenia rasowego lub etnicznego

Klient zobowiązuje się nie wykorzystywać Usługi w sposób celowy do gromadzenia, transmisji lub przetwarzania takich danych. Jeżeli dane szczególnych kategorii pojawią się w treści komunikacji (SMS, nagranie rozmowy), odpowiedzialność za ich zgodne z prawem przetwarzanie ponosi wyłącznie Klient jako administrator danych. SIMtrix przetwarza treści komunikacji wyłącznie tranzytem i nie dokonuje klasyfikacji ani analizy zawartości.

5.5 Odpowiedzialność Klienta za Transfer Danych do Bitrix24

Klient jest wyłącznie odpowiedzialny za:

  • Wybór regionu przechowywania danych w Bitrix24 i jego zgodność z wymogami RODO dotyczącymi transgranicznego przekazywania danych
  • Zapewnienie odpowiedniej podstawy prawnej dla transferu danych osobowych kontaktów z CRM do SIMtrix i z powrotem do Bitrix24
  • Zgodność konfiguracji Bitrix24 z przepisami ochrony danych obowiązującymi w jurysdykcji Klienta

SIMtrix nie ponosi odpowiedzialności za lokalizację danych w infrastrukturze Bitrix24 ani za konsekwencje prawne wynikające z wybranego przez Klienta regionu przechowywania danych.

6. POLITYKA "BRIDGE NOT STORAGE" — SZCZEGÓŁOWO

6.1 Czym NIE jest SIMtrix?

SIMtrix NIE jest:

  • Dostawcą usług archiwalnych/przechowywania SMS-ów
  • Dostawcą usług nagrywania i przechowywania rozmów
  • Centralnym repozytorium historii komunikacji biznesowej
  • Systemem backupu dla danych SMS/rozmów

6.2 Czym Jest SIMtrix?

SIMtrix jest systemem:

  • Przesyłania (routing) połączeń i SMS-ów
  • Mapowania urządzenia Android do użytkowników Bitrix24
  • Logowania metadanych (kto, z kim, kiedy) w Bitrix24
  • Niezawodnego i bezpiecznego mostu między kartą SIM a CRM

6.3 Przepływ Danych — Treść SMS

Bitrix24 (klient inicjuje wysyłkę SMS)
    ↓
SIMtrix API (otrzymuje treść zaszyfrowaną TLS)
    ↓
Szyfrowanie AES-256 w transit
    ↓
Aplikacja Android (odbiera, wysyła przez kartę SIM)
    ↓
SMS trafia do odbiorcy
    ↓
Odpowiedź przychodzi na kartę SIM
    ↓
Aplikacja Android przesyła do SIMtrix
    ↓
SIMtrix przesyła do Bitrix24 (szyfr TLS)
    ↓
Bitrix24 loguje SMS i jego treść w CRM
    ↓
[Po 7 dniach] SIMtrix AUTOMATYCZNIE USUWA treść SMS

6.4 Przepływ Danych — Nagranie Rozmowy

Połączenie trwa na karcie SIM (Bitrix24 ↔ Android ↔ Sieć)
    ↓
Aplikacja Android (jeśli nagrywanie włączone) rejestruje rozmowę
    ↓
Po zakończeniu rozmowy: plik audio przesyłany (TLS) do SIMtrix
    ↓
SIMtrix przesyła nagranie do Bitrix24
    ↓
Bitrix24 loguje plik w CRM
    ↓
[Po 24 godzinach] SIMtrix AUTOMATYCZNIE USUWA nagranie ze swoich serwerów

6.5 Odpowiedzialność za Przechowywanie

ElementPrzechowujeOkresOdpowiedzialny za bezpieczeństwo
Treść SMSBitrix24 (klienta)Zależy od polityki klientaKlient (Kontroler)
Nagrania rozmówBitrix24 (klienta)Zależy od polityki klientaKlient (Kontroler)
Metadane (nr, czas)SIMtrix90 dni (max)SIMtrix
Logi serweraSIMtrix30 dniSIMtrix

7. OKRES PRZECHOWYWANIA DANYCH (RETENCJA)

7.1 Dane Konta Klienta

  • Okres: Czas trwania umowy + 30 dni po rozwiązaniu/usunięciu konta
  • Po 30 dniach: Pełna anonimizacja lub usunięcie
  • Powód: Umożliwienie obsługi reklamacji, wznowienia usługi, wymogi archiwalne

7.2 Dane Użytkowników Bitrix24

  • Okres: Tak długo, jak użytkownik jest przypisany do usługi; + 30 dni po usunięciu z systemu
  • Po 30 dniach: Usunięcie
  • Powód: Prawidłowe mapowanie użytkowników; śledzenie przychodzących połączeń

7.3 Treść SMS-ów

  • Okres: 7 dni od odebrania przez Bitrix24
  • Mechanizm: Automatyczne usuwanie (batch job codziennie o 2:00 AM UTC)
  • Wyjątek: Jeśli SMS zawiera DANE OSOBOWE wrażliwe (dane medyczne, bankowe, hasła) — będziemy starać się usunąć wcześniej na żądanie
  • Powód: Minimalizacja danych; zmniejszenie ryzyka wycieku; "bridge not storage"

7.4 Nagrania Rozmów

  • Okres: 24 godziny od przesłania do Bitrix24
  • Mechanizm: Automatyczne usuwanie (codziennie o 4:00 AM UTC)
  • Wyjątek: Mogą być przechowywane dłużej WYŁĄCZNIE jeśli klient wyraźnie je przesunie do Bitrix24 Storage (wtedy odpowiedzialny jest Bitrix24, nie SIMtrix)
  • Powód: Minimalizacja ryzyka; oszczędzenie pasma i miejsca; "bridge not storage"

7.5 Metadane Komunikacji (bez treści)

  • Okres: Domyślnie 90 dni, konfigurowalne przez administratora konta (5, 30, 60, 90, 180 dni)
  • Przechowywane dane: Nr telefonu, data, czas, status, długość połączenia — bez treści
  • Po upływie: Anonimizacja (zachowujemy tylko zagregowane statystyki)
  • Powód: Diagnostyka; obsługa reklamacji; analityka

7.6 Dane Techniczne (Logi Serwera)

  • Okres: 30 dni
  • Po upływie: Usunięcie
  • Powód: Monitorowanie bezpieczeństwa; wykrywanie anomalii
  • Wyjątek: W przypadku incydentu bezpieczeństwa — przechowywanie może być wydłużone do 90 dni w celu śledztwa

7.7 Dane Rozliczeniowe

  • Okres: 5 lat od daty faktury (wymóg prawa podatkowego UE)
  • Po upływie: Usunięcie lub anonimizacja
  • Powód: Wymogi prawa; audyt, kontrola skarbowa
  • Przechowuje: Zarówno SIMtrix, jak i Paddle.com Market Limited

8. SUB-PROCESORZY I TRANSFERY DANYCH

8.1 Procesory (Sub-procesory)

Przetwarzamy dane z udziałem następujących podmiotów trzecich:

8.1.1 OVH SAS

  • Rola: Dostawca infrastruktury (hosting VPS, zarządzany przez Dostawcę)
  • Lokalizacja: Serwer w Niemczech (EOG); siedziba OVH: Francja (EOG)
  • Dane: Wszystkie dane SIMtrix przechowywane na serwerach OVH w Niemczech
  • Umowa: OVH General Terms of Service + DPA
  • Gwarancje: OVH zobowiązuje się do implementacji odpowiednich zabezpieczeń (szyfrowanie, dostęp ograniczony, backup)

8.1.2 Google LLC — Firebase Cloud Messaging (FCM)

  • Rola: Dostawca push notyfikacji
  • Lokalizacja: Stany Zjednoczone (z opcją EU)
  • Dane: Tokeny FCM urządzeń Android; identyfikatory użytkowników; typy notyfikacji
  • Umowa: Google Cloud Terms of Service + DPA
  • Gwarancje: Google zobowiązuje się do ochrony danych; SCCC (Standard Contractual Clauses) dla transferów do USA
  • Kontrola: Możliwość wyłączenia FCM (notyfikacje w aplikacji będą opóźnione)

8.1.3 Paddle.com Market Limited

  • Rola: Merchant of Record; dostawca usług płatniczych
  • Lokalizacja: Wielka Brytania
  • Dane: Dane płatnika, dane karty kredytowej (my NIE mamy dostępu), historia transakcji
  • Umowa: Paddle Terms of Service + Payment Processing Agreement
  • Gwarancje: Paddle przechowuje dane w compliance z PCI DSS; My nie przechowujemy numeru karty
  • Kontrola: Paddle zarządza wszystkimi transakcjami niezależnie

8.1.4 Bitrix24 (Klient — Kontroler)

  • Rola: System CRM — docelowe repozytorium dla danych SMS, rozmów, metadanych
  • Lokalizacja: Zależy od wybranego centrum danych klienta (EU/RU/US)
  • Dane: Wszystkie dane SMS, rozmowy, numery telefonów, logi interakcji
  • Umowa: Klient zarządza DPA z Bitrix24 niezależnie
  • Gwarancje: SIMtrix przesyła dane poprzez zabezpieczony kanał (TLS); po przyjęciu przez Bitrix24, SIMtrix nie odpowiada za dalsze przechowywanie
  • Ważne: Klient jako Kontroler jest odpowiedzialny za zgodność Bitrix24 z RODO

8.2 Transfery Danych Poza UE

Transfery do USA (Google FCM)

  • Transfery tokenów FCM do Google LLC mogą się odbywać do USA
  • Podstawa: Standard Contractual Clauses (SCC) — artykuł 46 RODO
  • Google posiada certyfikat Privacy Shield (legacy) oraz zobowiązanie do SCC
  • Prawo do wyjątku: Możliwość zablokowania FCM przez klienta (bez wpływu na funkcjonalność, tylko opóźnione notyfikacje)

Transfery do Niemiec (OVH)

  • Wszystkie serwery w UE (Niemcy) — brak transferu poza UE

9. BEZPIECZEŃSTWO DANYCH

9.1 Ogólne Standardy Bezpieczeństwa

SIMtrix implementuje wielowarstwowe podejście do bezpieczeństwa danych:

9.2 Szyfrowanie

W Transycie (In Transit)

  • Standard: TLS 1.3 minimum dla wszystkich połączeń HTTPS
  • Certyfikaty: X.509, automatycznie odnawiane przez Caddy
  • Aplikacja Android ↔ Serwer: TLS 1.3 obowiązkowy; Certificate pinning na aplikacji
  • Serwer ↔ Bitrix24: TLS 1.3; weryfikacja certyfikatów
  • Serwer ↔ OVH: Wewnętrzna sieć private, dostęp ograniczony

W Spoczynku (At Rest)

  • Treść SMS w transit: Szyfrowanie AES-256-GCM na poziomie aplikacji
  • Bazy danych: Szyfrowanie volumów Postgres (encryption at rest)
  • Nagrania rozmów: Szyfrowanie AES-256 przed przesłaniem do S3/storage

9.3 Kontrola Dostępu

  • Row-Level Security (RLS): Postgres RLS dla izolacji Multi-tenant — każdy klient widzi wyłącznie swoje dane
  • API Authentication: JWT tokeny, 15-minutowy TTL (Time To Live)
  • Refresh tokeny: 30-dniowy TTL z možliwością revokacji
  • API Keys: Dla aplikacji Android — zmieniane automatycznie co 90 dni
  • Admin Panel: Dostęp chroniony hasłem + opcjonalnie 2FA

9.4 Logowanie i Monitorowanie

  • Audit logs: Wszystkie operacje na danych przetwarzane są logowane (kto, co, kiedy)
  • Security events: Nieudane logowania, zmiana uprawnień, dostęp do sensitywnych API
  • Alerting: Automatyczne alerty na anomalie (np. próby brute-force)
  • Log retention: 30 dni dla access logs, 90 dni dla security events

9.5 Identyfikacja i Autentykacja

  • Hasła: Hashing SHA-256 + salt (bcrypt w implementacji)
  • Multi-Factor Authentication (MFA): Dostępne na żądanie dla admin accounts
  • Session management: Timeout sesji po 24 godzinach braku aktywności
  • IP whitelisting: Dostępne dla dedykowanych accounts

9.6 Luka w Bezpieczeństwie (Vulnerability Management)

  • Skanowanie: Regularne skanowanie podatności (OWASP Top 10)
  • Dependabot: Automatyczne aktualizacje bibliotek (npm, Python, Maven)
  • Security audits: Co kwartał przegląd kodu i infrastruktury
  • Bug bounty: Zostaje ogłoszony program bug bounty (szczegóły na stronie)

9.7 Incydenty Bezpieczeństwa

  • Plan reagowania: Dokument "Incident Response Plan" utrzymywany wewnętrznie
  • Powiadomienie PUODO: W ciągu 72 godzin od wykrycia naruszenia (art. 33 RODO)
  • Powiadomienie osób: W przypadku naruszenia mogącego stwarzać wysokie ryzyko (art. 34 RODO)
  • Dokumentacja: Wszystkie incydenty są dokumentowane

10. PRAWA PODMIOTU DANYCH (OSÓB FIZYCZNYCH)

Każdy przedmiot danych (osoba fizyczna) ma prawo:

10.1 Prawo Dostępu (Art. 15 RODO)

Możesz żądać dostępu do danych osobowych, które przetwarzamy. Odpowiemy w ciągu 30 dni w formacie czytelnym (np. CSV, PDF).

10.2 Prawo do Sprostowania (Art. 16 RODO)

Jeśli dane są niedokładne lub niekompletne, możesz żądać ich sprostowania. Poprawimy dane w ciągu 10 dni.

10.3 Prawo do Usunięcia ("Prawo do bycia zapomnianym") (Art. 17 RODO)

Możesz żądać usunięcia swoich danych osobowych, z pewnymi wyjątkami:

  • Dane wymagane do zakończenia usługi
  • Dane wymagane prawem
  • Dane konieczne do obrony roszczeń prawnych

W większości przypadków usunięmy dane w ciągu 30 dni.

10.4 Prawo do Ograniczenia Przetwarzania (Art. 18 RODO)

Możesz prosić o ograniczenie przetwarzania danych (np. "nie usuwaj, ale nie analizuj") — dane będą przechowywane, ale nie aktywnie przetwarzane.

10.5 Prawo do Przenoszenia Danych (Art. 20 RODO)

Możesz żądać kopii swoich danych w strukturalnym formacie (JSON, CSV) na potrzeby przeniesienia do innego serwisu.

10.6 Prawo do Sprzeciwu (Art. 21 RODO)

Możesz sprzeciwić się przetwarzaniu swoich danych na podstawie uzasadnionego interesu. Będziemy musieli wykazać, że nasze interesy przeważają.

10.7 Prawo do Cofnięcia Zgody (Art. 7 ust. 3 RODO)

Jeśli wyraziliście zgodę na przetwarzanie (np. na newsletter), możesz ją cofnąć w każdej chwili. Cofnięcie zgody nie wpływa na legalność przetwarzania przed cofnięciem.

10.8 Prawo do Skargi do PUODO

Jeśli uważacie, że naruszamy RODO, macie prawo złożyć skargę do:

Prezes Urzędu Ochrony Danych Osobowych (PUODO)
ul. Stawki 2
00-193 Warszawa
Polska

Email: [email protected]
Telefon: +48 22 531 03 00
Strona: https://uodo.gov.pl

10.9 Procedura Realizacji Praw

Aby skorzystać z powyższych praw, prosimy o wysłanie pisma na adres:

[email protected]

W piśmie prosimy o:

  • Jasne określenie, które prawo chcecie realizować
  • Kopię dowodu tożsamości (dla weryfikacji)
  • Konkretne szczegóły (np. które dane, jaki okres)

Odpowiemy w ciągu 30 dni (możliwość przedłużenia do 60 dni w złożonych przypadkach).

11. DANYCH DZIECI (Art. 8 RODO)

SIMtrix jest przeznaczony wyłącznie dla osób dorosłych i organizacji biznesowych.

  • Użytkownicy muszą być starsi niż 16 lat (lub więksi w niektórych krajach)
  • Nie zbieramy danych dzieci świadomie
  • Jeśli odkryjemy, że dziecko korzysta z usługi, usuniemy jego konto natychmiast
  • Organizacje mogą gromadzić dane swoich pracowników; organizacja jest odpowiedzialna za zgodność z RODO

12. COOKIES I TECHNOLOGIE ŚLEDZĄCE

12.1 Cookies Sesyjne

Aplikacja webowa (https://simtrix.app) wykorzystuje cookies sesyjne niezbędne do funkcjonowania:

  • Session ID: Identyfikator sesji zalogowanego użytkownika
  • Auth token: JWT token uwierzytelniania
  • Preferencje UI: Języka, motywu (ciemny/jasny)

Cookies te NIE wymagają dodatkowej zgody (zgoda domniemana, art. 82 e-Privacy Directive).

12.2 Cookies Analityczne

Aktualnie nie stosujemy cookies Google Analytics lub podobnych usług śledzących. Jeśli w przyszłości je dodamy, będziemy żądać jawnej zgody.

12.3 Zarządzanie Cookies

Przeglądarki pozwalają na zarządzanie cookies:

  • Można je wyłączyć w ustawieniach przeglądarki
  • Możesz wybrać, które cookies zaakceptować
  • Cofnięcie zgody: cookies będą usunięte (ale sesja zostanie przerwana)

12.4 Piksele Śledzące

SIMtrix nie stosuje pikseli śledzących ani podobnych technologii do śledzenia zachowania użytkownika na stronach trzecich.

13. ZMIANY POLITYKI PRYWATNOŚCI

13.1 Procedura Zmian

Niniejszą Politykę Prywatności możemy zmienić w dowolnym momencie. Znaczące zmiany będą:

  • Opublikowane na https://simtrix.app/privacy (co najmniej 30 dni przed wejściem w życie)
  • Powiadomienie wysłane na email klientów (jeśli zmiana dotyczy ich danych)
  • Wymóg akceptacji nowej polityki przy następnym logowaniu

13.2 Kontynuacja Usługi

Kontynuacja korzystania z usługi SIMtrix po zmianach oznacza akceptację nowej Polityki Prywatności.

14. KONTAKT

14.1 Zapytania o Prywatność

Jeśli macie pytania, uwagi lub chcecie realizować prawa dotyczące danych osobowych:

Email: [email protected]
Adres: ANTENA sp. z o.o., ul. Działdowska 16, 81-208 Gdynia, Polska

Odpowiemy w ciągu 10 dni roboczych.

14.2 Ogólna Obsługa Klienta

Dla ogólnych pytań o usługę:

Email: [email protected]
Strona: https://simtrix.app

15. DEFINICJE

  • Administrator (Kontroler) Danych: Osoba/organizacja decydująca o celach i środkach przetwarzania danych (art. 4 pkt 7 RODO)
  • Przetwarzanie Danych: Każda operacja na danych (zbieranie, przechowywanie, analiza, usuwanie) (art. 4 pkt 2 RODO)
  • Procesor Danych: Osoba/organizacja przetwarzająca dane na polecenie Administratora (art. 4 pkt 8 RODO)
  • Podmiot Danych: Osoba fizyczna, której dane są przetwarzane (art. 4 pkt 1 RODO)
  • Dane Osobowe: Informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 4 pkt 1 RODO)
  • RODO: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
  • PUODO: Prezes Urzędu Ochrony Danych Osobowych (organem nadzoru w Polsce)
  • DPA: Data Processing Agreement — umowa o przetwarzaniu danych między Kontrolerem a Procesorem
  • Szyfrowanie AES-256: Advanced Encryption Standard z długością klucza 256 bitów
  • TLS 1.3: Transport Layer Security protokół w wersji 1.3
  • FCM: Firebase Cloud Messaging — usługa push notyfikacji Google
  • GDPR: angielskie określenie RODO (Regulation General Data Protection Regulation)

16. INFORMACJE DODATKOWE

16.1 Zgodność z RODO

SIMtrix jest w pełni zgodny z wymogami RODO w odniesieniu do przetwarzania danych osobowych. Audyty bezpieczeństwa są przeprowadzane regularnie.

16.2 Umowa o Przetwarzaniu Danych (DPA)

Wszyscy klienci SIMtrix są objęci Umową o Przetwarzaniu Danych (Data Processing Agreement) dostępną na żądanie na [email protected]. DPA precyzuje:

  • Role (Kontroler vs Procesor)
  • Obowiązki bezpieczeństwa
  • Procedury incydentów
  • Prawo dostępu i audytu
  • Umowę o podwykonawcach

16.3 Ocena Skutków (DPIA)

SIMtrix przeprowadziła Ocenę Skutków dla Ochrony Danych (Data Impact Assessment) dla głównych operacji przetwarzania (dostępna w dokumencie 00-RISK-ASSESSMENT-SIMtrix.md).

Kontakt w sprawie ochrony danych: [email protected]