Polityka prywatności

§1 Wprowadzenie

1.1. Niniejsza Polityka prywatności opisuje, w jaki sposób FERRAX Wiktor Krawczyk przetwarza dane osobowe w związku z korzystaniem z usługi NOX dostępnej pod adresami https://noxecom.pl (strona główna) i https://profit.noxecom.pl (panel aplikacji).

1.2. Dokument sporządzono zgodnie z:

Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO);
Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 z późn. zm.);
Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 Nr 144 poz. 1204);
Ustawą z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej (Dz.U. 2024 poz. 1221).

1.3. Pojęcia zdefiniowane w Regulaminie mają takie samo znaczenie w niniejszej Polityce.

§2 Administrator danych

2.1. Administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO jest:

FERRAX Wiktor Krawczyk
ul. Prosta 25, 05-552 Warszawianka
NIP: 1231511103
E-mail: kontakt@noxecom.pl

2.2. Inspektor Ochrony Danych (IOD). Administrator nie wyznaczył Inspektora Ochrony Danych. Wyznaczenie IOD nie jest obowiązkowe na podstawie art. 37 ust. 1 RODO - Administrator nie jest organem publicznym, jego główna działalność nie polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób na dużą skalę, ani na przetwarzaniu na dużą skalę szczególnych kategorii danych. Wszelkie pytania dotyczące przetwarzania danych prosimy kierować na kontakt@noxecom.pl.

2.3. W razie zmiany skali lub charakteru przetwarzania Administrator dokona ponownej oceny obowiązku z art. 37 RODO i - w razie konieczności - wyznaczy IOD oraz poinformuje o tym osoby, których dane dotyczą.

§3 Role wobec danych osobowych

3.1. Administrator wobec danych Użytkownika NOX

NOX jest administratorem (art. 4 pkt 7 RODO) danych osobowych Użytkowników korzystających z Serwisu - w tym danych konta, faktur, logów technicznych, danych subskrybentów newslettera, danych z formularza kontaktowego.

3.2. Procesor wobec danych klientów końcowych Sklepu

NOX jest podmiotem przetwarzającym (art. 4 pkt 8 RODO) wobec danych osobowych klientów końcowych Sklepu WooCommerce Użytkownika, w zakresie określonym w Umowie Powierzenia Przetwarzania (DPA) stanowiącej Załącznik nr 1 do Regulaminu. Administratorem tych danych pozostaje Użytkownik (właściciel Sklepu).

3.3. Współadministracja (joint controllership)

NOX nie pełni roli współadministratora w rozumieniu art. 26 RODO.

§4 Kategorie przetwarzanych danych osobowych

4.1. Dane Użytkownika NOX (Konto)

Kategoria	Szczegóły
Identyfikacyjne	adres e-mail (login)
Uwierzytelniające	hash hasła (bcrypt/argon2 - nigdy plain-text)
Dane do faktur	nazwa firmy, adres siedziby, NIP, ew. imię i nazwisko osoby fizycznej JDG
Komunikacyjne	korespondencja e-mail z Administratorem

4.2. Dane biznesowe Sklepu Użytkownika

Kategoria	Szczegóły
Sprzedażowe	zamówienia (ID, data, kwoty, statusy, produkty, ilości)
Reklamowe	koszty kampanii Facebook Ads, metadane kampanii
Konfiguracyjne	stawki VAT, koszty kurierów, koszty zakupu produktów
Tokeny dostępowe	tokeny OAuth Facebook Ads - szyfrowane AES-256-GCM
Klucze API	klucze WooCommerce REST API - szyfrowane at-rest

4.3. Dane klientów końcowych Sklepu Użytkownika

NOX pobiera minimalny zakres danych z zamówień WooCommerce:

ID zamówienia;
Daty (zamówienia, dostawy);
Kwoty (brutto, netto, VAT, koszty wysyłki);
Statusy (zrealizowane, zwrócone, anulowane);
Identyfikatory produktów i ich liczby;
Typ metody płatności i dostawy.

NOX nie pobiera: imienia, nazwiska, adresu dostawy, numeru telefonu, adresu e-mail klienta końcowego, danych płatniczych, danych logowania klienta końcowego (zasada minimalizacji - art. 5 ust. 1 lit. c RODO).

Wobec tych danych NOX działa jako podmiot przetwarzający w imieniu Użytkownika. Szczegóły - Załącznik nr 1 do Regulaminu (DPA).

4.4. Dane techniczne (logi, cookies)

Kategoria	Szczegóły
Logi systemowe	adres IP, znacznik czasu, user agent, ID sesji, ścieżka URL
Cookies	identyfikatory sesji, tokeny autoryzacji, preferencje - szczegóły w Polityce cookies

4.5. Dane subskrybentów newslettera i lead magnetów

Kategoria	Szczegóły
Identyfikacyjne	adres e-mail
Metadane zgody	data zapisu, źródło zapisu, checksum potwierdzenia (double opt-in), data wypisania

4.6. Dane osób kontaktujących się z Administratorem

Imię i nazwisko (jeśli podane), adres e-mail, treść wiadomości - w zakresie niezbędnym do udzielenia odpowiedzi.

§5 Cele przetwarzania i podstawy prawne

Administrator przetwarza dane w wymienionych poniżej celach, na wskazanych podstawach prawnych z art. 6 RODO.

5.1. Świadczenie Usługi NOX - art. 6 ust. 1 lit. b RODO

Rejestracja i prowadzenie Konta;
Udostępnienie funkcjonalności NOX (synchronizacja danych, wyliczenia, eksport);
Obsługa płatności i Subskrypcji;
Komunikacja związana z Usługą.

5.2. Wypełnienie obowiązków prawnych - art. 6 ust. 1 lit. c RODO

Wystawianie i przechowywanie faktur VAT (Ordynacja podatkowa, ustawa o rachunkowości - 5 lat od końca roku obrachunkowego);
Realizacja praw osób, których dane dotyczą (art. 15-22 RODO);
Współpraca z organami państwowymi w zakresie wymaganym prawem.

5.3. Prawnie uzasadniony interes - art. 6 ust. 1 lit. f RODO

Zapewnienie bezpieczeństwa Serwisu (logi, monitoring nadużyć);
Ustalenie, dochodzenie i obrona roszczeń (3 lata dla działalności gospodarczej, 6 lat pozostałe);
Marketing własnych usług istniejącym klientom (z prawem sprzeciwu);
Udoskonalanie funkcjonalności Usługi na zagregowanych, zanonimizowanych danych;
Realizacja roli podmiotu przetwarzającego (DPA z Użytkownikiem).

5.4. Zgoda - art. 6 ust. 1 lit. a RODO

Wysyłka newslettera NOX (zgoda osobna, double opt-in);
Przesłanie lead magnetu "Szablon Excela" wraz z zapisaniem do listy mailingowej;
Cookies analityczne i marketingowe (zob. Polityka cookies);
Wykorzystanie wizerunku / cytatu w materiałach marketingowych (case study) - po odrębnej, wyraźnej zgodzie.

Zgoda może być w każdej chwili wycofana, bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem (art. 7 ust. 3 RODO).

5.5. Działanie w imieniu administratora (procesor) - art. 28 RODO

Przetwarzanie danych klientów końcowych Sklepu Użytkownika odbywa się na udokumentowane polecenie Użytkownika (akceptacja Regulaminu + konfiguracja integracji). Podstawą prawną jest decyzja Użytkownika jako administratora; NOX zapewnia środki bezpieczeństwa zgodnie z art. 32 RODO.

§6 Okresy przechowywania danych

Kategoria	Okres
Dane Konta aktywnego Użytkownika	Przez okres aktywnego korzystania z NOX
Dane Konta po anulowaniu Subskrypcji	30 dni od końca opłaconego okresu (do eksportu)
Dane do faktur VAT i ewidencja księgowa	5 lat od końca roku obrachunkowego
Dane Sklepu i Dane Klientów Końcowych	Aktywne Konto + 30 dni po zakończeniu
Tokeny OAuth Facebook	Tylko dla aktywnych Kont - po anulowaniu natychmiastowe usunięcie
Logi techniczne (IP, user agent)	12 miesięcy
Subskrybenci newslettera	Do momentu wycofania zgody
Korespondencja z kontakt@noxecom.pl	Do 3 lat od ostatniego kontaktu (przedawnienie)
Dane potrzebne do obrony roszczeń	Okres przedawnienia (3 lub 6 lat)

§7 Odbiorcy danych (subprocesorzy)

Administrator powierza przetwarzanie wybranym dostawcom w zakresie niezbędnym do świadczenia Usługi. Z każdym subprocesorem zawarta jest umowa powierzenia (art. 28 RODO).

Subprocesor	Cel	Lokalizacja	Podstawa transferu
Stripe Payments Europe Ltd.	Procesowanie płatności kartowych	Irlandia (EOG)	art. 28 RODO (DPA Stripe)
Stripe Inc.	Infrastruktura płatnicza	USA	EU-US DPF + SCC
Vercel Inc.	Hosting aplikacji NOX	EOG (region UE)	art. 28 RODO (DPA Vercel)
Supabase Inc.	Baza danych Postgres, autoryzacja, magazyn plików	EOG (Frankfurt)	art. 28 RODO (DPA Supabase)
MailerLite UAB / MailerLite Inc.	Newsletter, e-maile transakcyjne, lead magnety	EOG (Litwa + AWS Frankfurt)	art. 28 RODO; brak transferu danych EU subscriberów do USA
Google Ireland Ltd. / Google LLC	GA4, Google Ads / DoubleClick	Irlandia (EOG) + USA	EU-US DPF + SCC + DPA
Meta Platforms Ireland Ltd. / Meta Inc.	(1) OAuth Facebook Ads (Meta Business Tools); (2) Facebook Pixel	Irlandia (EOG) + USA	EU-US DPF + SCC + Meta Business
WooCommerce / Sklep Użytkownika	Hosting Sklepu - źródło danych odczytywanych przez REST API	Zgodnie z hostingiem Użytkownika	Użytkownik = administrator
Biuro rachunkowe	Księgowość Administratora	Polska	art. 28 + DPA z biurem

Aktualną listę subprocesorów Administrator publikuje pod adresem https://noxecom.pl/subprocesorzy. Zmiany na liście - z 14-dniowym uprzedzeniem (zob. §A4.3 DPA).

§8 Transfer danych do państw trzecich

8.1. Część subprocesorów (Stripe Inc., niektóre usługi mailingu) ma siedzibę poza EOG (głównie USA). Transfer odbywa się zgodnie z Rozdziałem V RODO (art. 44-49).

8.2. Podstawy transferu:

Decyzja adekwatności (art. 45 RODO) - w odniesieniu do USA: EU-US Data Privacy Framework (decyzja wykonawcza Komisji (UE) 2023/1795 z 10.07.2023), gdy subprocesor jest certyfikowany w ramach DPF;
Standardowe klauzule umowne (SCC) - Decyzja Wykonawcza Komisji (UE) 2021/914;
Wiążące reguły korporacyjne (BCR) - dla subprocesorów które je posiadają.

8.3. Transfer Impact Assessment (TIA). Zgodnie z wyrokiem TSUE C-311/18 (Schrems II) Administrator przeprowadza ocenę skutków transferu dla każdego nowego subprocesora poza EOG.

8.4. Środki dodatkowe w transferach do USA:

Szyfrowanie danych w spoczynku (at-rest) i w tranzycie (TLS 1.2+);
Ograniczenie zakresu danych transferowanych (zasada minimum);
Monitoring i logowanie dostępu po stronie NOX;
Zobowiązania umowne subprocesorów do natychmiastowego powiadamiania o żądaniach władz publicznych.

8.5. Użytkownik na pisemne żądanie może otrzymać kopię SCC mających zastosowanie do transferu dotyczącego jego danych (art. 28 ust. 3 lit. h RODO).

§9 Prawa osób, których dane dotyczą

9.1. Prawo dostępu (art. 15 RODO)

Uzyskanie informacji: jakie dane są przetwarzane, w jakim celu, na jakiej podstawie, jak długo, komu są udostępniane, oraz prawo do otrzymania kopii danych.

9.2. Prawo do sprostowania (art. 16 RODO)

Skorygowanie nieprawidłowych lub uzupełnienie niekompletnych danych. W Koncie NOX większość danych Użytkownik może aktualizować samodzielnie.

9.3. Prawo do usunięcia (art. 17 RODO)

Żądanie usunięcia danych w przypadkach przewidzianych w RODO - z zastrzeżeniem wyjątków (obowiązki prawne - księgowość, obrona roszczeń).

9.4. Prawo do ograniczenia przetwarzania (art. 18 RODO)

Wstrzymanie określonych operacji przetwarzania.

9.5. Prawo do przenoszenia danych (art. 20 RODO)

Otrzymanie danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (CSV, JSON). NOX umożliwia eksport danych w formatach CSV / Excel / PDF z poziomu panelu w każdej chwili.

9.6. Prawo sprzeciwu (art. 21 RODO)

Bezwzględne wobec przetwarzania w celach marketingu bezpośredniego - Administrator zaprzestaje takiego przetwarzania niezwłocznie;
Wobec przetwarzania opartego na prawnie uzasadnionym interesie - z indywidualną oceną.

9.7. Prawo do niepodlegania zautomatyzowanej decyzji (art. 22 RODO)

NOX nie podejmuje zautomatyzowanych decyzji wywołujących skutki prawne (zob. §10).

9.8. Prawo cofnięcia zgody (art. 7 ust. 3 RODO)

Wycofanie zgody w dowolnym momencie. Newsletter - link "Wypisz się" w każdym mailu. Inne zgody - e-mail kontakt@noxecom.pl.

9.9. Prawo wniesienia skargi do organu nadzorczego

Prezes Urzędu Ochrony Danych Osobowych (PUODO)
ul. Stawki 2, 00-193 Warszawa
www: uodo.gov.pl
e-mail: kancelaria@uodo.gov.pl
tel.: +48 22 531 03 00

9.10. Sposób realizacji praw

Wszystkie żądania prosimy kierować na adres kontakt@noxecom.pl. Administrator odpowiada w terminie 30 dni od otrzymania żądania (art. 12 ust. 3 RODO), z możliwością przedłużenia o kolejne 60 dni z poinformowaniem osoby w terminie pierwotnym.

Administrator może poprosić o dodatkowe informacje potwierdzające tożsamość osoby zgłaszającej żądanie (art. 12 ust. 6 RODO).

§10 Profilowanie i zautomatyzowane decyzje

10.1. NOX nie podejmuje zautomatyzowanych decyzji wywołujących skutki prawne wobec Użytkownika ani wpływających na niego w podobny istotny sposób (art. 22 RODO).

10.2. Wyliczenia zysku netto Sklepu prezentowane przez NOX to operacje matematyczne na danych biznesowych Użytkownika - nie są profilowaniem osób w rozumieniu art. 4 pkt 4 RODO.

10.3. NOX nie profiluje klientów końcowych Sklepu Użytkownika.

§11 Bezpieczeństwo danych

11.1. Administrator stosuje techniczne i organizacyjne środki ochrony adekwatne do ryzyka, zgodnie z art. 32 RODO:

Szyfrowanie tokenów OAuth Facebook Ads - AES-256-GCM;
Hashowanie haseł - bcrypt / argon2;
Szyfrowanie połączeń - HTTPS / TLS 1.2+;
Hosting w regionie UE (Vercel - EOG, Supabase - Frankfurt);
Zasada minimum uprawnień (least privilege);
Regularne kopie zapasowe (codzienne, retencja 30 dni, szyfrowanie at-rest);
Monitoring bezpieczeństwa, logi dostępu, alerty;
Regularna aktualizacja systemów i bibliotek;
Procedura zarządzania incydentami bezpieczeństwa.

11.2. Naruszenie ochrony danych osobowych:

Zgłoszenie do PUODO w terminie 72 godzin (art. 33 RODO), gdy istnieje ryzyko naruszenia praw lub wolności osób fizycznych;
Powiadomienie osób, których dane dotyczą (art. 34 RODO) w razie wysokiego ryzyka;
W razie naruszenia w zakresie powierzenia (rola procesora) - niezwłoczne powiadomienie Administratora (Użytkownika).

§12 Cookies i podobne technologie

12.1. NOX wykorzystuje pliki cookies oraz podobne technologie w zakresie określonym w Polityce cookies.

12.2. Cookies analityczne i marketingowe są instalowane wyłącznie po uzyskaniu zgody Użytkownika wyrażonej w banerze cookies (art. 398 PKE; art. 6 ust. 1 lit. a RODO). Cookies techniczne (niezbędne) nie wymagają zgody (art. 398 ust. 1 pkt 1 PKE).

§13 Marketing, newsletter, lead magnety

13.1. Newsletter NOX

Zapis wymaga wyraźnej zgody wyrażonej przez Użytkownika (art. 398 ust. 1 PKE; art. 6 ust. 1 lit. a RODO).
Stosowana jest procedura double opt-in: po wpisaniu adresu wysyłany jest link potwierdzający; dopiero kliknięcie linku potwierdza zapis (wytyczne EROD 05/2020).
Newsletter zawiera informacje o nowych funkcjach NOX, historie z 4 sklepów twórcy.
Każdy e-mail zawiera link "Wypisz się" (single click).
Po wypisaniu adres jest oznaczany jako "unsubscribed" - suppression list (art. 6 ust. 1 lit. f RODO).

13.2. Lead magnet "Szablon Excela"

Pobranie szablonu wymaga podania adresu e-mail oraz odrębnej, niezaznaczonej domyślnie zgody.
Po zapisie wysyłana jest wiadomość z szablonem oraz - jeśli wyrażono zgodę - wiadomości newslettera.
Wypisanie się dostępne w każdym mailu.

13.3. Lead magnet "Kalkulator zysku"

Korzystanie z kalkulatora https://noxecom.pl/kalkulator nie wymaga podania adresu e-mail. Dane wprowadzone do kalkulatora przechowywane są wyłącznie w przeglądarce Użytkownika i nie są przesyłane na serwery NOX.

13.4. Facebook Pixel / Meta Pixel

Status: AKTYWNY na noxecom.pl.
Pixel działa wyłącznie po wyrażeniu zgody w banerze cookies.
Cele: pomiar konwersji z reklam Facebook / Instagram Ads, retargeting odbiorców, tworzenie podobnych grup odbiorców (lookalike).
Lookback window: 7 dni (kliknięcia) / 1 dzień (wyświetlenia).
Conversions API (CAPI): NOX może uzupełniać dane Pixel'a o zdarzenia serwer-side z hashowaniem identyfikatorów (SHA-256) zgodnie z dokumentacją Meta.
Podstawa transferu do USA: EU-US DPF (Meta certified) + SCC.

13.5. Google Ads - pomiar konwersji i remarketing

Status: AKTYWNY na noxecom.pl.
Tagi działają wyłącznie po wyrażeniu zgody w banerze cookies.
Cele: pomiar konwersji z reklam Google Ads (search, display, YouTube), remarketing, optymalizacja kampanii (Smart Bidding).
Podstawa transferu do USA: EU-US DPF (Google certified) + SCC + DPA.

13.6. Marketing własnych usług istniejącym klientom

Administrator może kierować do istniejących klientów informacje marketingowe o własnych usługach na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO; motyw 47 RODO). Każdy taki kontakt zawiera informację o prawie sprzeciwu - wystarczy odpowiedź e-mail lub kliknięcie "Wypisz się".

13.7. Custom Audiences / Customer Match z list mailingowych

Administrator nie udostępnia list mailingowych Meta ani Google w celu tworzenia Custom Audiences / Customer Match bez uprzedniej, wyraźnej zgody osób, których adresy znalazłyby się na liście.

§14 Pliki przesyłane przez Użytkownika

14.1. Użytkownik może opcjonalnie przesłać do NOX pliki w ramach funkcji importu (np. import historycznych zamówień). Pliki są przetwarzane wyłącznie w celu wykonania konkretnej operacji.

14.2. Pliki przesłane przez Użytkownika podlegają tym samym środkom bezpieczeństwa co Dane Sklepu (§11).

§15 Zmiany Polityki prywatności

15.1. Polityka prywatności może być zmieniana w razie:

Zmian przepisów prawa (RODO, PKE);
Wprowadzenia nowych funkcjonalności wymagających przetwarzania dodatkowych danych;
Zmian na liście subprocesorów (§7);
Wprowadzenia nowych narzędzi analitycznych lub marketingowych.

15.2. O zmianach Administrator informuje:

Wiadomością e-mail na adres Konta - z co najmniej 14-dniowym wyprzedzeniem;
Komunikatem w panelu NOX po zalogowaniu;
Aktualizacją daty obowiązywania.

15.3. Wersje historyczne Polityki dostępne na żądanie pod kontakt@noxecom.pl.

§16 Kontakt

W sprawach związanych z przetwarzaniem danych osobowych:

FERRAX Wiktor Krawczyk
ul. Prosta 25, 05-552 Warszawianka
NIP: 1231511103
E-mail: kontakt@noxecom.pl

Termin odpowiedzi: do 30 dni (z możliwością przedłużenia o 60 dni - z poinformowaniem w terminie pierwotnym).