Polityka Prywatności

I. Postanowienia wstępne

1. Niniejsza Polityka Prywatności określa zasady przetwarzania i ochrony danych w związku z korzystaniem z aplikacji KSeF Connect (dalej: „Aplikacja") — rozszerzenia (Stripe App) instalowanego na koncie Stripe, które wysyła faktury wystawione w Stripe do Krajowego Systemu e-Faktur (KSeF) prowadzonego przez Ministerstwo Finansów RP.
2. Operatorem Aplikacji jest podmiot wskazany w pkt II (dalej: „Operator" lub „my").
3. Użytkownikiem (dalej: „Sprzedawca" lub „Usługobiorca") jest przedsiębiorca, który zainstalował Aplikację na swoim koncie Stripe w celu wysyłki własnych faktur do KSeF.

II. Administrator danych

1. Operatorem Aplikacji oraz administratorem danych Sprzedawcy jest: Sadowski Development Maciej Sadowski, ul. Obrońców Ojczyzny 41, 26-670 Pionki, NIP: 7962891514, REGON: 364118432.
2. Kontakt we wszystkich sprawach dotyczących danych osobowych oraz wsparcia: support@ksef-connect.pl.

III. Role: administrator i podmiot przetwarzający

1. Dane konta Sprzedawcy (np. NIP, dane firmy, adres, dane kontaktowe, dane rozliczeniowe) — Operator jest administratorem tych danych i przetwarza je w celu świadczenia usługi i rozliczeń.
2. Dane faktur i nabywców przekazywane przez Sprzedawcę do wysyłki — administratorem tych danych jest Sprzedawca. Operator działa jako podmiot przetwarzający (procesor), przetwarzając je wyłącznie w celu realizacji wysyłki do KSeF na polecenie Sprzedawcy.
3. Z chwilą przyjęcia faktury przez KSeF administratorem danych w tym systemie staje się Ministerstwo Finansów / Krajowa Administracja Skarbowa na podstawie przepisów prawa.

IV. Jakie dane przetwarzamy

1. Dane konta Stripe: identyfikator konta Stripe (acct_…), nazwa działalności, tryb (testowy/produkcyjny).
2. Dane sprzedawcy do faktury: NIP, nazwa, adres (ulica, numer, kod pocztowy, miejscowość) — wprowadzone ręcznie lub pobrane z rejestru CEIDG po numerze NIP.
3. Poświadczenia KSeF: certyfikat KSeF (.crt/.pem), klucz prywatny (.key) wraz z hasłem, lub token autoryzacyjny KSeF. Dane te są przechowywane wyłącznie w postaci zaszyfrowanej (patrz pkt VIII).
4. Tokeny dostępowe Stripe (OAuth): token dostępu i odświeżania umożliwiające odczyt faktur — przechowywane w postaci zaszyfrowanej.
5. Dane faktur i nabywców odczytywane ze Stripe: numer faktury, pozycje, kwoty, waluta, daty oraz dane nabywcy (nazwa, adres, NIP) — wykorzystywane do zbudowania ustrukturyzowanej faktury FA(3) i wysyłki do KSeF.
6. Rejestr wysyłek: numer referencyjny KSeF, Urzędowe Poświadczenie Odbioru (UPO), status, komunikaty błędów i znaczniki czasu.
7. Dane o użyciu i rozliczeniach: liczba faktur wysłanych w danym miesiącu (na potrzeby naliczania opłaty).

V. Cele i podstawy prawne przetwarzania

1. Świadczenie usługi (art. 6 ust. 1 lit. b RODO): instalacja Aplikacji, konfiguracja, wysyłka faktur do KSeF, zapis numeru KSeF w fakturze Stripe.
2. Obowiązki prawne (art. 6 ust. 1 lit. c RODO): rozliczenia podatkowe Operatora oraz — po stronie Sprzedawcy — obowiązek e-fakturowania w KSeF.
3. Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO): zapewnienie bezpieczeństwa, diagnostyka błędów, dochodzenie i obrona roszczeń.

VI. Uprawnienia w Stripe (zakresy OAuth)

Aplikacja korzysta z minimalnego zakresu uprawnień do konta Stripe Sprzedawcy, niezbędnego do realizacji usługi:

1. invoice_read — odczyt faktur w celu ich wysłania do KSeF;
2. invoice_write — zapis numeru referencyjnego KSeF w metadanych faktury po udanej wysyłce;
3. customer_read — odczyt danych nabywcy (nazwa, adres, NIP) wymaganych w sekcji Podmiot2 faktury FA(3);
4. credit_note_read — odczyt not korygujących w celu wystawienia faktur korygujących (FA-KOR).

VII. Odbiorcy danych i podprocesorzy

Dane mogą być przekazywane wyłącznie podmiotom niezbędnym do realizacji usługi:

1. Stripe (Stripe Payments Europe / Stripe, Inc.) — platforma będąca źródłem faktur oraz operator płatności abonamentu.
2. Ministerstwo Finansów RP — KSeF — faktury są wysyłane do Krajowego Systemu e-Faktur (jest to istota usługi i wynika z przepisów prawa).
3. CEIDG (Centralna Ewidencja i Informacja o Działalności Gospodarczej) — publiczny rejestr odpytywany po numerze NIP w celu uzupełnienia danych sprzedawcy.
4. Dostawca hostingu — infrastruktura serwerowa, na której działa Aplikacja (webio.pl, serwery w Polsce).

Poza powyższym Operator nie udostępnia danych innym podmiotom w celach marketingowych ani analitycznych.

VIII. Bezpieczeństwo danych

1. Szyfrowanie w spoczynku: poświadczenia KSeF (certyfikat, klucz prywatny, hasło, token) oraz tokeny OAuth Stripe są przechowywane w bazie danych wyłącznie w postaci zaszyfrowanej (mechanizm ASP.NET Core Data Protection). Klucz prywatny certyfikatu jest używany wyłącznie po stronie serwera do podpisania żądania uwierzytelnienia w KSeF i nigdy nie jest udostępniany.
2. Szyfrowanie w transmisji: wszystkie połączenia z Aplikacją odbywają się przez protokół TLS (HTTPS).
3. Kontrola dostępu i monitoring: dostęp do danych mają wyłącznie upoważnione osoby; prowadzone są logi systemowe na potrzeby bezpieczeństwa i diagnostyki.

IX. Okres przechowywania danych

1. Poświadczenia KSeF oraz tokeny OAuth są przechowywane przez okres, w którym Aplikacja jest zainstalowana. Po odinstalowaniu Aplikacji tokeny dostępowe są usuwane, a konto dezaktywowane.
2. Rejestr wysyłek (numery KSeF, UPO) może być przechowywany przez okres wymagany przepisami podatkowymi i okres przedawnienia roszczeń.
3. W celu pełnego usunięcia danych prosimy o kontakt: support@ksef-connect.pl.

X. Prawa osób, których dane dotyczą

Przysługuje prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu oraz wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Realizacja praw: support@ksef-connect.pl.

XI. Przekazywanie danych poza EOG

W zakresie, w jakim Stripe przetwarza dane poza Europejskim Obszarem Gospodarczym, odbywa się to na podstawie mechanizmów przewidzianych w RODO (m.in. standardowych klauzul umownych). Wysyłka faktur do KSeF odbywa się na serwerach Ministerstwa Finansów w Polsce.

XII. Zmiany Polityki Prywatności

Operator zastrzega sobie prawo do zmian niniejszej Polityki. O istotnych zmianach Użytkownicy zostaną poinformowani poprzez Aplikację lub wiadomość e-mail.