Polityka prywatności

Sekcja 1 · Wprowadzenie i zakres

1. Kim jesteśmy i czego dotyczy ta polityka

Niniejsza Polityka prywatności dotyczy przetwarzania danych osobowych w ramach wszystkich usług świadczonych przez Metamorfozis Gletschmann spółka jawna (dalej „Metamorfozis”, „my”), w tym:

  • serwis internetowy metamorfozis.pl (strona Anny Gletschmann, blog, artykuły, formularze kontaktowe);
  • serwis metamorfozis.club (strona aplikacji — landing) oraz app.metamorfozis.club (aplikacja SaaS do generowania Kart Obliczeń Numerologicznych™);
  • widget rezerwacji wizyt osadzony na stronach partnerskich (korzysta z API metamorfozis.club);
  • bezpłatne narzędzie „Bezpłatna Karta” dostępne pod adresem metamorfozis.club/free;
  • komunikacja e-mail, w tym newsletter (dobrowolna lista mailingowa).

Administrator danych:
Metamorfozis Gletschmann spółka jawna
NIP: 6711868606 · KRS: 0001193277 · REGON: 54267865600000

Kontakt w sprawach ochrony danych: rodo@metamorfozis.pl

Sekcja 2 · Cele i podstawy prawne (art. 6 RODO)

2. Cele i podstawy prawne przetwarzania Twoich danych

Przetwarzamy Twoje dane osobowe na różnych podstawach prawnych, zależnie od celu:

2.1 Wykonanie umowy (art. 6 ust. 1 lit. b RODO)

  • rejestracja konta administratora (praktyka numerologii) w aplikacji app.metamorfozis.club;
  • obsługa subskrypcji (planu Hobby lub Profesjonalnego) — logowanie, generowanie Kart, zarządzanie klientami praktyka;
  • realizacja rezerwacji wizyty przez widget rezerwacyjny;
  • dostarczenie bezpłatnej Karty pod wskazany adres e-mail (w ramach funkcji „Bezpłatna Karta”).

2.2 Zgoda (art. 6 ust. 1 lit. a RODO)

  • zapis na listę mailingową i otrzymywanie newslettera — zgoda wyrażona w ramach tzw. double opt-in (potwierdzenie linkiem w e-mailu);
  • pliki cookies nie będące niezbędne do działania serwisu — obecnie nie są stosowane, ale jeśli w przyszłości zostaną wdrożone, będą wymagały wyraźnej zgody wyrażonej przez banner cookies.

2.3 Obowiązek prawny (art. 6 ust. 1 lit. c RODO)

  • prowadzenie dokumentacji księgowej i podatkowej (ustawa o rachunkowości — retencja 5 lat);
  • odpowiedź na żądania organów publicznych (np. urząd skarbowy, PUODO, prokuratura).

2.4 Uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO)

  • zapewnienie bezpieczeństwa serwisów (logi operacyjne, ochrona przed atakami — retencja do 12 miesięcy);
  • obrona przed roszczeniami i dochodzenie roszczeń własnych (retencja przez okres przedawnienia);
  • marketing bezpośredni własnych usług kierowany do istniejących klientów (z możliwością sprzeciwu w każdym momencie);
  • analiza ruchu w serwisie na poziomie zagregowanym/anonimowym (obecnie nie prowadzimy).
Sekcja 3 · Okres przechowywania

3. Jak długo przechowujemy Twoje dane

Okres przechowywania zależy od rodzaju danych i celu przetwarzania:

Rodzaj danych Okres przechowywania
Dane konta administratora (praktyka) w aplikacji Przez okres aktywnej subskrypcji. Po jej zakończeniu: 30 dni grace period (można reaktywować), następnie 90 dni do pełnego usunięcia z systemów (w tym z kopii zapasowych). Wyjątek: dane niezbędne do prowadzenia dokumentacji księgowej — 5 lat.
Nieaktywne konta administratorów (założone konto bez aktywnej subskrypcji i bez logowania) Po 6 miesiącach bez aktywności i bez aktywnej subskrypcji: ostrzeżenie e-mailowe (30 dni), następnie ostateczne ostrzeżenie (7 dni), po czym konto i powiązane dane są anonimizowane. Dla aktywnych subskrybentów obowiązują osobne zasady zakończenia subskrypcji (tryb archiwum — patrz Regulamin).
Wygenerowane Karty Obliczeń Numerologicznych™ — plan Profesjonalny Przez okres aktywnej subskrypcji administratora + 30 dni grace.
Wygenerowane Karty — plan Hobby i Bezpłatna Karta Nie przechowujemy Kart na serwerze. Karta jest generowana, wysyłana/udostępniana do pobrania i natychmiast usuwana z naszej infrastruktury (model generate-and-forget).
Dane klientów praktyka (osób obsługiwanych przez administratora w ramach planu Profesjonalnego) Przez okres aktywnej subskrypcji praktyka. Szczegóły reguluje odrębna umowa powierzenia przetwarzania (DPA) zawierana z administratorem.
Dane osoby korzystającej z Bezpłatnej Karty Adres e-mail przechowywany w formie skrótu kryptograficznego (SHA-256) przez 12 miesięcy — wyłącznie w celu egzekwowania dziennego limitu i ochrony przed nadużyciami. Dane z formularza (imiona, nazwisko, data urodzenia) nie są zapisywane na serwerze po wygenerowaniu Karty.
Lista mailingowa (newsletter) Do momentu wypisania się. Po wypisaniu — dane są usuwane w ciągu 30 dni; do tego czasu przechowujemy informację o statusie rezygnacji, aby nie wysłać niechcianych wiadomości.
Dane płatności i faktury 5 lat kalendarzowych od końca roku, w którym powstał obowiązek podatkowy (ustawa o rachunkowości, ustawa o VAT).
Logi operacyjne (dostęp, zdarzenia bezpieczeństwa) Do 12 miesięcy, po czym są agregowane do postaci nieosobowej lub usuwane.
Korespondencja e-mail z Metamorfozis Przez okres niezbędny do zakończenia sprawy + 3 lata (przedawnienie roszczeń konsumenckich).
Sekcja 4 · Podprocesorzy i odbiorcy

4. Komu przekazujemy Twoje dane (podprocesorzy i odbiorcy)

Korzystamy z zaufanych dostawców usług IT („podprocesorów”), którzy przetwarzają dane wyłącznie zgodnie z naszymi poleceniami i w zakresie niezbędnym do świadczenia usług. Z każdym podprocesorem zawarliśmy umowę powierzenia przetwarzania zgodną z art. 28 RODO.

Podprocesor Rola Lokalizacja danych Podstawa transferu poza EOG
Hetzner Online GmbH
Gustav-Stresemann-Ring 1, 65189 Wiesbaden, Niemcy		 Hosting serwerów, bazy danych, przechowywanie plików Niemcy (EOG) Brak transferu poza EOG
Cloudflare, Inc.
101 Townsend St, San Francisco, CA 94107, USA		 CDN, ochrona DDoS, tunel bezpieczeństwa, firewall aplikacyjny Sieć globalna (w tym USA) EU-US Data Privacy Framework + standardowe klauzule umowne (SCCs)
Microsoft Ireland Operations Ltd.
One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irlandia
(podmiot zależny Microsoft Corporation, USA)		 Wysyłka poczty elektronicznej (Microsoft 365 / Exchange Online / Microsoft Graph API) Polska — w ramach usługi EU Data Boundary (dane Exchange Online, Exchange Online Protection przechowywane w centrach danych Microsoft w Polsce; zadeklarowane geograficznie na obszarze Unia Europejska / EFTA) Dane przetwarzane w EOG (brak transferu poza EOG w zakresie danych przechowywanych w spoczynku). W pojedynczych przypadkach czynności wsparcia technicznego mogą wymagać dostępu z USA — zabezpieczone przez EU-US Data Privacy Framework + standardowe klauzule umowne (SCCs).
SMSAPI.pl sp. z o.o.
Rondo Wiatraczna 1, 04-105 Warszawa, Polska		 Wysyłka wiadomości SMS (kody weryfikacyjne, MFA) Polska (EOG) Brak transferu poza EOG
Stripe Payments Europe, Ltd.
1 Grand Canal Street Lower, Dublin, Irlandia
(planowane — po uruchomieniu płatności)		 Obsługa płatności elektronicznych za subskrypcję Irlandia + USA EU-US Data Privacy Framework + SCCs
Meta Platforms Ireland Ltd.
4 Grand Canal Square, Dublin, Irlandia
(planowane — po integracji WhatsApp)		 Wysyłka powiadomień przez WhatsApp Business Cloud API Irlandia + USA EU-US Data Privacy Framework + SCCs

Dodatkowo, Twoje dane mogą być udostępnione następującym kategoriom odbiorców — wyłącznie gdy jest to niezbędne:

  • biuro rachunkowe Metamorfozis (w zakresie niezbędnym do prowadzenia ksiąg);
  • radca prawny lub adwokat (w zakresie niezbędnym do obrony przed roszczeniami lub ich dochodzenia);
  • organy publiczne uprawnione na podstawie przepisów prawa (np. urząd skarbowy, PUODO, prokuratura, sąd);
  • potencjalny nabywca przedsiębiorstwa Metamorfozis (wyłącznie w przypadku sprzedaży/fuzji — z zapewnieniem ciągłości ochrony).
Sekcja 5 · Transfery poza EOG

5. Przekazywanie danych poza Europejski Obszar Gospodarczy

Niektóre z podprocesorów wymienionych w sekcji 4 mają siedzibę w USA lub przetwarzają dane w infrastrukturze globalnej. W takich przypadkach stosujemy następujące mechanizmy ochrony wymagane przez art. 45-46 RODO:

  • Decyzja Komisji Europejskiej o adekwatności — dla Stanów Zjednoczonych obowiązuje decyzja z lipca 2023 r. w ramach programu EU-US Data Privacy Framework (DPF). Dostawcy, którzy przystąpili do DPF, zapewniają odpowiedni poziom ochrony.
  • Standardowe klauzule umowne (SCCs) — przyjęte przez Komisję Europejską (decyzja 2021/914/UE) jako dodatkowe zabezpieczenie kontraktowe.
  • Techniczne i organizacyjne środki bezpieczeństwa — szyfrowanie w tranzycie (TLS 1.3), szyfrowanie danych w spoczynku, minimalizacja danych przekazywanych poza EOG.

Kopię stosowanych klauzul umownych możesz otrzymać na wniosek pod adresem rodo@metamorfozis.pl.

Sekcja 6 · Twoje prawa (art. 15–22 RODO)

6. Twoje prawa

W związku z przetwarzaniem Twoich danych osobowych przysługują Ci następujące prawa:

  • prawo dostępu do danych (art. 15 RODO);
  • prawo sprostowania danych nieprawidłowych lub niekompletnych (art. 16 RODO);
  • prawo usunięcia danych („prawo do bycia zapomnianym”, art. 17 RODO) — w granicach wynikających z innych przepisów prawa (np. obowiązku przechowywania dokumentacji podatkowej);
  • prawo ograniczenia przetwarzania (art. 18 RODO);
  • prawo do przenoszenia danych — otrzymania ich w formacie maszynowym lub przekazania innemu administratorowi (art. 20 RODO);
  • prawo sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie (art. 21 RODO) — w tym sprzeciwu wobec marketingu bezpośredniego;
  • prawo wycofania zgody w dowolnym momencie (art. 7 ust. 3 RODO) — dotyczy newslettera i innych przetwarzań opartych na zgodzie; wycofanie nie wpływa na zgodność z prawem przetwarzania sprzed wycofania;
  • prawo wniesienia skargi do organu nadzorczego — Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Jak skorzystać z tych praw:

  • wyślij wiadomość na adres rodo@metamorfozis.pl;
  • odpowiemy na Twoje żądanie bez zbędnej zwłoki, nie później niż w terminie 30 dni od otrzymania wniosku (termin może zostać przedłużony o maksymalnie 2 miesiące w przypadku żądań skomplikowanych — z odpowiednim uzasadnieniem);
  • w niektórych przypadkach możemy poprosić Cię o potwierdzenie tożsamości (np. przez zalogowanie się do konta), jeśli mamy uzasadnione wątpliwości co do osoby składającej wniosek.
Sekcja 7 · Decyzje zautomatyzowane

7. Decyzje zautomatyzowane i profilowanie

Nie podejmujemy wobec Ciebie decyzji w sposób wyłącznie zautomatyzowany, w tym nie dokonujemy profilowania, które miałoby istotny wpływ na Twoją sytuację prawną lub znacząco na Ciebie oddziaływało (w rozumieniu art. 22 RODO).

Generowanie Karty Obliczeń Numerologicznych™ jest czynnością obliczeniową — Karta przedstawia wynik obliczenia matematycznego, a nie decyzję wywołującą skutki prawne. Interpretacja Karty dokonywana jest przez człowieka (praktyka numerologii).

Sekcja 8 · Free tier · mailing · rola procesor

8. Specyficzne sposoby przetwarzania

8.1 Bezpłatna Karta (Free tier)

Funkcja „Bezpłatna Karta” umożliwia wygenerowanie maksymalnie 3 darmowych Kart (limit dożywotni per adres e-mail). Aby zapobiec nadużyciom:

  • Twój adres e-mail jest przechowywany wyłącznie w formie skrótu kryptograficznego (SHA-256) — nie mamy dostępu do adresu w formie jawnej po zakończeniu procesu generowania;
  • dane z formularza (imiona, nazwisko, data urodzenia) są przetwarzane tranzytowo — wyłącznie w celu wygenerowania Karty, a następnie usuwane z pamięci serwera;
  • deduplikacja żądań odbywa się po skrócie danych wejściowych (nie po danych jawnych);
  • logi zdarzeń (generowanie udane / nieudane, liczba prób) są przechowywane maksymalnie 12 miesięcy.

8.2 Lista mailingowa

Zapis na listę mailingową odbywa się w modelu double opt-in: po przesłaniu adresu otrzymasz e-mail z prośbą o potwierdzenie chęci zapisu kliknięciem w link. Bez potwierdzenia Twój adres nie zostanie dodany do listy wysyłkowej.

W każdej wiadomości newslettera umieszczony jest link do wypisania się („unsubscribe”). Kliknięcie jest natychmiastowe i nieodwracalne (możesz w każdej chwili zapisać się ponownie). Po wypisaniu usuwamy Twoje dane w ciągu 30 dni.

Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda) + art. 172 ust. 1 ustawy Prawo telekomunikacyjne + art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną.

8.3 Aplikacja metamorfozis.club — rola administratora i procesora

W zależności od korzystanej funkcji aplikacji, Metamorfozis występuje w dwóch różnych rolach:

  • Administrator danych — w zakresie danych dotyczących samego praktyka (imię, nazwisko, e-mail, dane firmowe, dane płatnicze, dane logowania, historia subskrypcji);
  • Podmiot przetwarzający (procesor) — w zakresie danych klientów praktyka, które praktyk wprowadza do aplikacji w planie Profesjonalnym (dane niezbędne do wygenerowania Karty klienta, notatki, pliki mediów udostępnione klientowi).

W drugim przypadku to praktyk jest administratorem danych swoich klientów, a Metamorfozis jedynie przetwarza te dane na jego polecenie. Zasady tej współpracy reguluje odrębna Umowa powierzenia przetwarzania (DPA) akceptowana przez praktyka przy rejestracji lub aktywacji planu Profesjonalnego.

Treść DPA dostępna jest wyłącznie w panelu administratora po zalogowaniu do Aplikacji (nie jest publikowana publicznie — stanowi indywidualną umowę pomiędzy Usługodawcą a konkretnym administratorem Planu Profesjonalnego).

Sekcja 9 · Cookies

9. Pliki cookies

Szczegółowe informacje na temat plików cookies znajdziesz w odrębnych dokumentach — zakres cookies zależy od serwisu:

Sekcja 10 · Naruszenia

10. Naruszenia ochrony danych

W przypadku naruszenia ochrony Twoich danych osobowych, jeśli może ono skutkować wysokim ryzykiem naruszenia Twoich praw lub wolności, powiadomimy Cię o tym bez zbędnej zwłoki (art. 34 RODO) oraz zgłosimy incydent Prezesowi UODO w terminie 72 godzin (art. 33 RODO).

Sekcja 11 · Zmiany polityki

11. Zmiany polityki prywatności

Niniejsza Polityka prywatności może być aktualizowana. Data ostatniej zmiany widnieje na początku dokumentu. O istotnych zmianach (np. zmianie celu przetwarzania, dodaniu nowego podprocesora) powiadomimy Cię z wyprzedzeniem — e-mailem (jeśli posiadamy Twoje konto) lub komunikatem w serwisie.