Przejdź do treści
← Strona główna

Polityka prywatności NextFlow CRM

Ostatnia aktualizacja: 2026-05-28

Niniejsza polityka wyjaśnia, jak przetwarzamy dane osobowe użytkowników korzystających z NextFlow CRM (app.getnextflow.pl) zgodnie z Rozporządzeniem (UE) 2016/679 (RODO) oraz innymi obowiązującymi przepisami.

1. Administrator danych

Administratorem danych osobowych zbieranych w ramach Serwisu jest Łukasz Czechowski, prowadzący działalność gospodarczą. Kontakt: biuro@getnextflow.pl. Inspektor Ochrony Danych (IOD): brak obowiązku ustanowienia (organizacja poniżej progu); pytania w sprawach prywatności kierować pod adresem kontaktowym.

Ważne: jeśli korzystasz z Serwisu jako użytkownik konta klienta (np. handlowiec w firmie X korzystającej z NextFlow), administratorem Twoich danych jest ta firma. NextFlow działa jako procesor(podmiot przetwarzający) w rozumieniu art. 28 RODO.

2. Zakres przetwarzanych danych

Przetwarzamy następujące kategorie danych:

  • Dane konta: email, hasło (hashowane bcrypt), imię i nazwisko, telefon kontaktowy, rola w organizacji.
  • Dane firmowe: nazwa firmy, NIP, REGON, KRS, adres siedziby, branding (logo, kolory).
  • Dane operacyjne CRM: klienci, kontakty, oferty, faktury, spotkania, zadania, notatki — wprowadzane przez Ciebie i przetwarzane wyłącznie w celu świadczenia usługi.
  • Dane techniczne: adres IP, identyfikator sesji, log aktywności (audit_log), znaczniki czasu.
  • Dane płatności: obsługiwane przez Stripe Payments Europe Ltd. Numery kart NIE są przechowywane w NextFlow — jedynie identyfikator klienta i subskrypcji Stripe.
  • Dane integracji: tokeny OAuth (Google/Outlook Calendar), hasła SMTP/IMAP szyfrowane AES-256-GCM kluczem aplikacji, tokeny iCal (opaque, hex).
  • Treści AI: prompty i odpowiedzi przekazywane do Anthropic PBC (Claude). Anthropic deklaruje brak wykorzystania do treningu (Commercial API).

3. Cele i podstawy prawne

CelPodstawaOkres
Świadczenie usługi (umowa)art. 6(1)(b) RODOCzas trwania umowy + 30 dni
Rozliczenia, fakturyart. 6(1)(c) RODO + Ustawa o VAT5 lat (art. 112 ust. VAT)
Marketing własny (newsletter)art. 6(1)(a) RODO (zgoda)Do wycofania zgody
Obrona przed roszczeniamiart. 6(1)(f) RODO (uzasadniony interes)Okres przedawnienia
Bezpieczeństwo (logi)art. 6(1)(f) RODO90 dni

4. Odbiorcy danych (subprocesorzy)

Powierzamy dane następującym podmiotom przetwarzającym na podstawie umów RODO art. 28:

  • Supabase Inc. (EU region — Frankfurt) — hosting bazy danych PostgreSQL, autoryzacja, storage, realtime. DPA.
  • Vercel Inc. (EU region) — serwer aplikacyjny (Next.js), CDN, logi. DPA.
  • Stripe Payments Europe Ltd. (Irlandia) — przetwarzanie płatności kartą.
  • Anthropic PBC (USA, SCC + DPF) — wyłącznie dla funkcji AI; opcjonalne, można wyłączyć w ustawieniach planu.
  • Resend.com (UE/USA, SCC) — transactional emails (powiadomienia systemowe NextFlow do Klienta).
  • Cloudflare — DNS, DDoS protection.

Pełna lista subprocesorów i ich aktualizacje: dostępne na żądanie pod adresem biuro@getnextflow.pl. Zmiana subprocesora jest komunikowana z 30-dniowym wyprzedzeniem.

5. Przekazywanie poza EOG

Dane co do zasady przechowywane są w UE (Supabase Frankfurt + Vercel EU). Przekazywanie do USA występuje przy korzystaniu z Anthropic (AI) oraz potencjalnie Resend — w ramach EU-US Data Privacy Framework lub Standard Contractual Clauses Komisji Europejskiej.

6. Prawa osoby, której dane dotyczą

Zgodnie z RODO przysługują Ci prawa:

  • Dostępu do danych (art. 15) — eksport w panelu (Ustawienia → Eksport danych) lub żądanie mailem.
  • Sprostowania (art. 16) — edycja w panelu.
  • Usunięcia („prawo do bycia zapomnianym", art. 17) — usunięcie konta z panelu albo żądanie mailem; dane usuwane w ciągu 30 dni z wyjątkiem danych, których przechowywanie nakazuje prawo (faktury — 5 lat).
  • Ograniczenia przetwarzania (art. 18).
  • Przenoszenia danych (art. 20) — eksport JSON/CSV.
  • Sprzeciwu (art. 21).
  • Wycofania zgody w dowolnym momencie — wycofanie nie wpływa na zgodność wcześniejszego przetwarzania.
  • Skargi do Prezesa UODOuodo.gov.pl.

7. Bezpieczeństwo

  • Szyfrowanie w tranzycie: TLS 1.2+ wymagany dla wszystkich połączeń.
  • Szyfrowanie at-rest: Supabase Postgres z AES-256.
  • Hasła SMTP/IMAP/VOIP klientów: AES-256-GCM kluczem aplikacji (key versioning).
  • Hasła użytkowników: hashowane bcrypt (Supabase Auth).
  • Row-Level Security (RLS) Postgres: każdy tenant izolowany od innych.
  • Tokeny iCal: 32-bajtowe opaque, odwoływane przy usunięciu użytkownika z tenanta.
  • Backupy: codzienne snapshoty + point-in-time recovery 7 dni.

8. Pliki cookies

Serwis używa:

  • Cookies sesyjne (niezbędne) — utrzymanie sesji logowania. Brak możliwości wyłączenia.
  • Cookies preferencji (np. wybór motywu, ostatnio otwarte segmenty) — localStorage.
  • Brak cookies trackingowych / marketingowych w panelu. Strona publiczna (getnextflow.pl) może używać Google Analytics — banner zgody pojawi się przed instalacją.

9. Profilowanie i decyzje zautomatyzowane

Serwis używa lead scoringuopartego na regułach (cron co 6 godzin) — nadaje wartość liczbową szansie sprzedaży na podstawie historii kontaktów i wartości szacowanej. Nie jest to decyzja zautomatyzowana wywołująca skutki prawne (art. 22 RODO) — wynik jest sugestią dla handlowca, a nie automatycznym działaniem.

Funkcje AI (Claude) generują sugerowane treści (oferty, podsumowania) — są one zawsze edytowalne przed wysyłką i wymagają zatwierdzenia przez użytkownika.

10. Zmiany Polityki

Zastrzegamy prawo do zmiany niniejszej Polityki. Zmiany komunikowane mailem z 14-dniowym wyprzedzeniem.

11. Kontakt

Wszystkie pytania, żądania realizacji praw RODO oraz zgłoszenia incydentów: biuro@getnextflow.pl.

Niniejsza Polityka jest dokumentem żyjącym i będzie aktualizowana wraz z rozwojem Serwisu oraz zmianami przepisów (m.in. DSA, AI Act, KSeF od 2026-07-01).