Polityka Prywatności

Data ostatniej aktualizacji: 25 marca 2026 r.

Spis treści:
  1. Administrator danych osobowych
  2. Zakres zbieranych danych
  3. Cele i podstawy prawne przetwarzania
  4. Okres przechowywania danych
  5. Prawa Użytkownika
  6. Prawo do wniesienia skargi
  7. Odbiorcy danych
  8. Przekazywanie danych poza EOG
  9. Pliki cookie i technologie śledzenia
  10. Profilowanie i zautomatyzowane podejmowanie decyzji
  11. Bezpieczeństwo danych
  12. Dane dzieci
  13. Zmiany polityki prywatności

§ 1. Administrator danych osobowych

1.1. Administratorem danych osobowych w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) jest:

Heatsmart
Adres: [uzupełnij adres siedziby]
NIP: [uzupełnij NIP]
REGON: [uzupełnij REGON]
(dalej: „Administrator")

1.2. W sprawach dotyczących ochrony danych osobowych można kontaktować się z Administratorem:

  • drogą elektroniczną: kontakt@energyapp.pl
  • listownie na adres siedziby Administratora z dopiskiem „Ochrona danych osobowych".

§ 2. Zakres zbieranych danych

2.1. W ramach korzystania z Serwisu przetwarzamy następujące kategorie danych osobowych:

a) Dane rejestracyjne (podawane przez Użytkownika):

  • nazwa użytkownika,
  • adres e-mail,
  • hasło (przechowywane wyłącznie w formie skrótu kryptograficznego – hash bcrypt; Administrator nie ma dostępu do hasła w postaci jawnej).

b) Dane techniczne (zbierane automatycznie):

  • adres IP,
  • typ i wersja przeglądarki internetowej (User-Agent),
  • data i godzina dostępu,
  • identyfikator sesji (cookie sesyjne).

c) Dane aktywności (rejestrowane w celach bezpieczeństwa):

  • historia logowań (udanych i nieudanych) wraz z adresem IP,
  • data ostatniej aktywności,
  • liczba wykonanych obliczeń w bieżącym miesiącu,
  • typ wykonanej czynności (logowanie, wylogowanie, reset hasła, usunięcie konta).

d) Dane projektowe (wprowadzane przez Użytkownika):

  • nazwy i opisy projektów,
  • parametry techniczne urządzeń energetycznych,
  • wyniki obliczeń energetycznych,
  • treści raportów audytowych (jeśli wprowadzone).

Uwaga: Dane projektowe co do zasady nie stanowią danych osobowych, chyba że Użytkownik wprowadzi w nich informacje umożliwiające identyfikację osób fizycznych.

2.2. Podanie danych rejestracyjnych jest dobrowolne, lecz niezbędne do utworzenia Konta i korzystania z usług Serwisu. Niepodanie wymaganych danych uniemożliwia rejestrację.

2.3. Dane techniczne i dane aktywności są zbierane automatycznie i są niezbędne do zapewnienia bezpieczeństwa i prawidłowego funkcjonowania Serwisu.

§ 3. Cele i podstawy prawne przetwarzania

Dane osobowe są przetwarzane w następujących celach i na następujących podstawach prawnych:

Cel przetwarzania Podstawa prawna Zakres danych
Świadczenie usług – rejestracja, logowanie, wykonywanie obliczeń, generowanie raportów Art. 6 ust. 1 lit. b RODO – wykonanie umowy o świadczenie usług drogą elektroniczną Dane rejestracyjne, dane projektowe
Zapewnienie bezpieczeństwa – ochrona przed nieautoryzowanym dostępem, wykrywanie naruszeń Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora Dane techniczne, dane aktywności, adres IP
Komunikacja – odpowiadanie na zapytania, powiadomienia systemowe, informowanie o zmianach Regulaminu Art. 6 ust. 1 lit. b RODO – wykonanie umowy
Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes		 Adres e-mail
Doskonalenie usług – analiza sposobu korzystania z Serwisu w celu poprawy jakości i funkcjonalności Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora Dane techniczne, zanonimizowane dane aktywności
Realizacja obowiązków prawnych – np. odpowiedź na żądania organów państwowych Art. 6 ust. 1 lit. c RODO – obowiązek prawny Zakres wymagany przez przepisy
Ustalenie, dochodzenie lub obrona roszczeń Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Dane rejestracyjne, dane aktywności

§ 4. Okres przechowywania danych

Dane osobowe są przechowywane przez okres niezbędny do realizacji celów, dla których zostały zebrane:

Kategoria danych Okres przechowywania
Dane konta (rejestracyjne) Do momentu usunięcia Konta przez Użytkownika lub Administratora
Dane projektowe Do momentu usunięcia projektu lub Konta
Logi aktywności (logowania, błędy) 12 miesięcy od daty zdarzenia
Dane techniczne (IP, User-Agent) 12 miesięcy od daty zdarzenia
Dane dotyczące reklamacji Do czasu zakończenia postępowania reklamacyjnego + 12 miesięcy
Dane do obrony roszczeń Do upływu terminu przedawnienia roszczeń (3 lata – roszczenia konsumenckie, 6 lat – roszczenia ogólne)

Po upływie powyższych okresów dane są trwale usuwane lub anonimizowane.

§ 5. Prawa Użytkownika

5.1. Zgodnie z RODO, Użytkownikowi przysługują następujące prawa w odniesieniu do jego danych osobowych:

  • Prawo dostępu (art. 15 RODO) – prawo do uzyskania potwierdzenia, czy dane osobowe są przetwarzane, oraz do uzyskania kopii przetwarzanych danych.
  • Prawo do sprostowania (art. 16 RODO) – prawo do żądania niezwłocznego poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych. Użytkownik może samodzielnie zmienić adres e-mail w ustawieniach profilu.
  • Prawo do usunięcia (art. 17 RODO) – prawo do żądania usunięcia danych osobowych („prawo do bycia zapomnianym"). Użytkownik może samodzielnie usunąć Konto w ustawieniach profilu, co spowoduje trwałe usunięcie wszystkich powiązanych danych.
  • Prawo do ograniczenia przetwarzania (art. 18 RODO) – prawo do żądania ograniczenia przetwarzania danych w przypadkach określonych w RODO.
  • Prawo do przenoszenia danych (art. 20 RODO) – prawo do otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Serwis umożliwia eksport danych projektowych do formatów Excel (XLSX) i CSV.
  • Prawo do sprzeciwu (art. 21 RODO) – prawo do wniesienia sprzeciwu wobec przetwarzania danych opartego na prawnie uzasadnionym interesie Administratora (art. 6 ust. 1 lit. f RODO).
  • Prawo do cofnięcia zgody – w przypadku przetwarzania opartego na zgodzie, Użytkownik ma prawo do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

5.2. W celu skorzystania z powyższych praw prosimy o kontakt na adres: kontakt@energyapp.pl. Administrator rozpatrzy żądanie bez zbędnej zwłoki, nie później niż w terminie miesiąca od jego otrzymania. W szczególnie skomplikowanych przypadkach termin ten może zostać przedłużony o kolejne dwa miesiące, o czym Użytkownik zostanie poinformowany.

5.3. Administrator może odmówić realizacji żądania wyłącznie w przypadkach przewidzianych przez RODO i inne obowiązujące przepisy prawa, informując Użytkownika o przyczynach odmowy.

§ 6. Prawo do wniesienia skargi

6.1. Użytkownik ma prawo wniesienia skargi do organu nadzorczego w przypadku uznania, że przetwarzanie jego danych osobowych narusza przepisy RODO.

6.2. Organem nadzorczym właściwym dla Rzeczypospolitej Polskiej jest:

Prezes Urzędu Ochrony Danych Osobowych (PUODO)
ul. Stawki 2, 00-193 Warszawa
Strona internetowa: https://uodo.gov.pl
Infolinia: 606-950-000

§ 7. Odbiorcy danych

7.1. Dane osobowe Użytkowników nie są sprzedawane ani udostępniane podmiotom trzecim w celach marketingowych.

7.2. Dane mogą być udostępniane następującym kategoriom odbiorców wyłącznie w zakresie niezbędnym do realizacji wskazanych celów:

  • Dostawcy usług hostingowych i infrastruktury IT – podmioty zapewniające serwery i infrastrukturę techniczną niezbędną do działania Serwisu (na podstawie umowy powierzenia przetwarzania danych osobowych, art. 28 RODO).
  • Dostawcy usług e-mail – podmioty realizujące wysyłkę wiadomości systemowych (np. reset hasła), na podstawie umowy powierzenia przetwarzania.
  • Dostawcy usług monitoringu błędów – w celu wykrywania i naprawy problemów technicznych (np. Sentry), na podstawie umowy powierzenia przetwarzania. Dane przekazywane w tym zakresie są ograniczone do minimum niezbędnego do identyfikacji błędu.
  • Organy państwowe – na podstawie bezwzględnie obowiązujących przepisów prawa (np. na żądanie sądu, prokuratury, Policji).

7.3. Administrator wymaga od wszystkich podmiotów przetwarzających dane w jego imieniu zapewnienia odpowiedniego poziomu ochrony danych osobowych, zgodnego z RODO.

§ 8. Przekazywanie danych poza EOG

8.1. Co do zasady dane osobowe Użytkowników nie są przekazywane poza Europejski Obszar Gospodarczy (EOG).

8.2. W przypadku konieczności przekazania danych poza EOG (np. w związku z korzystaniem z usług chmurowych), transfer odbywa się wyłącznie na podstawie jednego z poniższych mechanizmów:

  • decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony danych w państwie docelowym (art. 45 RODO),
  • standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO),
  • wiążących reguł korporacyjnych (BCR) zatwierdzonego podmiotu (art. 47 RODO).

8.3. Użytkownik ma prawo uzyskać kopię stosowanych zabezpieczeń, kontaktując się z Administratorem.

§ 9. Pliki cookie i technologie śledzenia

9.1. Serwis wykorzystuje pliki cookie zgodnie z art. 173 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. z 2024 r. poz. 34 ze zm.).

9.2. Rodzaje stosowanych plików cookie:

Nazwa / Typ Cel Okres ważności Kategoria
session Utrzymanie sesji logowania użytkownika 7 dni lub do wylogowania Niezbędne
Token CSRF Ochrona przed atakami Cross-Site Request Forgery Czas trwania sesji Niezbędne
cookieConsent (localStorage) Zapamiętanie zgody użytkownika na pliki cookie Bezterminowo (do ręcznego usunięcia) Funkcjonalne

9.3. Serwis nie wykorzystuje:

  • plików cookie marketingowych ani reklamowych,
  • plików cookie śledzących aktywność na stronach zewnętrznych,
  • narzędzi analitycznych firm trzecich (np. Google Analytics),
  • pikseli śledzących (tracking pixels),
  • technologii fingerprinting przeglądarki.

9.4. Użytkownik może zarządzać plikami cookie w ustawieniach swojej przeglądarki internetowej, w tym blokować lub usuwać pliki cookie. Wyłączenie plików cookie niezbędnych może uniemożliwić korzystanie z Serwisu (w szczególności logowanie).

9.5. Instrukcje zarządzania plikami cookie w popularnych przeglądarkach:

  • Google Chrome: Ustawienia → Prywatność i bezpieczeństwo → Pliki cookie
  • Mozilla Firefox: Ustawienia → Prywatność i bezpieczeństwo → Ciasteczka i dane stron
  • Microsoft Edge: Ustawienia → Pliki cookie i uprawnienia witryn
  • Safari: Preferencje → Prywatność → Zarządzaj danymi witryn

§ 10. Profilowanie i zautomatyzowane podejmowanie decyzji

10.1. Administrator nie stosuje profilowania w rozumieniu art. 4 pkt 4 RODO, które wywołuje skutki prawne lub w inny istotny sposób wpływa na Użytkownika.

10.2. Administrator nie podejmuje zautomatyzowanych decyzji w rozumieniu art. 22 RODO, które miałyby istotny wpływ na sytuację Użytkownika.

10.3. Obliczenia energetyczne wykonywane przez Serwis mają charakter wyłącznie techniczny i nie stanowią profilowania Użytkownika.

§ 11. Bezpieczeństwo danych

11.1. Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed nieuprawnionym dostępem, utratą, zniszczeniem lub ujawnieniem, zgodnie z art. 32 RODO.

11.2. Stosowane środki techniczne obejmują w szczególności:

  • Szyfrowanie haseł – hasła użytkowników przechowywane są wyłącznie w formie skrótu kryptograficznego (bcrypt), co uniemożliwia ich odczytanie.
  • Ochrona przed atakami CSRF – tokeny CSRF weryfikowane przy każdym żądaniu modyfikującym dane.
  • Ograniczenie prób logowania (rate limiting) – maksymalnie 5 prób logowania na minutę z jednego adresu IP.
  • Zabezpieczone sesje – pliki cookie sesyjne z flagami HttpOnly (niedostępne dla JavaScript) i SameSite=Lax (ochrona przed CSRF).
  • Szyfrowane połączenie – wymuszanie protokołu HTTPS w środowisku produkcyjnym.
  • Polityka uprawnień – wyłączenie dostępu do kamery, mikrofonu i geolokalizacji przeglądarki (Permissions-Policy).
  • Regularne kopie zapasowe – kopie bazy danych tworzone regularnie w celu zapobieżenia utracie danych.

11.3. Administrator regularnie dokonuje przeglądu stosowanych środków bezpieczeństwa i w razie potrzeby je aktualizuje.

§ 12. Dane dzieci

12.1. Serwis nie jest przeznaczony dla osób poniżej 16 roku życia. Administrator świadomie nie zbiera danych osobowych dzieci.

12.2. Jeżeli Administrator poweźmie informację, że dane osobowe dziecka poniżej 16 roku życia zostały zebrane bez zgody rodzica lub opiekuna prawnego, podejmie niezwłocznie kroki w celu usunięcia takich danych.

§ 13. Zmiany polityki prywatności

13.1. Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności w przypadku zmian w przepisach prawa, zmian w sposobie przetwarzania danych lub wprowadzenia nowych funkcjonalności Serwisu.

13.2. O istotnych zmianach Użytkownicy zostaną poinformowani poprzez powiadomienie w Serwisie oraz drogą elektroniczną na adres e-mail podany podczas rejestracji, z co najmniej 14-dniowym wyprzedzeniem.

13.3. Dalsze korzystanie z Serwisu po wejściu w życie zmienionej Polityki Prywatności oznacza akceptację wprowadzonych zmian.

13.4. Aktualna wersja Polityki Prywatności jest zawsze dostępna na stronie Serwisu pod adresem /polityka-prywatnosci.

Powrót Regulamin