Pomiń nawigację
z'K

Polityka prywatności

Krótko, po polsku, bez korpo-języka.

TL;DR. Administrator danych: Workin'Flows Adrian Krawczyk (NIP 9721365392). Zbieramy email + minimum potrzebne do działania marketplace. Nie sprzedajemy danych. Nie tracking cross-site. Możesz zażądać usunięcia konta jednym mailem.

01Kto jest administratorem

Workin'Flows Adrian Krawczyk, NIP 9721365392, kontakt: [email protected]. zKlep jest projektem operującym na infrastrukturze Workin'Flows (sister brand).

02Jakie dane zbieramy

Buyer (kupujący)

  • Email i hasło (zahaszowane bcrypt cost 10) — niezbędne do logowania
  • Adres dostawy — niezbędny do realizacji zamówienia (przekazujemy kurierowi przez Furgonetka)
  • Historia zamówień — niezbędna do reklamacji, KSeF, rozliczenia
  • NIP + dane firmy — tylko jeśli zaznaczysz "chcę fakturę VAT" w checkout
  • Search profile (wektor preferencji) — anonimizowany, używany do personalizacji wyników; możesz wyłączyć w ustawieniach

Vendor (sprzedający)

  • Wszystko z buyera plus: nazwa firmy, NIP, REGON, adres firmowy, IBAN do wypłat Tpay
  • KSeF token autoryzacyjny — szyfrowany Cloud KMS envelope encryption, my (zKlep) nie mamy dostępu do treści tokenu
  • Allegro tokeny dla 1-click import — także szyfrowane KMS
  • Zdjęcia produktów — w GCS (Cloud Storage), publiczne na listingu

03Po co

  • Realizacja umowy (art. 6 ust. 1 lit. b RODO): logowanie, koszyk, payment, dostawa, faktura
  • Obowiązek prawny (art. 6 ust. 1 lit. c RODO): księgowość, KSeF, archiwum faktur 5 lat (ustawa o VAT art. 112-112a)
  • Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO): bezpieczeństwo (rate limiting, fraud detection przez Trust Score Engine), analityka anonimowa

04Komu przekazujemy

  • Tpay (płatności) — minimum (kwota, NIP firmy, email buyer, ID transakcji). Tpay ma KIP od KNF.
  • Furgonetka (dostawa) — adres dostawy, telefon (jeśli podany), waga paczki
  • KSeF (Ministerstwo Finansów) — XML FA(2) z danych vendora i buyera (tylko jeśli buyer zażądał faktury)
  • Resend (email) — adres email + treść maila (transactional, nie marketing)
  • GCP (Google Cloud) — wszystkie dane są na infrastrukturze GCP w regionie europe-central2 (Warszawa). Procesor zgodny z RODO.

Nie sprzedajemy danych. Nie udostępniamy data brokerom. Nie korzystamy z Google Analytics, Meta Pixel, TikTok Pixel ani innych third-party trackerów.

05Jak długo przechowujemy

  • Konto aktywne — przez okres używania konta
  • Konto usunięte — usuwamy dane w 30 dni (poza fakturami które trzymamy 5 lat per ustawa o VAT)
  • Search profile (anonimowy wektor) — 90 dni bez aktywności → automatyczna kasacja
  • Logi systemowe (IP, request ID) — 30 dni
  • Audit events — 5 lat (compliance / DSA art. 30)

06Twoje prawa

  • Dostęp — pobierz wszystkie dane: [email protected]
  • Sprostowanie — popraw dane samodzielnie w panelu, lub mailowo
  • Usunięcie ("prawo do bycia zapomnianym") — mailowo, kasujemy w 30 dni (poza FV archiwalnymi)
  • Przenoszenie — wyeksportujemy dane w JSON
  • Sprzeciw — wobec personalizacji search; możesz wyłączyć w ustawieniach
  • Skarga — Prezes UODO, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl

07Bezpieczeństwo

  • Wszystkie połączenia HTTPS (TLS 1.3 minimum, HSTS preload)
  • Hasła hashowane bcrypt cost 10
  • Tokeny zewnętrzne (KSeF, Allegro) szyfrowane Cloud KMS envelope
  • JWT podpisywane HS256, ważne 1h (refresh token osobny)
  • Backup CloudSQL co 6h, retencja 30 dni, point-in-time recovery
  • Brak third-party trackerów, brak Google Analytics

08Hosting

Wszystkie dane są na infrastrukturze GCP region europe-central2 (Warszawa). Cloud SQL PostgreSQL z Private IP, Cloud Storage europe-central2, Vertex AI europe-central2. Brak transferu danych poza EOG.

Ostatnia aktualizacja: 4 maja 2026. Zmiany w polityce ogłaszamy emailem do wszystkich użytkowników minimum 30 dni przed wejściem w życie.