WolfieAuth WolfieAuth
Terms Privacy Panel 🇬🇧 English

Polityka Prywatności WolfieAuth

Wersja: 1.3
Data obowiązywania: 14 czerwca 2026 r.

1. Administrator Danych Osobowych

Administratorem Twoich danych osobowych w rozumieniu RODO jest:

Paweł Witek prowadzący działalność pod firmą WolfieGuard
Kontakt: office@wolfieguard.com

2. Zakres zbieranych danych

2.1. Dane niezbędne do świadczenia usługi (podstawa: art. 6 ust. 1 lit. b i f RODO)

Kategoria Dane
Identyfikacja Adres email
Uwierzytelnianie Hash hasła (Argon2id — hasło w postaci tekstowej NIE jest przechowywane), sekret TOTP (2FA), kody odzyskiwania
Profil Imię (opcjonalne), język interfejsu (pl/en), rola w systemie
Bezpieczeństwo Adres IP ostatniego logowania, kraj (z geolokalizacji IP), miasto, user-agent przeglądarki, odcisk urządzenia (fingerprint), lista zaufanych urządzeń
Audit Historia logowań (udanych i nieudanych), czasy, IP, kraje, typ zdarzenia
Sesje Aktywne sesje (token sesyjny w postaci losowej, IP, user-agent, czas utworzenia i ostatniej aktywności)
Powiązania Lista Aplikacji Klienckich, do których byłeś zalogowany + powiązania z lokalnymi kontami (np. WP user_id, Perfex staff_id)

2.2. Dane zbierane za dobrowolną zgodą (podstawa: art. 6 ust. 1 lit. a RODO)

2.3. Dane, których NIE zbieramy

3. Cele i podstawy prawne przetwarzania

Cel Podstawa prawna
Świadczenie usługi uwierzytelniania (SSO) art. 6 ust. 1 lit. b RODO (umowa)
Zapewnienie bezpieczeństwa, detekcja nadużyć, audit log art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes)
Obsługa zapytań i zgłoszeń art. 6 ust. 1 lit. f RODO
Wypełnienie obowiązków prawnych art. 6 ust. 1 lit. c RODO
Marketing bezpośredni (email) art. 6 ust. 1 lit. a RODO (zgoda)
Analityka produktowa art. 6 ust. 1 lit. a RODO (zgoda)

4. Okres przechowywania

Kategoria Okres
Konto aktywne Cały czas istnienia konta
Konto zarejestrowane, nigdy nieużywane (porzucone) 30 dni od rejestracji — następnie automatyczne usunięcie (zob. Regulamin §13.1)
Organizacja jednoosobowa, brak aktywności 60 dni → ostrzeżenie do SPECIAL_ADMIN; +30 dni bez reakcji → zamknięcie; +90 dni → trwałe usunięcie (zob. Regulamin §13.2)
Organizacja wieloosobowa, brak aktywności 365 dni → ostrzeżenie; +30 dni → zamknięcie; +90 dni → trwałe usunięcie
Historia logowań (audit log) 3 lata (lub dłużej, jeśli wymaga tego obowiązek prawny)
Historia zgód i wycofań Cały czas istnienia konta + 3 lata po usunięciu (zasada rozliczalności — art. 5 ust. 2 RODO)
Rejestr zgód cookie (brama przed logowaniem) 3 lata od decyzji (dowód zgody w trybie append-only — art. 7 ust. 1 RODO), kopia w WolfieEye
Dane po usunięciu konta Email zastępowany hashem SHA-256, pozostałe dane osobowe usuwane. Audit log zanonimizowany (referencja do hasha) przechowywany przez 3 lata.
Sesje nieaktywne Usuwane automatycznie po 14 dniach od ostatniej aktywności
Failed login attempts 30 dni
Dane marketingowe Do wycofania zgody lub usunięcia konta

Mechanizm retencji. Konta porzucone i nieaktywne organizacje są usuwane przez automatyczne codzienne zadanie cykliczne (account-retention). Pełny opis warunków, etapów (ostrzeżenie → zamknięcie → trwałe usunięcie) i możliwości przywrócenia — w Regulaminie §13.

5. Odbiorcy danych

Twoje dane osobowe mogą być przekazywane następującym kategoriom odbiorców:

  1. Aplikacje Klienckie — w momencie gdy logujesz się przez WolfieAuth do WordPressa, Perfexa itp., odpowiednie dane (sub, email, imię) są przekazywane tej aplikacji w formie tokenu OIDC. Podstawa: Twoje działanie (kliknięcie „zaloguj").
  2. Dostawca infrastruktury — serwer VPS (Contabo, Niemcy, umowa powierzenia w ramach usługi hostingu), dostawca DNS/TLS (Cloudflare Inc., na podstawie Standard Contractual Clauses).
  3. Procesor płatnościStripe Payments Europe, Limited (Irlandia, z subprocesorem Stripe, Inc. w USA). Stripe przetwarza dane karty, billing subskrypcji oraz zwroty dla płatnych pakietów WolfieAuth; Administrator otrzymuje wyłącznie identyfikator klienta / subskrypcji oraz cztery ostatnie cyfry karty. Polityka prywatności Stripe: https://stripe.com/privacy. Podstawa: wykonanie umowy (art. 6 ust. 1 lit. b RODO) dla płatnych pakietów; brak przekazania dla użytkowników pakietu Free.
  4. WolfieEye (analityka + rejestr zgód) — nasza własna, samodzielnie hostowana platforma analityczna (eye.wolfiecloud.com), prowadzona przez tego samego Administratora. Każda decyzja o zgodzie cookie jest kopiowana do WolfieEye, aby dowód zgody istniał w dwóch niezależnych systemach (eksport z dowolnego z nich). Kopia zawiera metadane zgody (kategorie, wersję polityki, znacznik czasu oraz — wyłącznie jeśli podałeś go w bramie — Twój email); nie jest to reklama i nie jest przekazywana dalej. Analityka produktowa jest przetwarzana w WolfieEye tylko jeśli wyraziłeś zgodę na kategorię analityczną; bez zgody pomiar jest anonimowy/zagregowany (bez cookie, bez profilu). Po wyrażeniu zgody warstwa People / „Iris" w WolfieEye ustawia własny (first-party) identyfikator odwiedzającego, dzięki któremu rozpoznajemy powracające wizyty między sesjami (profil pseudonimizowany — nie anonimowy); jeśli później się zidentyfikujesz (zalogowanie, wysłanie formularza lub zamówienie WooCommerce), profil zostaje powiązany z Twoim adresem email, a wcześniejsza anonimowa historia zostaje do niego dołączona (oś czasu, cechy, cele, podobieństwa/affinity). Tam, gdzie dana strona dodatkowo to włączy, Twoje sesje mogą być nagrywane (session replay, rrweb) w celu diagnozy problemów UX — replay to odrębna zgoda per-strona, oparta na tej samej zgodzie analitycznej, a usunięcia profilu, zdarzeń i nagrań możesz zażądać w dowolnej chwili. Nie używamy zewnętrznych trackerów reklamowych ani nie sprzedajemy danych analitycznych.
  5. Organy państwowe — wyłącznie na żądanie zgodne z prawem (np. postanowienie sądu, prokuratora, UODO).
  6. WolfieCRM (zarządzanie leadami) — nasz własny, samodzielnie hostowany CRM, prowadzony przez tego samego Administratora. Gdy rejestrujesz się lub korzystasz z usługi połączonej z WolfieAuth, tworzony jest rekord leada (Twój email, imię oraz aplikacja/vendor, przez którego się zarejestrowałeś) w WolfieCRM, aby vendor odpowiedzialny za tę usługę mógł zarządzać relacją. Lead trafia do organizacji vendora, która prowadzi użytą aplikację (i jest widoczny dla tego vendora oraz, gdy dotyczy, jego resellera w hierarchii Wolfieverse); widzi go też właściciel platformy. Podstawa: prawnie uzasadniony interes w prowadzeniu usługi i zarządzaniu relacją (art. 6 ust. 1 lit. f RODO); maile marketingowe do leada wysyłamy wyłącznie za zgodą marketingową (art. 6 ust. 1 lit. a). Możesz w każdej chwili wnieść sprzeciw / żądać usunięcia (§7).
  7. Partnerzy zewnętrzni (za zgodą)wyłącznie dla osób, które wyraźnie włączyły kategorię „Udostępnianie podmiotom trzecim", ich dane o używaniu/ tożsamości mogą być udostępniane lub sprzedawane partnerom zewnętrznym (np. marketingowym, danologicznym, reklamowym). Przekazywany rekord jest kluczowany stabilnym identyfikatorem cross-site (solony hash emaila — bez ciasteczka podmiotu trzeciego). Osoby, które się nie zgodziły, nigdy nie są ujęte. Zgodę możesz wycofać w dowolnym momencie (§7 pkt 7), co usuwa Cię ze wszystkich przyszłych przekazań. Podstawa: Twoja zgoda (art. 6 ust. 1 lit. a RODO).

NIE przekazujemy danych:

6. Transfer danych poza EOG

Jeśli korzystasz z dostawcy CDN/TLS (Cloudflare), Twoje dane mogą być przetwarzane w USA na podstawie Standard Contractual Clauses (art. 46 RODO). Nie przekazujemy danych do krajów, które nie zapewniają adekwatnego poziomu ochrony.

7. Twoje prawa

Jako osobie, której dane dotyczą, przysługują Ci następujące prawa:

  1. Prawo dostępu (art. 15) — wiedza o przetwarzanych danych + ich kopia w formacie JSON (Ustawienia → Eksport danych).
  2. Prawo sprostowania (art. 16) — poprawa błędnych danych w panelu.
  3. Prawo do usunięcia (art. 17) — „prawo do bycia zapomnianym" (Ustawienia → Usuń konto). Usunięcie jest zintegrowane w całym Wolfieverse: skasowanie konta usuwa Twoją tożsamość WolfieAuth ORAZ propaguje do połączonych systemów — Twój profil i zdarzenia analityczne w WolfieEye są usuwane (a „nagrobek" blokuje ponowne zbieranie), Twój rekord leada w WolfieCRM jest usuwany, a Ty zostajesz usunięty z wszelkich przekazań do podmiotów trzecich na przyszłość. Zachowujemy wyłącznie to, czego wymaga prawo (zhashowana, nieidentyfikująca referencja audytowa — zob. §4).
  4. Prawo ograniczenia przetwarzania (art. 18).
  5. Prawo przenoszenia danych (art. 20) — JSON lub CSV.
  6. Prawo sprzeciwu (art. 21) — zwłaszcza wobec marketingu oraz wobec przetwarzania leada/CRM na podstawie art. 6 ust. 1 lit. f; po sprzeciwie zaprzestajemy i usuwamy.
  7. Prawo wycofania zgody (art. 7 ust. 3) — w dowolnym momencie, bez wpływu na wcześniejsze przetwarzanie. Wycofanie jest respektowane we wszystkich połączonych systemach (brama cookie, WolfieEye, WolfieCRM, przekazania do podmiotów trzecich). Możesz wycofać:
    • w panelu (Ustawienia → Zgody) — obejmuje analitykę, marketing i kategorię „udostępnianie podmiotom trzecim" (co usuwa Cię ze wszystkich przyszłych przekazań),
    • przez link „Wypisz się" w każdym mailu marketingowym,
    • przez email na office@wolfieguard.com.
  8. Prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl).

Termin realizacji żądania: do 30 dni.

8. Cookies i podobne technologie

8.1. Brama zgody cookie

Przed zalogowaniem WolfieAuth wyświetla bramę zgody cookie. Rozróżnia ona dwie klasy ciasteczek:

Twoja decyzja jest zapisywana jako wpis dowodowy w trybie append-only (data, godzina, zaakceptowane kategorie, wersja polityki, IP, user-agent) — zob. §4 (retencja) i §5 (odbiorcy) — oraz zapamiętywana w ciasteczku wolfieauth_cookie_consent, abyś nie był pytany ponownie w tej samej przeglądarce. Wybór opcjonalny możesz zmienić lub wycofać w dowolnym momencie (Ustawienia → Zgody lub mailem — zob. §7 pkt 7).

8.2. Ustawiane ciasteczka

Nazwa Rodzaj Cel Okres
wolfieauth_admin Ściśle niezbędne, HttpOnly, Secure, SameSite=Lax Token sesji zalogowanego Użytkownika 8 godzin
wolfieauth_pending Ściśle niezbędne, HttpOnly, Secure Stan między podaniem hasła a 2FA 10 minut
wolfieauth_real_admin Ściśle niezbędne, HttpOnly, Secure Zapamiętanie sesji super-admina podczas impersonacji 8 godzin
wolfieauth_flow Ściśle niezbędne, HttpOnly, Secure Stan PKCE/state w trakcie flow OIDC (tylko u Aplikacji Klienckich) 10 minut
_oidc.session Ściśle niezbędne, HttpOnly, Secure Sesja OIDC provider 8 godzin
wolfieauth_cookie_consent Ściśle niezbędne, HttpOnly, Secure Zapamiętuje decyzję o zgodzie cookie, by nie pokazywać bramy ponownie 12 miesięcy

Nie ustawiamy ciasteczek reklamowych ani śledzących między witrynami. Analityka, jeśli wyrazisz na nią zgodę, jest first-party i może działać bez ciasteczek (zob. §5).

9. Bezpieczeństwo

Stosujemy następujące środki techniczno-organizacyjne:

10. Zautomatyzowane decyzje i profilowanie

Serwis wykonuje jedną formę zautomatyzowanej decyzji mającej wpływ prawny: automatyczną blokadę konta po 5 nieudanych próbach logowania w krótkim czasie. Decyzję można uchylić przez kontakt z Administratorem.

Profilowanie w celach marketingowych: nie wykonujemy profilowania zautomatyzowanego prowadzącego do kierowanej reklamy.

11. Kontakt w sprawach ochrony danych

Email: office@wolfieguard.com
Temat maila: [RODO] + opis żądania
Czas odpowiedzi: do 30 dni (możliwe przedłużenie o 60 dni przy skomplikowanych przypadkach)

Inspektor Ochrony Danych (IOD): nie został wyznaczony, ponieważ przetwarzanie nie wymaga wyznaczenia IOD w rozumieniu art. 37 RODO.

12. Zmiany Polityki Prywatności

Każda zmiana niniejszej Polityki Prywatności zostanie ogłoszona:

Przy istotnych zmianach (np. nowe cele przetwarzania) wymagana jest ponowna akceptacja Polityki.

Wersja 1.3 — obowiązuje od: 14 czerwca 2026 r.

Zmiany w 1.1: udokumentowano bramę zgody cookie przed logowaniem (niezbędne vs opcjonalne, model „wymagane do zalogowania"), ciasteczko wolfieauth_cookie_consent, kopię dowodu zgody w WolfieEye oraz retencję rejestru zgód cookie. Zmiany w 1.2: dodano opcjonalną kategorię zgody „Udostępnianie podmiotom trzecim" — wyłącznie za wyraźną zgodą dane o używaniu/tożsamości mogą być udostępniane lub sprzedawane partnerom zewnętrznym (§2.2, §5 pkt 6, §8.1); domyślnie wyłączona, zapisywana i odwoływalna. Zmiany w 1.3: dodano przechwytywanie leadów do WolfieCRM (odbiorca §6, routing do org vendora, art. 6 ust. 1 lit. f) oraz zintegrowano usunięcie/wycofanie w całym WolfieAuth + WolfieEye + WolfieCRM + przekazaniach do podmiotów trzecich (§7).

Niniejsza Polityka Prywatności została przygotowana jako szablon zgodny z RODO. Przed wdrożeniem dla użytkowników zewnętrznych zaleca się konsultację z radcą prawnym — szczególnie w zakresie sekcji 5 (odbiorcy), 6 (transfer poza EOG) oraz 12 (inspektor).

auth.wolfieguard.com · office@wolfieguard.com