Spis treści▾
1.Administrator danych
Administratorem danych osobowych przetwarzanych w związku z prowadzeniem konta i świadczeniem usług Serwisu Elevari (elevari.pl, app.elevari.pl) jest Akcelio sp. z o.o. (Akcelio Spółka z ograniczoną odpowiedzialnością) z siedzibą w Jaworznie (ul. Skotnica 28, 43-600 Jaworzno), wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Katowice-Wschód w Katowicach, VIII Wydział Gospodarczy KRS, pod numerem KRS 0000640647, NIP 5783122146, REGON 365570364, kapitał zakładowy 5 000,00 zł, reprezentowana przez Wojciecha Bańkowskiego, Prezesa Zarządu (dalej: „Administrator", „my").
Administrator nie wyznaczył Inspektora Ochrony Danych (IOD). We wszystkich sprawach dotyczących ochrony danych osobowych właściwy jest adres kontaktowy: rodo@elevari.pl.
2.Dwie role: administrator i podmiot przetwarzający
Ze względu na charakter usługi Elevari występuje w dwóch rolach:
Jako administrator, w odniesieniu do danych konta i danych rozliczeniowych Użytkownika (np. imię i nazwisko, adres e-mail, dane logowania, dane organizacji, dane subskrypcji). Te dane przetwarzamy we własnych celach opisanych w pkt 4.
Jako podmiot przetwarzający (powierzenie), w odniesieniu do danych osobowych zawartych w dokumentach finansowych, które Użytkownik wprowadza lub udostępnia w Serwisie (np. dane kontrahentów na fakturach z KSeF i z plików PDF, dane z rachunku bankowego, a w przypadku biur rachunkowych dane ich klientów). W tym zakresie administratorem pozostaje Użytkownik (lub jego klient), a my przetwarzamy te dane wyłącznie na jego polecenie, na zasadach umowy powierzenia (DPA) udostępnianej na żądanie.
3.Kategorie danych i źródła
Dane konta i Użytkownika: imię i nazwisko lub nazwa, adres e-mail, hasło (przechowywane w postaci zaszyfrowanej / haszowanej), rola w organizacji.
Dane techniczne i logi: adres IP, dane sesji, daty logowania, informacje o urządzeniu i przeglądarce, zdarzenia bezpieczeństwa.
Dane organizacji: nazwa firmy, NIP, dane rejestrowe.
Dane finansowe i dokumenty: faktury sprzedażowe i zakupowe (z KSeF oraz wczytane z plików PDF), pozycje faktur, dane kontrahentów (nazwa, NIP, REGON, KRS, adres, e-mail, telefon, w zakresie, w jakim występują na dokumentach), kategorie kosztów, dane o płatnościach i transakcjach bankowych (po podłączeniu rachunku). Część tych danych może stanowić dane osobowe (np. dane jednoosobowych działalności gospodarczych).
Dane rozliczeniowe (subskrypcja): identyfikatory klienta i subskrypcji u operatora płatności, status i historia subskrypcji. Nie przechowujemy danych karty płatniczej. Obsługuje je operator płatności.
Dane z komunikacji: treść wiadomości i komentarzy wymienianych w Serwisie (np. między firmą a biurem rachunkowym), zgłoszenia, opinie.
Źródła danych: dane podane przez Użytkownika; dane pobrane z KSeF na podstawie tokena Użytkownika; dane z publicznego rejestru REGON (GUS); dane z rachunku bankowego (po zgodzie Użytkownika); dane techniczne zbierane automatycznie.
4.Cele i podstawy prawne przetwarzania (jako administrator)
| Cel | Podstawa prawna (RODO) |
|---|---|
| Założenie i prowadzenie konta, świadczenie usług, obsługa subskrypcji | art. 6 ust. 1 lit. b (wykonanie umowy) |
| Rozliczenia, fakturowanie, obowiązki księgowe i podatkowe | art. 6 ust. 1 lit. c (obowiązek prawny) |
| Bezpieczeństwo Serwisu, logi, zapobieganie nadużyciom | art. 6 ust. 1 lit. f (uzasadniony interes) |
| Kontakt, obsługa zgłoszeń i reklamacji | art. 6 ust. 1 lit. b oraz lit. f |
| Statystyka i poprawa Serwisu | art. 6 ust. 1 lit. f (uzasadniony interes) |
| Funkcje sztucznej inteligencji (komentarz AI, odczyt faktur) | art. 6 ust. 1 lit. a (zgoda), włączane świadomie przez Użytkownika |
W zakresie danych powierzonych (pkt 2.2) podstawą jest umowa powierzenia, a cele i zakres określa Użytkownik jako administrator.
5.Odbiorcy danych i podmioty przetwarzające (podprocesorzy)
Korzystamy z zaufanych dostawców, którzy przetwarzają dane wyłącznie na nasze polecenie, na podstawie umów powierzenia i z zachowaniem odpowiednich zabezpieczeń:
Dostawca hostingu i infrastruktury: Hostinger; serwery w Unii Europejskiej (EOG).
Operator płatności: Stripe (obsługa płatności i subskrypcji; dane karty przetwarza Stripe, nie my).
Dostawca usług sztucznej inteligencji: Anthropic (przetwarzanie treści dokumentów na potrzeby komentarza AI i odczytu faktur; funkcja włączana zgodą Użytkownika; dane nie są wykorzystywane do trenowania modeli).
Dostawca wysyłki wiadomości e-mail: Resend (e-maile transakcyjne: rejestracja, reset hasła, powiadomienia).
Dostawca usługi dostępu do informacji o rachunku (AIS): Enable Banking; licencjonowany dostawca z siedzibą w Unii Europejskiej, pobiera dane o transakcjach po zgodzie Użytkownika w jego banku.
Kopie zapasowe: Backblaze; kopie są szyfrowane po naszej stronie przed przekazaniem (klucz pozostaje u nas) i przechowywane w regionie Unii Europejskiej.
Monitoring wykonywania kopii zapasowych otrzymuje wyłącznie techniczny sygnał wykonania kopii, bez danych osobowych. Dane mogą być także udostępniane podmiotom uprawnionym na podstawie przepisów prawa oraz, w razie potrzeby, doradcom (np. prawnym, księgowym) na zasadach poufności.
Nie są podmiotami przetwarzającymi, lecz odrębnymi administratorami / źródłami w ramach realizacji obowiązków lub na żądanie Użytkownika: Ministerstwo Finansów (KSeF) oraz Główny Urząd Statystyczny (rejestr REGON).
6.Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)
Niektórzy dostawcy (Anthropic, Stripe, Resend) przetwarzają dane częściowo poza EOG, w tym w Stanach Zjednoczonych.
Takie przekazanie odbywa się na podstawie odpowiednich zabezpieczeń, w szczególności standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską i/lub uczestnictwa dostawcy w programie EU-US Data Privacy Framework. Na żądanie udostępniamy informację o stosowanych zabezpieczeniach.
Serwery aplikacji oraz kopie zapasowe znajdują się w Europejskim Obszarze Gospodarczym, a kopie zapasowe są dodatkowo szyfrowane po naszej stronie przed przekazaniem do przechowywania.
7.Okres przechowywania danych
Dane konta i danych z nim związanych przechowujemy przez czas obowiązywania umowy, a po jej zakończeniu przez okres niezbędny do rozliczeń, dochodzenia lub obrony roszczeń oraz wykonania obowiązków prawnych (np. przepisy podatkowe i o rachunkowości).
Dane powierzone (dokumenty finansowe) przechowujemy zgodnie z poleceniem Użytkownika oraz przez czas świadczenia usługi; po zakończeniu umowy są usuwane lub zwracane na zasadach umowy powierzenia.
Kopie zapasowe są przechowywane w sposób zaszyfrowany przez okres do 30 dni i podlegają nadpisaniu w cyklu rotacji.
Logi i dane techniczne przechowujemy przez okres niezbędny do zapewnienia bezpieczeństwa, co do zasady do 12 miesięcy.
8.Prawa osób, których dane dotyczą
Przysługuje Ci prawo do: dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie, a także cofnięcia zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania przed cofnięciem).
Wnioski można kierować na rodo@elevari.pl. Funkcję eksportu danych udostępniamy także w Serwisie.
Przysługuje Ci prawo wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa.
Jeżeli dane przetwarzamy jako podmiot przetwarzający (dane powierzone), realizację praw kieruj do administratora, którym jest Użytkownik (np. Twój dostawca / biuro rachunkowe); przekażemy żądanie zgodnie z umową powierzenia.
9.Zautomatyzowane podejmowanie decyzji, profilowanie i sztuczna inteligencja
Elevari nie podejmuje wobec Ciebie zautomatyzowanych decyzji wywołujących skutki prawne lub podobnie istotne w rozumieniu art. 22 RODO. Sygnały ryzyka, kategoryzacja i komentarz AI mają charakter wyłącznie wspierający; decyzje podejmuje człowiek (Użytkownik).
Funkcje oparte o sztuczną inteligencję (komentarz, odczyt faktur z plików PDF) są włączane świadomą zgodą Użytkownika i mogą zostać w każdej chwili wyłączone. Po włączeniu treść odpowiednich dokumentów jest przekazywana dostawcy AI (Anthropic) wyłącznie w celu wykonania danej funkcji. Dane przekazywane dostawcy AI nie są wykorzystywane do trenowania modeli.
11.Bezpieczeństwo danych
Stosujemy środki techniczne i organizacyjne odpowiednie do ryzyka, w tym: szyfrowanie danych w trakcie przesyłania i w spoczynku, szyfrowanie wrażliwych danych (m.in. tokenów KSeF) algorytmem AES-256-GCM, kontrolę dostępu, rozdzielenie dostępu (biuro rachunkowe widzi wyłącznie swoich klientów), oraz regularne, zaszyfrowane kopie zapasowe przechowywane poza główną lokalizacją w granicach EOG.
Dane przechowujemy na serwerach zlokalizowanych na terenie Europejskiego Obszaru Gospodarczego (EOG).
12.Informacje szczególne dotyczące KSeF, rachunku bankowego i REGON
KSeF. Łączymy się z KSeF wyłącznie w trybie odczytu, na podstawie tokena udostępnionego przez Użytkownika. Nie wystawiamy, nie wysyłamy ani nie zmieniamy faktur. Token jest przechowywany w postaci zaszyfrowanej.
Rachunek bankowy (AIS). Dane o transakcjach pobieramy wyłącznie do odczytu, po wyrażeniu przez Ciebie zgody w Twoim banku, za pośrednictwem licencjonowanego dostawcy AIS. Nie inicjujemy płatności. Zgodę możesz w każdej chwili cofnąć.
REGON (GUS). Korzystamy z publicznego rejestru REGON w celu uzupełnienia danych kontrahentów.
13.Zmiany Polityki prywatności
Politykę możemy aktualizować w związku ze zmianą przepisów, zakresu usług lub dostawców. O istotnych zmianach poinformujemy w Serwisie lub pocztą elektroniczną. Aktualna wersja jest zawsze dostępna pod adresem elevari.pl/polityka-prywatnosci.
14.Kontakt
W sprawach dotyczących danych osobowych: rodo@elevari.pl. Administrator: Akcelio sp. z o.o., ul. Skotnica 28, 43-600 Jaworzno.
Polityka obowiązuje od 26 czerwca 2026 r.