Polityka prywatności ContractSpot

Data ostatniej aktualizacji: 20 stycznia 2026

POLITYKA PRYWATNOŚCI CONTRACTSPOT

Data obowiązywania: 20.01.2026 r.

Niniejsza Polityka prywatności (dalej: „Polityka”) określa zasady przetwarzania danych osobowych przez CONTRACTSPOT sp. z o.o. w związku z korzystaniem z Aplikacji ContractSpot oraz w związku z kontaktem w sprawach oferty lub Umowy. Polityka ma zastosowanie do serwisów internetowych i aplikacji wskazanych w pkt 2 poniżej.

ContractSpot jest usługą przeznaczoną dla podmiotów profesjonalnych (B2B). W ramach świadczenia Usługi przetwarzamy jednak również dane osób fizycznych działających po stronie klientów (np. użytkowników, pracowników, przedstawicieli), do których zastosowanie mają przepisy RODO.

1. Administrator danych i kontakt

Administratorem danych osobowych jest CONTRACTSPOT sp. z o.o. z siedzibą w Warszawie (01-001) przy Aleja Jana Pawła II 46A/37B, wpisana do rejestru przedsiębiorców KRS pod numerem 0001168678, NIP 8551611318, REGON 541554254 (dalej: „ContractSpot”, „Administrator”, „my”).

Kontakt w sprawach ochrony danych osobowych: pomoc@contractspot.io.

Administrator nie wyznaczył inspektora ochrony danych.

2. Zakres zastosowania

Polityka dotyczy przetwarzania danych osobowych w związku z:

  1. korzystaniem z Aplikacji ContractSpot oraz Konta (w tym w Okresie Próbnym),
  2. zawieraniem i wykonywaniem umów oraz rozliczeń,
  3. komunikacją i wsparciem technicznym (support),
  4. odwiedzaniem stron internetowych Administratora i korzystaniem z ich funkcjonalności online.

Serwisy/domeny objęte Polityką: https://contractspot.io/, https://app.contractspot.io/

3. Role w przetwarzaniu danych: Administrator i podmiot przetwarzający

W zależności od kontekstu, ContractSpot może występować jako administrator danych albo jako podmiot przetwarzający.

3.1. ContractSpot jako Administrator

ContractSpot jest administratorem danych osobowych w szczególności w odniesieniu do danych:

  • osób zakładających Konto, zarządzających subskrypcją lub będących osobami kontaktowymi po stronie Klienta,
  • użytkowników Aplikacji w zakresie niezbędnym do administrowania Kontem (w tym nadawania uprawnień), zapewnienia bezpieczeństwa, prowadzenia logów i rozliczalności,
  • osób kontaktujących się z nami (w tym w sprawie oferty, wsparcia lub współpracy),
  • danych rozliczeniowych i księgowych,
  • danych związanych z bezpieczeństwem, zapobieganiem nadużyciom i dochodzeniem roszczeń.

3.2. ContractSpot jako podmiot przetwarzający (Procesor)

Jeżeli w ramach korzystania z Aplikacji Klient wprowadza, przechowuje lub w inny sposób przetwarza w Aplikacji dane osobowe (dalej: „Treści Klienta”), wówczas co do zasady Klient jest administratorem tych danych, a ContractSpot działa jako podmiot przetwarzający na podstawie umowy powierzenia przetwarzania danych (DPA) stanowiącej załącznik do OWU. W takim zakresie zastosowanie mają w pierwszej kolejności postanowienia DPA.

4. Źródła pozyskania danych

Dane osobowe mogą być pozyskiwane:

  1. bezpośrednio od osoby, której dane dotyczą (np. rejestracja, kontakt, korespondencja, korzystanie z Aplikacji),
  2. od Klienta/kontrahenta (np. wskazanie użytkowników, osób kontaktowych lub danych do rozliczeń),
  3. z rejestrów publicznych (np. KRS/CEIDG – w zakresie danych firmowych i kontaktowych),
  4. automatycznie w związku z korzystaniem z Aplikacji/serwisów internetowych (np. logi, dane sesji, zdarzenia bezpieczeństwa; w przypadku Serwisów WWW również cookies – zgodnie z pkt 11).

5. Kategorie przetwarzanych danych

W zależności od relacji i sposobu korzystania z Aplikacji/Serwisów WWW, ContractSpot może przetwarzać w szczególności:

  • dane identyfikacyjne i kontaktowe (np. imię i nazwisko, służbowy adres e-mail, służbowy numer telefonu, stanowisko, nazwa firmy),
  • dane kontowe i dostępowe (np. identyfikator Konta, role i uprawnienia, dane uwierzytelniające w zakresie niezbędnym do logowania, historia logowania, zdarzenia bezpieczeństwa),
  • dane rozliczeniowe i transakcyjne (np. dane do faktury, NIP, adres, identyfikatory płatności; dane instrumentu płatniczego co do zasady obsługuje dostawca płatności),
  • dane komunikacyjne (np. treść korespondencji, zgłoszeń do supportu i informacje przekazane w toku kontaktu),
  • dane techniczne (np. adres IP, informacje o przeglądarce, systemie operacyjnym, parametry sesji, logi zdarzeń).

ContractSpot nie wymaga podawania danych szczególnych kategorii (tzw. danych wrażliwych) i rekomenduje, aby nie umieszczać ich w zgłoszeniach supportowych. W zakresie Treści Klienta decyzja o wprowadzaniu takich danych należy do Klienta jako administratora tych danych.

6. Cele i podstawy prawne przetwarzania danych

6.1. Rejestracja, prowadzenie Konta i świadczenie Usługi

Cel: zawarcie i wykonanie Umowy, prowadzenie Konta, umożliwienie korzystania z funkcjonalności Aplikacji, komunikacja operacyjna.
Podstawa prawna:

  • art. 6 ust. 1 lit. b RODO – gdy osoba jest stroną Umowy (np. jednoosobowa działalność gospodarcza) albo gdy przetwarzanie jest niezbędne do podjęcia działań przed zawarciem Umowy na żądanie osoby, której dane dotyczą;
  • art. 6 ust. 1 lit. f RODO – gdy przetwarzanie dotyczy użytkowników i przedstawicieli Klienta (uzasadniony interes Administratora polegający na prawidłowej realizacji Umowy, zapewnieniu obsługi i bezpieczeństwa).

6.2. Wsparcie techniczne i obsługa kontaktu

Cel: obsługa zgłoszeń, prowadzenie korespondencji, rozwiązywanie problemów, zapewnienie jakości obsługi.
Podstawa prawna: art. 6 ust. 1 lit. b RODO (jeżeli kontakt jest niezbędny do wykonania Umowy) lub art. 6 ust. 1 lit. f RODO (uzasadniony interes polegający na obsłudze Klientów i zapewnieniu jakości Usługi).

6.3. Rozliczenia, księgowość i obowiązki prawne

Cel: realizacja rozliczeń, obsługa płatności, wystawianie i przechowywanie dokumentów księgowych, realizacja obowiązków podatkowych i rachunkowych.
Podstawa prawna: art. 6 ust. 1 lit. c RODO (obowiązek prawny) oraz – w zakresie niezbędnym – art. 6 ust. 1 lit. b RODO.

6.4. Bezpieczeństwo, zapobieganie nadużyciom, logi

Cel: zapewnienie bezpieczeństwa Aplikacji i Serwisów WWW, ochrona Kont, wykrywanie i przeciwdziałanie nadużyciom, utrzymanie rozliczalności.
Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes polegający na zapewnieniu bezpieczeństwa usług i infrastruktury).

6.5. Ustalenie, dochodzenie i obrona roszczeń

Cel: ustalenie, dochodzenie lub obrona roszczeń oraz obsługa sporów.
Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes polegający na ochronie praw i interesów Administratora).

6.6. Marketing B2B

Cel: marketing bezpośredni usług ContractSpot w relacjach B2B (np. kontakt w sprawie oferty, informacji o aktualizacjach lub nowościach).
Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes). W zakresie, w jakim kontakt marketingowy podlega dodatkowym wymogom prawnym (np. przepisom dotyczącym komunikacji elektronicznej), ContractSpot stosuje właściwe mechanizmy wymagane przez te przepisy.

6.7. Zautomatyzowane podejmowanie decyzji

Co do zasady ContractSpot nie podejmuje wobec osób fizycznych decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na te osoby, opartych wyłącznie na zautomatyzowanym przetwarzaniu danych (w tym profilowaniu).

7. Okresy przechowywania danych

Dane osobowe przechowujemy przez okres nie dłuższy niż jest to niezbędne dla realizacji celów wskazanych w pkt 6, w szczególności:

  • dane kontowe i operacyjne – przez czas trwania Umowy oraz przez okres niezbędny do zapewnienia bezpieczeństwa, rozliczeń i rozliczalności,
  • dane rozliczeniowe i księgowe – przez okres wymagany przepisami prawa,
  • dane z korespondencji i zgłoszeń – przez czas niezbędny do obsługi sprawy, a następnie przez okres przedawnienia roszczeń lub do czasu prawomocnego zakończenia sporu,
  • Treści Klienta przetwarzane przez ContractSpot jako podmiot przetwarzający – zgodnie z DPA/OWU, w tym zgodnie z zasadami retencji i postępowania po zakończeniu Umowy.

8. Odbiorcy danych

Dane osobowe mogą być ujawniane:

  1. podmiotom świadczącym na rzecz ContractSpot usługi wspierające działalność (np. hosting i infrastruktura IT, utrzymanie, narzędzia do komunikacji, wsparcie techniczne, narzędzia bezpieczeństwa) – jako podmiotom przetwarzającym na podstawie umów spełniających wymagania art. 28 RODO;
  2. dostawcom usług płatniczych – w zakresie niezbędnym do obsługi płatności (dostawcy ci mogą działać jako odrębni administratorzy danych);
  3. doradcom (prawnym, podatkowym, audytorom) – jako odrębnym administratorom, o ile ma to zastosowanie;
  4. uprawnionym organom publicznym – gdy obowiązek ujawnienia wynika z prawa.

Zasady korzystania z podwykonawców (subprocesorów) w zakresie, w jakim ContractSpot działa jako podmiot przetwarzający, określa DPA.

9. Przekazywanie danych poza EOG

W zależności od wykorzystywanych dostawców usług, dane osobowe mogą być przekazywane poza Europejski Obszar Gospodarczy („EOG”). W takim przypadku ContractSpot zapewnia zastosowanie mechanizmów wymaganych przez RODO, w szczególności standardowych klauzul umownych (SCC) albo innych podstaw transferu przewidzianych w RODO, oraz wdraża środki adekwatne do ryzyka.

10. Prawa osób, których dane dotyczą

Osobom, których dane dotyczą, przysługują prawa wynikające z RODO, w szczególności:

  • prawo dostępu do danych (art. 15 RODO),
  • prawo sprostowania danych (art. 16 RODO),
  • prawo usunięcia danych (art. 17 RODO) – w przypadkach przewidzianych prawem,
  • prawo ograniczenia przetwarzania (art. 18 RODO),
  • prawo przenoszenia danych (art. 20 RODO) – gdy przetwarzanie odbywa się na podstawie zgody lub umowy oraz w sposób zautomatyzowany,
  • prawo sprzeciwu wobec przetwarzania opartego na art. 6 ust. 1 lit. f RODO (art. 21 RODO), w tym sprzeciwu wobec marketingu bezpośredniego,
  • prawo cofnięcia zgody – jeżeli przetwarzanie odbywa się na podstawie zgody (bez wpływu na zgodność z prawem przed cofnięciem),
  • prawo wniesienia skargi do organu nadzorczego.

W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa.

Wnioski dotyczące realizacji praw można składać na adres e-mail: pomoc@contractspot.io. Dla bezpieczeństwa ContractSpot może zwrócić się o dodatkowe informacje niezbędne do weryfikacji tożsamości osoby składającej wniosek.

Ważne: w zakresie, w jakim ContractSpot działa jako podmiot przetwarzający Treści Klienta, realizacja praw osób fizycznych powinna następować zasadniczo za pośrednictwem Klienta jako administratora tych danych, zgodnie z DPA.

11. Pliki cookies i podobne technologie (Serwisy WWW)

W Serwisach WWW ContractSpot mogą być wykorzystywane pliki cookies oraz podobne technologie w celu:

  • zapewnienia prawidłowego działania Serwisów WWW (w tym utrzymania sesji i bezpieczeństwa),
  • prowadzenia podstawowych statystyk i analityki – jeżeli takie narzędzia są wdrożone,
  • realizacji działań marketingowych – jeżeli takie narzędzia są wdrożone.

Jeżeli w Serwisach WWW stosowane są cookies inne niż niezbędne, ich wykorzystanie odbywa się zgodnie z wyborem użytkownika dokonanym za pośrednictwem mechanizmu zarządzania ustawieniami cookies udostępnianego w Serwisach WWW. Użytkownik może również zarządzać cookies za pomocą ustawień przeglądarki. Ograniczenie stosowania cookies niezbędnych może wpłynąć na prawidłowe działanie Serwisów WWW.

12. Bezpieczeństwo

ContractSpot stosuje środki techniczne i organizacyjne adekwatne do ryzyka, w tym w szczególności środki służące zapewnieniu poufności, integralności i dostępności danych (m.in. kontrolę dostępu, szyfrowanie transmisji, kopie zapasowe oraz monitoring zdarzeń bezpieczeństwa).

13. Zmiany Polityki

Polityka może być okresowo aktualizowana, w szczególności w razie zmian prawnych, technologicznych lub organizacyjnych. Aktualna wersja Polityki jest publikowana w Serwisach WWW lub w Aplikacji. O istotnych zmianach ContractSpot może informować dodatkowo w Aplikacji lub drogą elektroniczną.

14. Kontakt

W sprawach związanych z Polityką oraz przetwarzaniem danych osobowych prosimy o kontakt: pomoc@contractspot.io.
Adres korespondencyjny: CONTRACTSPOT sp. z o.o., Aleja Jana Pawła II 46A/37B, 01-001 Warszawa, Polska.