Bezpieczeństwo i RODO

    Twoje biuro odpowiada za dane swoich klientów. My to rozumiemy.

    Przekazując nam NIP-y, dane kontaktowe i treść faktur swoich klientów, stajesz się administratorem danych osobowych w rozumieniu art. 4 RODO, a my procesorem (art. 28). Dlatego umowa powierzenia, hosting w UE i szyfrowanie nie są dla nas marketingiem — są fundamentem.

    Dane zostają w UE

    Hosting w strefie EU-West (Frankfurt). Dane Twojego biura i Twoich klientów nigdy nie opuszczają Europejskiego Obszaru Gospodarczego.

    Szyfrowanie AES-256 at-rest

    Wszystkie dane (NIP-y klientów, treść faktur, tokeny KSeF) szyfrowane algorytmem AES-256 na dyskach. TLS 1.3 w transmisji między przeglądarką a serwerem.

    Tokeny KSeF nigdy nie opuszczają backendu

    Token autoryzacyjny MF jest szyfrowany w bazie i odszyfrowywany wyłącznie po stronie serwera w momencie wywołania API KSeF. Frontend nigdy nie ma do niego dostępu.

    Dostęp oparty na rolach

    Właściciel, administrator, członek. Każda rola widzi tylko to, co powinna. Pracownik biura nie wejdzie do danych klienta, do którego nie został przypisany.

    Pełny dziennik audytowy

    Każda wysyłka do KSeF, każde pobranie UPO, każda zmiana ustawień — wszystko zapisane ze znacznikiem czasu i identyfikatorem użytkownika. Pełna rozliczalność.

    Bez śledzenia, bez ciasteczek marketingowych

    Używamy cookie-free analytics (Umami). Zero Google Analytics, zero Facebook Pixel, zero remarketingu. Twoi klienci nie są profilowani.

    Art. 28 RODO

    Umowa powierzenia gotowa do podpisu.

    Każde biuro rachunkowe korzystające z FakturaFlow zawiera z nami umowę powierzenia przetwarzania danych osobowych zgodną z art. 28 RODO. Standardowa treść — bez ukrytych zapisów, bez zgody na przekazywanie danych poza EOG.

    Co znajdziesz w umowie

    • Zakres danych: dane identyfikacyjne klientów biura (NIP, nazwa, adres), treść faktur, dane do kontaktu.
    • Cel przetwarzania: wyłącznie wysyłka faktur do KSeF, archiwizacja UPO, świadczenie usługi SaaS.
    • Czas przetwarzania: przez okres trwania umowy + okres niezbędny do retencji prawnej.
    • Subprocesorzy: Supabase (hosting bazy, UE), Stripe (płatności), Resend (email transakcyjny). Pełna lista w treści umowy.
    • Brak transferów poza EOG. Subprocesorzy z infrastrukturą poza UE wykluczeni.
    • Prawo do audytu i obowiązek powiadomienia o naruszeniu w ciągu 24 godzin.

    Potrzebujesz wzoru umowy przed rejestracją?

    Napisz na kontakt@fakturaflow.pl z dopiskiem „DPA” — w ciągu 24 godzin odeślemy wzór umowy powierzenia (PDF) do akceptacji przez Twojego prawnika lub IOD.

    Subprocesorzy

    Wszyscy nasi dostawcy są w UE.

    Korzystamy wyłącznie z dostawców infrastruktury z siedzibą w Unii Europejskiej (hosting, płatności, e-mail transakcyjny). Żaden subprocesor spoza EOG nie ma dostępu do danych Twoich klientów. Pełna lista podmiotów wraz z zakresem przetwarzania znajduje się w umowie powierzenia (DPA), którą udostępniamy na życzenie przed podpisaniem subskrypcji.

    Czym FakturaFlow nie jest

    Nie jesteśmy oficjalnym integratorem Ministerstwa Finansów ani instytucją certyfikującą. Korzystamy z publicznego API KSeF na tych samych zasadach, co każde inne narzędzie. Odpowiedzialność za poprawność merytoryczną faktur leży po stronie biura. My dbamy o poprawność techniczną wysyłki, walidację schematu FA(3) i archiwizację UPO.

    Pytania o RODO lub bezpieczeństwo?

    Odpowiadamy na każde pytanie od biura rachunkowego: od konkretnych zapisów umowy powierzenia, przez politykę retencji, po architekturę szyfrowania.