Polityka Prywatności

Informacje o przetwarzaniu danych osobowych w serwisie WCOB

Powrót do strony głównej
Data wejścia w życie: 28.04.2026

1. Informacje ogólne

Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych Klientów oraz osób korzystających z serwisu WCOB.pl („Serwis", „Platforma") - platformy B2B dla agencji marketingowych, agencji SEO i działów in-house, świadczącej usługi reklamowe w sieci ponad 740 portali lokalnych w Polsce.

Administratorem danych osobowych jest:
Warszawskie Centrum Obsługi Biznesu Sp. z o.o.
al. Jana Pawła II 27, 00-867 Warszawa
KRS: 0000472882 | NIP: 5272698885 | REGON: 146827166
Sąd Rejonowy dla m.st. Warszawy w Warszawie, XII Wydział Gospodarczy KRS

Kontakt w sprawach ochrony danych osobowych: bok@wcob.pl · tel. +48 792 599 999 (Pon-Pt 9:00-17:00).

Zgodnie z art. 37 RODO Administrator nie wyznaczył Inspektora Ochrony Danych (IOD/DPO) - w sprawach RODO należy kontaktować się bezpośrednio z Administratorem.

Administrator przetwarza dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) oraz polską ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych.

2. Zakres przetwarzanych danych

W ramach Serwisu Administrator przetwarza następujące kategorie danych osobowych:

2.1. Dane Konta Klienta

  • adres e-mail (login do systemu),
  • hasło (przechowywane wyłącznie jako hash bcrypt - Administrator nie zna hasła w postaci jawnej),
  • imię i nazwisko (opcjonalnie),
  • numer telefonu (do weryfikacji SMS i kontaktu serwisowego),
  • identyfikator Google (przy logowaniu OAuth 2.0) - wyłącznie e-mail i podstawowy profil.

2.2. Dane do faktury VAT

Niezbędne do wystawienia faktury za doładowanie Portfela:

  • nazwa firmy / imię i nazwisko (jeśli osoba fizyczna prowadząca działalność),
  • NIP,
  • adres rejestrowy (ulica, numer, kod pocztowy, miejscowość),
  • e-mail do faktury (jeżeli inny niż e-mail Konta).

2.3. Dane Klientów Końcowych zarządzanych przez Klienta-Agencję

Klient (np. agencja marketingowa) może wprowadzać do Serwisu dane firm trzecich (Klientów Końcowych) w celu realizacji zamówionych Usług. W takim przypadku Klient pełni rolę administratora danych Klienta Końcowego, a Administrator jest podmiotem przetwarzającym (procesor) w rozumieniu art. 28 RODO. Dane mogą obejmować:

  • nazwę i nazwę rejestrową firmy Klienta Końcowego,
  • adres siedziby, NIP, REGON, KRS,
  • dane kontaktowe (telefon, e-mail, strona WWW),
  • godziny otwarcia, kategorie, opis działalności,
  • zdjęcia, logo, banery,
  • współrzędne geograficzne (lat/lng) - dla wizytówek NAP,
  • linki do mediów społecznościowych.

2.4. Dane z Google API (Google Places)

Przy dodawaniu wizytówki przez import z Google Maps automatycznie pobierane są:

  • Google Place ID,
  • ocena Google i liczba opinii,
  • treść opinii (wykorzystywana opcjonalnie przez Klienta do generowania opisów przez asystenta AI).

2.5. Dane techniczne i logi

  • adres IP (rejestrowany do logów dostępu serwera oraz logów logowania),
  • nagłówki HTTP (User-Agent, Referer),
  • znaczniki czasu (login, akcje w panelu, transakcje Portfela),
  • logi nieudanych prób logowania (rate-limiting: do 5 prób / 15 min / IP),
  • logi audytowe operacji impersonacji (gdy administrator techniczny loguje się na konto Klienta w celach pomocy technicznej - patrz § 11).

2.6. Dane płatności

Pełne dane karty płatniczej i rachunku bankowego nie są przechowywane przez Administratora. Płatności obsługuje wyłącznie operator Tpay (Krajowy Integrator Płatności S.A.). Administrator otrzymuje od Tpay potwierdzenie transakcji oraz identyfikator transakcji - niezbędne do księgowania doładowania Portfela.

2.7. Dane analityczne i marketingowe (cookies)

Patrz § 9. Cookies - pliki cookies analityczne i marketingowe są ładowane wyłącznie po wyrażeniu zgody przez użytkownika (Consent Mode v2 zgodnie z wymaganiami Google).

3. Cele i podstawy prawne przetwarzania

Cel przetwarzania Podstawa prawna RODO
Założenie i obsługa Konta, świadczenie Usług reklamowych, dostarczanie Punktów do Portfela art. 6 ust. 1 lit. b RODO - wykonanie umowy
Obsługa płatności, fakturowanie VAT, rozliczenia księgowe, zwroty art. 6 ust. 1 lit. b i c RODO - wykonanie umowy + obowiązek prawny (ustawa o VAT, ustawa o rachunkowości)
Obsługa reklamacji, korespondencja w sprawie Usług art. 6 ust. 1 lit. b i f RODO
Bezpieczeństwo Serwisu (rate-limiting, audit log, ochrona przed atakami) art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes (ochrona infrastruktury IT)
Wystawianie i przechowywanie faktur VAT, deklaracje JPK art. 6 ust. 1 lit. c RODO - obowiązek prawny (ustawa o VAT, Ordynacja podatkowa)
Marketing własny (newsletter, oferty produktów Administratora) art. 6 ust. 1 lit. a RODO - zgoda; art. 10 ustawy o świadczeniu usług drogą elektroniczną
Statystyki i analityka (Google Analytics, Consent Mode v2) art. 6 ust. 1 lit. a RODO - zgoda
Powierzenie przetwarzania danych Klientów Końcowych przez Klienta-Agencję art. 28 RODO - umowa powierzenia (zawarta przez akceptację Regulaminu i niniejszej Polityki)
Generowanie treści przy pomocy AI (Claude API) - opcjonalnie art. 6 ust. 1 lit. b RODO - wykonanie umowy (gdy Klient zleca generowanie)

4. Publikacja danych firm w Sieci Portali

Dane firmowe (Klienta lub Klienta Końcowego) zawarte w Wizytówkach NAP, ogłoszeniach, banerach i artykułach sponsorowanych są z założenia danymi jawnymi przeznaczonymi do publicznego udostępnienia. Publikując takie treści Klient wyraża zgodę na:

  • wyświetlanie danych firmy w Serwisie WCOB.pl,
  • wyświetlanie danych w portalach Sieci (LokalneOgloszenia.com, MarketingHotelowy.pl, PracaMiasto.pl, dedykowane domeny lokalne),
  • indeksowanie przez wyszukiwarki internetowe (Google, Bing, etc.),
  • archiwizację publicznych zasobów (Wayback Machine, Common Crawl),
  • wykorzystanie w cytatach i podsumowaniach przez modele AI (zgodnie z polityką wyszukiwarek i AI providers).

Klient w każdej chwili może edytować lub usunąć dane przez Panel Klienta. Po usunięciu dane mogą być nadal widoczne w cache wyszukiwarek przez kilka tygodni - Administrator nie kontroluje cache stron trzecich.

5. Odbiorcy danych (kategorie procesorów)

W ramach świadczenia Usług dane osobowe mogą być przekazywane następującym kategoriom odbiorców (na podstawie umów powierzenia art. 28 RODO):

  • Hosting i infrastruktura - operator hostingu, na którym działa Serwis (CyberFolks / Cyber Folks S.A. lub inny aktualny dostawca);
  • Operator płatności - Krajowy Integrator Płatności S.A. (Tpay), ul. Plac Andersa 3, 61-894 Poznań, NIP 7773061579;
  • Google LLC - Google Sign-In (OAuth 2.0), Google Places API, Google Analytics 4, Google Tag Manager (USA);
  • SMSAPI.pl - LINK Mobility Poland sp. z o. o. (weryfikacja telefonu SMS-em);
  • Anthropic, PBC - Claude API (USA) - wyłącznie dla generowania treści artykułów na zlecenie Klienta. Klient samodzielnie decyduje co przesłać do AI; Administrator nie wysyła danych Klienta do AI bez zlecenia;
  • fakturowania.pl - Fakturownia Sp. z o.o. (wystawianie elektronicznych faktur VAT) - opcjonalnie, w przypadku integracji;
  • ConsentGuards - Warszawskie Centrum Obsługi Biznesu Sp. z o.o. (system zarządzania zgodami cookies, gdy aktywne);
  • Sieć Portali - operatorzy portali z Sieci, w zakresie niezbędnym do publikacji Wizytówek/ogłoszeń/artykułów (są to spółki powiązane lub bezpośrednio Administrator);
  • Podmioty doradcze i prawne - kancelarie prawne, biura księgowe (na zasadach poufności i wyłącznie w niezbędnym zakresie);
  • Organy publiczne - wyłącznie na podstawie przepisów prawa (np. KAS, Policja, sądy).

Administrator nie sprzedaje, nie wynajmuje i nie udostępnia danych osobowych podmiotom trzecim w celach marketingowych.

6. Przekazywanie danych poza EOG (transfer międzynarodowy)

W związku z korzystaniem z usług Google LLC (Analytics, OAuth, Places) oraz Anthropic, PBC (Claude API) dane mogą być przekazywane do Stanów Zjednoczonych. Transfer odbywa się na podstawie:

  • EU-US Data Privacy Framework - decyzja Komisji Europejskiej z dn. 10.07.2023 stwierdzająca odpowiedni stopień ochrony (Google jest certyfikowany);
  • Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską (decyzja 2021/914) - dla transferów do podmiotów niecertyfikowanych w DPF;
  • środków uzupełniających (encryption in transit/at rest, kontrola dostępu) zgodnie z wytycznymi EROD.

Klient ma prawo zażądać kopii zawartych umów powierzenia oraz informacji o aktualnych podstawach prawnych transferu - wniosek na bok@wcob.pl.

7. Okres przechowywania danych

Rodzaj danych Okres przechowywania
Dane Konta (e-mail, hash hasła, imię) Przez czas aktywności Konta, do 30 dni po jego usunięciu (backupy bazy)
Dane firm publikowane w Wizytówkach / ogłoszeniach / artykułach Przez czas publikacji + 12 miesięcy po usunięciu (cache, archiwum, audyt)
Dane rozliczeniowe i faktury VAT 5 lat licząc od końca roku podatkowego, w którym minął termin płatności podatku (art. 70 § 1 Ordynacji podatkowej)
Transakcje Portfela (dziennik append-only) 5 lat (powiązanie z fakturami VAT)
Logi serwera (access log, error log) 30 dni (rotacja codzienna, gzip 30-90 dni, automatyczne usuwanie po 90 dniach)
Logi nieudanych logowań (rate-limiting) 1 godzina (auto-czyszczenie cron)
Audit log impersonacji administratora 365 dni
Dane sesji 7 dni (cookie + GC PHP)
Dane analityczne (Google Analytics 4) do 14 miesięcy (ustawienia GA4 zgodne z RODO)
Korespondencja e-mail (reklamacje, support) 3 lata od ostatniej wymiany wiadomości
Dane do marketingu własnego (newsletter) Do cofnięcia zgody (link „wypisz" w każdej wiadomości)

8. Prawa osób, których dane dotyczą

Użytkownikowi przysługują następujące prawa:

Prawo dostępu

Prawo do dostępu do danych i otrzymania ich kopii

Prawo do sprostowania

Prawo do poprawiania nieprawidłowych danych

Prawo do usunięcia

„Prawo do bycia zapomnianym"

Prawo do ograniczenia

Prawo do ograniczenia przetwarzania danych

Prawo do przenoszenia

Prawo do otrzymania danych w formacie elektronicznym

Prawo do sprzeciwu

Prawo do wniesienia sprzeciwu wobec przetwarzania

Cofnięcie zgody

Prawo do cofnięcia zgody w dowolnym momencie

Skarga do UODO

Prawo do wniesienia skargi do Prezesa UODO (ul. Stawki 2, 00-193 Warszawa)

Część praw można zrealizować samodzielnie w Panelu Klienta (edycja, usuwanie danych). W pozostałych sprawach należy skontaktować się z Administratorem.

9. Pliki cookies

Serwis wykorzystuje pliki cookies (ciasteczka) - niewielkie pliki tekstowe przechowywane na urządzeniu Użytkownika.

9.1. Rodzaje plików cookies

Rodzaj Opis Zgoda
Niezbędne Konieczne do prawidłowego działania Serwisu (sesja, logowanie) Nie wymagają zgody
Funkcjonalne Zapamiętują preferencje Użytkownika Wymagają zgody
Analityczne Pozwalają analizować ruch na stronie (Google Analytics) Wymagają zgody

9.2. Zarządzanie plikami cookies

Użytkownik może zarządzać plikami cookies poprzez ustawienia przeglądarki internetowej. Instrukcje dla popularnych przeglądarek:

10. Narzędzia i usługi zewnętrzne

10.1. Google Analytics 4 (Consent Mode v2)

Serwis wykorzystuje Google Analytics 4 do analizy ruchu (zanonimizowany IP, zdarzenia w panelu, konwersje). Skrypt GA4 jest ładowany w trybie Consent Mode v2 z domyślnym stanem „denied" - dane są zbierane tylko po wyrażeniu zgody w bannerze cookies. Dane przechowywane do 14 miesięcy.

10.2. Google Sign-In (OAuth 2.0)

Klient może zalogować się kontem Google. Pobierane są wyłącznie: e-mail, identyfikator Google, podstawowy profil (imię, zdjęcie). Hasło Google nigdy nie jest udostępniane Administratorowi.

10.3. Google Places API

Pobieranie danych firm (Place ID, oceny, opinie, lokalizacja) z Google Maps na żądanie Klienta. Dane wykorzystywane zgodnie z licencją Google Maps Platform.

10.4. Tpay (Krajowy Integrator Płatności S.A.)

Płatności online obsługiwane przez Tpay - szybkie przelewy, BLIK, karty. Pełne dane karty/konta nie są przekazywane do Administratora. Polityka prywatności: tpay.com/polityka-prywatnosci.

10.5. SMSAPI.pl (LINK Mobility Poland sp. z o. o.)

Wysyłanie SMS-ów weryfikacyjnych (potwierdzenie numeru telefonu Klienta). Numer telefonu i kod weryfikacyjny przekazywane do SMSAPI wyłącznie w czasie weryfikacji.

10.6. Anthropic / Claude API

Asystent AI (Claude) wykorzystywany opcjonalnie przez Klienta do generowania treści artykułów. Dane (prompt, treści wprowadzone przez Klienta) wysyłane do Anthropic, PBC (USA). Anthropic nie używa danych klientów do treningu modeli (zgodnie z polityką commercial). Klient odpowiada za to, jakie dane przesyła do AI.

10.7. ConsentGuards (Warszawskie Centrum Obsługi Biznesu Sp. z o.o. )

System zarządzania zgodami cookies (gdy aktywny). Przechowuje stan zgody w cookie po stronie przeglądarki - bez danych osobowych Klienta po stronie ConsentGuards.

10.8. fakturowania.pl (Fakturownia Sp. z o.o.)

Po integracji - automatyczne wystawianie faktur elektronicznych. Przekazywane: dane do faktury z Konta + kwota doładowania. Polityka prywatności: fakturowania.pl/regulamin.

11. Bezpieczeństwo danych

Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę danych osobowych adekwatne do ryzyka:

  • Szyfrowanie: HTTPS/TLS 1.2+ dla całego ruchu (HSTS), bcrypt do hashowania haseł (cost 12), szyfrowanie kopii zapasowych;
  • Kontrola dostępu: dostęp do bazy ograniczony do wymaganych adresów IP, autoryzacja na poziomie kont (RBAC), separacja środowisk (production/staging/dev);
  • Ochrona przed atakami: prepared statements (SQL injection), CSRF tokens, X-Frame-Options, Content-Security-Policy, rate-limiting (5 prób / 15 min na IP);
  • Audit logi: rejestracja wszystkich akcji administracyjnych (impersonacja, modyfikacje portfela, zmiany konfiguracji);
  • Backup: codzienne kopie zapasowe bazy danych z retencją 30 dni;
  • Aktualizacje: regularne aktualizacje oprogramowania, monitoring CVE, audyty bezpieczeństwa kodu;
  • Sekrety: przechowywanie kluczy API, haseł bazy danych w plikach konfiguracyjnych poza katalogiem publicznym, niedostępnych przez HTTP;
  • Maskowanie PII: w logach systemowych e-maile, telefony i NIP-y są maskowane (np. jan***@firma.pl) w zgodzie z zasadą minimalizacji danych.

12. Naruszenie ochrony danych

W przypadku stwierdzenia naruszenia ochrony danych osobowych mogącego skutkować ryzykiem dla osób, których dane dotyczą, Administrator:

  • powiadomi Prezesa Urzędu Ochrony Danych Osobowych w terminie 72 godzin (art. 33 RODO),
  • poinformuje osoby, których dane dotyczą, jeśli ryzyko jest wysokie (art. 34 RODO),
  • podejmie środki naprawcze i prewencyjne.

13. Postanowienia końcowe

Polityka Prywatności może być aktualizowana w przypadku zmian przepisów prawa, struktury Usług, wprowadzenia nowych narzędzi zewnętrznych lub zmiany infrastruktury. O istotnych zmianach Klienci zostaną poinformowani z co najmniej 14-dniowym wyprzedzeniem przez e-mail oraz powiadomienie w Panelu.

Aktualna wersja dokumentu jest zawsze dostępna pod adresem: https://wcob.pl/polityka-prywatnosci.php.

W sprawach nieuregulowanych zastosowanie mają przepisy RODO, polskiej ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. oraz Kodeksu cywilnego.

Data wejścia w życie: 28.04.2026 · Warszawskie Centrum Obsługi Biznesu Sp. z o.o. · KRS 0000472882