Polityka prywatnosci
Ostatnia aktualizacja:
§1 Kto jest administratorem twoich danych
Administratorem serwisu fibon.pl i danych przekazywanych w jego ramach jest Grzegorz Adamczyk, prowadzący działalność nierejestrową pod marką Fibon na zasadach określonych w art. 5 ustawy z 6 marca 2018 r. — Prawo przedsiębiorców.
Dane kontaktowe:
- Adres: ul. Krótka 7, 26-026 Bilcza
- E-mail: grzegorz.adamczyk@fibon.pl
Nie powołuję Inspektora Ochrony Danych (DPO) — skala działalności i brak przetwarzania danych szczególnych kategorii (RODO Art. 9) nie wymagają tego prawnie. We wszystkich sprawach związanych z ochroną danych piszesz bezpośrednio na
grzegorz.adamczyk@fibon.plz tematem[RODO]— odpowiadam osobiście.
Realizuję obowiązek informacyjny z RODO Art. 13 — dowiesz się stąd, jakie dane zbieram, po co, na jakiej podstawie prawnej, komu je powierzam, jak długo przechowuję, jakie masz uprawnienia i jak je egzekwować.
§2 Cele przetwarzania i podstawy prawne
Przetwarzam twoje dane w czterech celach. Każdy ma swoją podstawę prawną wskazaną w RODO Art. 6 ust. 1.
Cookies analityczne i marketingowe — tylko gdy wyrazisz zgodę
- Podstawa: Art. 6 ust. 1 lit. a RODO (twoja zgoda).
- Forma zgody: granularny panel cookies — wybierasz kategorie świadomie, na starcie wszystko opcjonalne jest wyłączone. Zgodę możesz wycofać w każdej chwili przez link "Zarządzaj cookies" w stopce strony.
- Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonałem przed wycofaniem.
Formularz kontaktowy (własny formularz na fibon.pl)
- Podstawa: Art. 6 ust. 1 lit. b RODO (czynności przed zawarciem umowy) lub lit. f (uzasadniony interes — odpowiedź na twoją wiadomość).
- Jakie dane: imię, adres e-mail, treść wiadomości; opcjonalnie telefon, nazwa firmy, NIP, odpowiedzi na pytania dot. doświadczenia z Notion.
- Dobrowolność: podanie danych jest dobrowolne, ale niezbędne, żeby otrzymać ode mnie odpowiedź. Bez adresu e-mail nie mam gdzie wysłać odpowiedzi. Pozostałe pola (telefon, firma, NIP, pytania kwalifikacyjne) są w pełni opcjonalne — pomagają mi wycenić projekt, ale nie są warunkiem nawiązania kontaktu.
- Przepływ danych: korzystasz z **własnego formularza na **
fibon.pl(nie z zewnętrznego narzędzia Tally). Po wysłaniu dane przechodzą najpierw przez Cloudflare Turnstile (weryfikacja anti-spam, człowiek-vs-bot), a następnie trafiają przez moją instancję n8n (self-hosted, VPS w Niemczech) do bazy Notion, która pełni rolę CRM. - Okres przechowywania: do momentu, aż poprosisz o usunięcie, lub aż upłynie 36 miesięcy bez aktywnej komunikacji.
Newsletter (MailerLite) — jeśli się zapiszesz
- Podstawa: Art. 6 ust. 1 lit. a RODO (twoja zgoda, potwierdzona przez double opt-in — klikasz link aktywacyjny w mailu).
- Dodatkowa podstawa dla samego potwierdzenia opt-in: Art. 6 ust. 1 lit. c RODO (obowiązek prawny udokumentowania zgody marketingowej — art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną).
- Jakie dane: adres e-mail (niezbędne); opcjonalnie imię (do personalizacji wiadomości).
- Dobrowolność: zapis do newslettera jest w 100% dobrowolny. Brak zapisu nie blokuje dostępu do żadnej części serwisu.
- Okres przechowywania: do momentu, aż się wypiszesz (link "Wypisz się" w stopce każdego maila) lub poprosisz o usunięcie. Po wypisie kasuję dane z bazy MailerLite w ciągu kilku dni.
Logi serwera — zawsze, bez zgody, uzasadniony interes
- Podstawa: Art. 6 ust. 1 lit. f RODO (bezpieczeństwo serwisu, wykrywanie nadużyć i prób ataku).
- Jakie dane: adres IP, data i czas żądania, ścieżka URL, user agent (przeglądarka + system operacyjny). Logi generuje automatycznie infrastruktura Vercel i Cloudflare.
- Retencja: maksymalnie 90 dni, potem są kasowane lub agregowane do anonimowych statystyk.
- Wykorzystanie: logi służą wyłącznie do administrowania serwisem i obrony przed atakami (np. brute force, DDoS). Nie używam ich do identyfikacji konkretnych osób ani do profilowania marketingowego.
§3 Cookies — co używamy, kiedy i dlaczego
Cookies dzielę na trzy kategorie zgodnie z EDPB Guidelines 2/2023 (interpretacja Art. 5 ust. 3 dyrektywy ePrivacy) oraz polskim prawem (art. 173 Prawa telekomunikacyjnego). Niezbędne włączam zawsze — bez nich strona albo nie zadziała, albo nie zapamięta twojej decyzji o zgodach. Analityczne i marketingowe — tylko gdy wyrazisz zgodę w panelu cookies.
Domyślnie wszystko opcjonalne jest wyłączone (denied). Nie stosujemy modelu "korzystanie ze strony = zgoda" — taki model nie spełnia wymogu zgody świadomej i wyraźnej zgodnie z RODO Art. 7 i wytycznymi EDPB.
Google Consent Mode v2 (wymóg EU od marca 2024). Jeśli odrzucisz cookies analityczne, Google Analytics nadal może wysłać do Google anonimowy cookieless ping — zagregowany sygnał bez identyfikatora, bez sesji, bez profilu, używany przez Google do estymacji ruchu na poziomie ogólnym. Cookies nie są wtedy zapisywane na twoim urządzeniu, nie tworzy się sesji ani historii.
§3.1 Niezbędne (zawsze włączone, nie wymagają zgody)
| Nazwa cookie | Cel | Czas trwania | Provider | Typ |
|---|---|---|---|---|
cc_cookie | Zapisuje twoje preferencje co do cookies (które kategorie zaakceptowałeś/aś) | 6 miesięcy | Fibon, first-party (vanilla-cookieconsent) | Niezbędne |
| Vercel session (jeśli używane w runtime) | Stabilność sesji aplikacji, ochrona CSRF | Sesyjne | Vercel, first-party | Niezbędne |
| Cloudflare bot challenge | Weryfikacja, czy nie jesteś botem; ochrona przed DDoS | ~30 minut / sesyjne | Cloudflare, first-party | Niezbędne |
§3.2 Analityczne (opt-in, domyślnie wyłączone)
| Nazwa cookie | Cel | Czas trwania | Provider | Typ |
|---|---|---|---|---|
_ga | Anonimowy identyfikator urządzenia Google Analytics 4 | 2 lata | Google LLC, third-party | Analityczne |
_ga_SWZBGEHZN3 | Stan sesji GA4 dla measurement ID G-SWZBGEHZN3 (fibon.pl) | 2 lata | Google LLC, third-party | Analityczne |
W konfiguracji GA4 mam anonimizację IP włączoną — twój adres IP jest skracany po stronie Google, zanim trafi do raportów. Retencja danych użytkownika w GA4: 14 miesięcy (wartość domyślna).
§3.3 Marketingowe (opt-in, domyślnie wyłączone)
Obecnie nie używam żadnych cookies marketingowych.
Kategoria istnieje w panelu zgód jako miejsce na przyszłe narzędzia (np. piksel Meta, LinkedIn Insight Tag, Google Ads retargeting). Gdy realnie któreś z nich dodam, zaktualizuję tę tabelę i pokażę panel zgód ponownie, żebyś mógł/mogła zdecydować świadomie, czy zgadzasz się na taki nowy typ przetwarzania.
§3.4 Co możesz zrobić ze swoimi cookies
- Otworzyć panel preferencji przez link "Zarządzaj cookies" w stopce strony i odznaczyć dowolną kategorię — zmiana zapisuje się natychmiast.
- Zablokować lub wyczyścić cookies w ustawieniach przeglądarki (każda przeglądarka ma własną sekcję "Prywatność i bezpieczeństwo" — szczegóły znajdziesz w dokumentacji Chrome, Firefox, Safari, Edge).
- Wycofać zgodę w każdej chwili — wycofanie nie wpływa na zgodność z prawem przetwarzania, którego dokonałem przed wycofaniem. Zablokowanie cookies niezbędnych w przeglądarce może spowodować, że strona nie zapamięta twoich decyzji o zgodach (przy kolejnej wizycie zobaczysz panel od nowa), ale nie wpływa to na dostępność samych treści.
§4 Komu powierzam twoje dane (procesorzy)
Korzystam z usług kilku zewnętrznych dostawców, którzy są procesorami danych w rozumieniu RODO Art. 28. Z każdym z nich działam w ramach umowy powierzenia (DPA) lub równoważnych klauzul wymaganych przez RODO.
Tam gdzie dane trafiają poza UE (głównie USA), podstawą transferu są:
- Data Privacy Framework (DPF) — decyzja wykonawcza Komisji Europejskiej z 10 lipca 2023 r. uznająca odpowiedni poziom ochrony danych dla certyfikowanych firm w USA. Google, Vercel, Cloudflare i Notion znajdują się na liście DPF.
- Standardowe Klauzule Umowne (SCC) — komplementarny mechanizm na wypadek wycofania DPF lub w przypadkach niepokrytych przez DPF.
| Firma | Lokalizacja | Rola | Podstawa transferu |
| --- | --- | --- | --- |
| Vercel Inc. | USA (Delaware) + serwery EU priority | Hosting
fibon.pl+ edge functions | SCC + DPA + DPF | | Cloudflare Inc. | USA (Delaware), edge global | CDN, DNS, ochrona DDoS, Turnstile (anti-spam / weryfikacja człowiek-vs-bot na formularzach; dane: IP + sygnały przeglądarki / token) | SCC + DPA + DPF | | Google LLC | USA (California) | Google Analytics 4 + Google Workspace (e-mailinfo@fibon.pl) | SCC + DPA + DPF | | MailerLite UAB | Litwa (EU) | Newsletter (jeśli się zapiszesz) | DPA, transfer wewnątrz EOG | | Notion Labs Inc. | USA (California) | CRM — przechowywanie leadów i historii komunikacji | SCC + DPA + DPF | | Hetzner Online GmbH | Niemcy (EU) | VPS dla n8n (routing form pipeline — planowany Q3 2026, w Q2 nieaktywny) | Własna infrastruktura w EOG |
Pełne polityki prywatności tych dostawców znajdziesz na ich stronach:
- Vercel: vercel.com/legal/privacy-policy
- Cloudflare: cloudflare.com/privacypolicy
- Google: policies.google.com/privacy
- MailerLite: mailerlite.com/legal/privacy-policy
- Notion: notion.so/notion/Privacy-Policy
- Hetzner: hetzner.com/legal/privacy-policy Lista procesorów może się zmieniać. Datę ostatniej aktualizacji znajdziesz na górze strony. Przy istotnych zmianach (nowy procesor, nowy cel przetwarzania) podbiję wersję panelu cookies — zobaczysz panel zgód ponownie i będziesz mógł/mogła zdecydować świadomie.
Linki do mediów społecznościowych
W stopce strony znajdują się linki do mojego profilu na LinkedIn. Po kliknięciu opuszczasz fibon.pl — zasady przetwarzania danych w LinkedIn (i ewentualnie innych serwisach społecznościowych, jeśli kiedyś dodam) reguluje ich własna polityka prywatności, nie mam na nią wpływu. Same linki to zwykłe URL — nie osadzam pikseli śledzących ani widgetów, które ładowałyby content z tych serwisów na stronie fibon.pl.
§5 Twoje prawa wynikające z RODO
Wobec mnie masz pełen zestaw uprawnień określonych w RODO Art. 15-22. W skrócie, możesz:
- Dowiedzieć się, co o tobie wiem (Art. 15 — prawo dostępu) — poprosić o kopię danych, jakie przechowuję, i informację, w jakim celu je przetwarzam.
- Poprawić swoje dane (Art. 16 — sprostowanie) — jeśli coś jest nieaktualne, niepoprawne lub niekompletne.
- Zostać zapomnianym/zapomnianą (Art. 17 — usunięcie, "prawo do bycia zapomnianym") — żądać skasowania danych, jeśli nie mam nadrzędnej podstawy prawnej, żeby je trzymać.
- Ograniczyć przetwarzanie (Art. 18) — np. zamrozić dane, zamiast je kasować, gdy walidujemy ich poprawność albo gdy zgłosiłeś sprzeciw, który dopiero rozpatruję.
- Przenieść dane (Art. 20) — dostać kopię w formacie strukturalnym (CSV / JSON), żeby przekazać innemu administratorowi.
- Sprzeciwić się przetwarzaniu (Art. 21) — wobec danych przetwarzanych na podstawie uzasadnionego interesu (logi serwera, działania marketingowe wynikające z relacji biznesowej).
- Cofnąć zgodę w każdej chwili — dla cookies opcjonalnych, newslettera i innych zgód marketingowych. Cofnięcie nie wpływa na zgodność z prawem przetwarzania sprzed cofnięcia.
Jak skorzystać: napisz na grzegorz.adamczyk@fibon.pl z tematem
[RODO] — twoje żądanie. Odpowiem w ciągu 30 dni (RODO Art. 12 ust. 3). Jeśli sprawa jest skomplikowana lub mam wiele żądań naraz, mogę przedłużyć ten termin maksymalnie o kolejne 2 miesiące — poinformuję cię wtedy wraz z uzasadnieniem opóźnienia.
Jeśli uznasz, że naruszam twoje prawa, możesz złożyć skargę do organu nadzorczego:
Prezes Urzędu Ochrony Danych Osobowych (UODO) ul. Stawki 2, 00-193 Warszawa Strona: uodo.gov.pl
Brak decyzji automatycznych i profilowania
Nie podejmuję decyzji wyłącznie na podstawie automatycznego przetwarzania danych (RODO Art. 22). Żadna decyzja, która ma wobec ciebie skutki prawne lub w podobny istotny sposób na ciebie wpływa (np. odmowa świadczenia usługi, wycena), nie zapada bez udziału człowieka.
Nie profiluję cię w rozumieniu RODO. Google Analytics agreguje ruch na poziomie ogólnym, ale nie tworzę z tego indywidualnych profili dla celów marketingowych ani decyzji handlowych.
§6 Jak wycofać zgodę
Trzy ścieżki, w zależności od tego, na co wyraziłeś/aś zgodę.
Cookies opcjonalne (analityczne, marketingowe)
Kliknij link "Zarządzaj cookies" w stopce strony. Otworzy się panel preferencji, w którym możesz odznaczyć dowolną kategorię. Zmiana zapisuje się natychmiast, bez przeładowania strony, bez logowania.
Newsletter
W każdym e-mailu, który ode mnie dostajesz, jest link "Wypisz się" na dole. Klik = wypis natychmiastowy, bez logowania, bez dodatkowych kroków. MailerLite usuwa twój adres z mojej bazy w ciągu kilku minut.
Formularz kontaktowy / dane w CRM (Notion)
W okresie Q2 2026 (pre-launch): prześlij prośbę na grzegorz.adamczyk@fibon.pl z tematem [RODO] — usunięcie danych. Skasuję twoje dane z bazy Notion (CRM) w ciągu 30 dni (zwykle dużo szybciej — najczęściej tego samego dnia roboczego).
W okresie Q3 2026 (po uruchomieniu pipeline'u submissions) udostępnię self-service formularz do realizacji praw RODO — wtedy nie będzie konieczności pisania maila. Zaktualizuję tę sekcję, gdy formularz będzie dostępny.
§7 Jak chronię twoje dane
- HTTPS na całej domenie — szyfrowany ruch między twoją przeglądarką a moim serwerem (Cloudflare SSL Full Strict + Vercel managed certificates, wymuszane przekierowanie z
httpnahttps). - Sekrety wyłącznie po stronie serwera — klucze API, tokeny i credentials trzymam w zmiennych środowiskowych infrastruktury Vercel. Żaden sekret nie trafia do kodu wysyłanego do twojej przeglądarki (rygor
NEXT_PUBLIC_*egzekwowany w code review przed każdym deployem). - Brak self-hosted bazy z danymi użytkowników — wszystkie procesy lecą przez sprawdzonych dostawców SaaS (MailerLite, Google Analytics, Notion), każdy z własnymi środkami bezpieczeństwa i certyfikatami zgodności (ISO 27001, SOC 2 Type II, gdzie aplikowalne).
- Minimalizacja danych — zbieram tylko to, co realnie potrzebne. Nie proszę o PESEL, numer dowodu, datę urodzenia ani adres zamieszkania w formularzach kontaktowych.
- Logi i metryki — agregowane i anonimizowane, gdzie to możliwe; retencja maksymalnie 90 dni.
- Aktualizacje — infrastrukturę (Next.js, biblioteki, system Vercel, Cloudflare) trzymam w aktualnych wersjach, żeby na bieżąco łatać znane podatności.
- Kontrola dostępu — do bazy CRM w Notion mam dostęp tylko ja oraz wybrani podwykonawcy w zakresie niezbędnym do realizacji konkretnego zlecenia. Każdy zobowiązany jest do zachowania poufności. Mimo tych środków żaden system w internecie nie jest w 100% odporny na incydenty. Jeśli kiedykolwiek dojdzie do naruszenia ochrony danych osobowych, które może wiązać się z ryzykiem dla twoich praw — zgłoszę to do UODO w ciągu 72 godzin (RODO Art. 33). Jeśli ryzyko będzie wysokie, poinformuję cię też bezpośrednio (RODO Art. 34).
§8 Zmiany w polityce
Data ostatniej aktualizacji jest widoczna na górze tej strony.
Drobne korekty redakcyjne (literówki, doprecyzowania, zaktualizowane linki) — odnotowuję tylko aktualizacją daty, bez dodatkowego powiadomienia.
Istotne zmiany (nowy procesor, nowy typ cookies, nowa kategoria danych, zmiana celu przetwarzania) — podbijam wewnętrzną wersję panelu cookies. W efekcie zobaczysz panel zgód ponownie i będziesz mógł/mogła zdecydować świadomie, czy dalej akceptujesz takie przetwarzanie.
Jeśli chcesz znać historię zmian dokładniej niż "data na górze" — napisz na grzegorz.adamczyk@fibon.pl, prześlę szczegółowy changelog.
Ostatnia aktualizacja: 23 maja 2026