polityka prywatności.
Data wejścia w życie: 17 maja 2026 · Administrator: VaultPAM Security Sp. z o.o.
1. Administrator danych
Administratorem danych osobowych przetwarzanych w związku z niniejszą stroną internetową (vaultpam.com) i usługą VaultPAM jest:
VaultPAM Security Sp. z o.o.
ul. Żelazna 51/53, 00-841 Warszawa
E-mail: privacy@vaultpam.com
Działamy jako administrator w odniesieniu do czynności przetwarzania opisanych w niniejszej polityce. W zakresie, w jakim przetwarzamy dane osobowe w imieniu naszych klientów (np. dzienniki sesji uprzywilejowanych w ramach platformy VaultPAM), działamy jako podmiot przetwarzający, a odpowiedni klient jest administratorem. Te czynności przetwarzania reguluje Umowa o przetwarzaniu danych.
2. Dane osobowe, które gromadzimy
Gromadzimy następujące kategorie danych osobowych:
2.1 Odwiedzający stronę (vaultpam.com)
- Dzienniki serwera: adres IP, user-agent przeglądarki, adres URL odsyłającego, odwiedzane strony i znacznik czasu. Gromadzone automatycznie przez naszą infrastrukturę hostingową (Google Cloud Platform).
- Zgłoszenia przez formularz kontaktowy: imię i nazwisko, służbowy adres e-mail, nazwa firmy oraz treść wiadomości.
- Prośby o demo: imię i nazwisko, służbowy adres e-mail, firma, stanowisko oraz opcjonalne uwagi.
2.2 Użytkownicy wersji próbnej i zarejestrowani
- Dane logowania (adres e-mail i zahashowane hasło).
- Informacje profilowe podane opcjonalnie (imię i nazwisko, stanowisko, telefon).
- Dane rozliczeniowe gromadzone i przechowywane przez naszego operatora płatności (Stripe). Nie przechowujemy pełnych numerów kart.
- Telemetria użytkowania: zdarzenia korzystania z funkcji, liczba wywołań API, raporty błędów. Telemetria nie zawiera treści sesji.
2.3 Dzienniki sesji i dostępu produktu PAM
- Nagrania sesji: dzienniki naciśnięć klawiszy podczas sesji z dostępem uprzywilejowanym, nagrania ekranu oraz metadane transferu plików gromadzone w ramach platformy VaultPAM na zlecenie klientów. Przetwarzane jako podmiot przetwarzający zgodnie z instrukcjami klienta i Umową o przetwarzaniu danych.
- Dzienniki dostępu: zdarzenia uwierzytelniania, czasy rozpoczęcia i zakończenia sesji, identyfikatory hostów docelowych oraz wyniki weryfikacji MFA. Przechowywane do celów audytowych.
2.4 Dane, których NIE gromadzimy ani nie sprzedajemy
Nie sprzedajemy danych osobowych żadnym podmiotom trzecim. Dane analityczne i pomiarowe reklam (zob. sekcja 3) są przetwarzane wyłącznie za Twoją wyraźną zgodą i nigdy nie służą do budowania indywidualnych profili reklamowych poza własnymi platformami Google.
3. Pliki cookie
Niniejsza strona internetowa wykorzystuje niezbędne pliki cookie wymagane do bezpiecznego działania, a także — za Twoją zgodą — pliki cookie analityczne i pomiarowe reklam:
| Nazwa cookie | Cel | Czas trwania | Strona | Wymaga zgody |
|---|---|---|---|---|
vp_session | Token sesji uwierzytelnionego użytkownika (tylko aplikacja) | Sesja / 30 dni przy „Zapamiętaj mnie" | VaultPAM | Nie — niezbędny |
_ga, _ga_* | Google Analytics 4 — rozróżnia unikalnych odwiedzających, mierzy odsłony stron i zachowanie w sesji | 2 lata | Google LLC | Tak — zgoda analityczna |
_gcl_au | Google Ads — łącznik konwersji, przypisuje kliknięcia reklam do przesłanych formularzy | 90 dni | Google LLC | Tak — zgoda analityczna |
Pliki cookie analityczne i reklamowe są umieszczane dopiero po kliknięciu „Akceptuję pliki analityczne" w banerze zgody. Możesz wycofać zgodę w dowolnym momencie, klikając „Preferencje cookie" w stopce — spowoduje to usunięcie wszystkich plików analitycznych z przeglądarki. Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda). Google przetwarza dane zgodnie z własną polityką prywatności i standardowymi klauzulami umownymi dla transferów danych z UE.
4. Podstawa prawna przetwarzania (art. 6 RODO)
| Czynność przetwarzania | Podstawa prawna (art. 6 RODO) |
|---|---|
| Odpowiedzi na zapytania kontaktowe i prośby o demo | Art. 6 ust. 1 lit. b — umowa / kroki przedumowne |
| Rejestracja konta i świadczenie usług | Art. 6 ust. 1 lit. b — wykonanie umowy |
| Rozliczenia i fakturowanie | Art. 6 ust. 1 lit. c — obowiązek prawny (VAT, prawo rachunkowe) |
| Przetwarzanie dzienników serwera (bezpieczeństwo, dostępność) | Art. 6 ust. 1 lit. f — uzasadnione interesy (bezpieczeństwo IT) |
| Doskonalenie usług poprzez telemetrię użytkowania | Art. 6 ust. 1 lit. f — uzasadnione interesy (rozwój produktu) |
| Analityka strony (Google Analytics 4) i pomiar konwersji reklam (Google Ads) | Art. 6 ust. 1 lit. a — zgoda (opt-in przez baner cookie) |
| Komunikacja marketingowa (po wyrażeniu zgody) | Art. 6 ust. 1 lit. a — zgoda |
W przypadkach, gdy powołujemy się na uzasadnione interesy (art. 6 ust. 1 lit. f), przeprowadziliśmy test równoważenia i stwierdziliśmy, że nasze interesy nie przeważają nad Twoimi prawami i wolnościami, biorąc pod uwagę ograniczony zakres przetwarzanych danych i realizowany cel bezpieczeństwa.
5. Odbiorcy i zewnętrzni podmioty przetwarzające
Korzystamy z następujących podpodmiotów przetwarzających. Każdy z nich został oceniony pod kątem adekwatności RODO i działa na podstawie zawartej z nami umowy powierzenia przetwarzania danych:
| Podmiot przetwarzający | Rola | Przekazywane dane | Lokalizacja |
|---|---|---|---|
| Google Cloud Platform (GCP) | Hosting w chmurze — obliczenia, baza danych, pamięć masowa | Wszystkie dane platformy | Warszawa, Polska (UE) |
| Google LLC (Google Analytics 4, Google Ads) | Analityka strony i pomiar reklam (wyłącznie na podstawie zgody) | Adres IP, zachowanie podczas przeglądania, identyfikatory urządzeń | USA (stosowane SKU — Google Ads DPA) |
| Google Workspace (przekaźnik SMTP) | Dostarczanie transakcyjnych wiadomości e-mail | Adres e-mail, treść wiadomości | UE (Google Ireland Ltd.) |
| SMSAPI Sp. z o.o. | Dostarczanie jednorazowych haseł SMS do uwierzytelniania MFA | Numer telefonu komórkowego, treść OTP | Polska (UE) |
| SerwerSMS Sp. z o.o. | Dostarczanie jednorazowych haseł SMS do uwierzytelniania MFA (dostawca alternatywny) | Numer telefonu komórkowego, treść OTP | Polska (UE) |
Dane osobowe nie są przekazywane do krajów spoza Europejskiego Obszaru Gospodarczego, z wyjątkiem przypadków, gdy obowiązują standardowe klauzule umowne (SKU) lub równoważne zabezpieczenia na podstawie rozdziału V RODO.
5.2 Niezależni administratorzy
Stripe Technology Europe Ltd. (Dublin 2, Irlandia) przetwarza dane kart płatniczych jako niezależny administrator danych na podstawie własnej polityki prywatności — nie jako podpodmiot przetwarzający VaultPAM. VaultPAM nie przechowuje pełnych numerów kart. W sprawie praw dotyczących danych rozliczeniowych prosimy zapoznać się z Polityką Prywatności Stripe.
6. Okresy przechowywania danych
| Kategoria danych | Okres przechowywania | Powód |
|---|---|---|
| Dzienniki dostępu serwera | 90 dni | Dochodzenie w sprawie incydentów bezpieczeństwa |
| Dzienniki sesji PAM / dostępu (dane klientów) | 90 dni (domyślnie); konfigurowalnie zgodnie z umową klienta | Ścieżka audytu; instrukcja klienta |
| Dane zapytań kontaktowych / demo | 24 miesiące od ostatniego kontaktu | Uzasadnione interesy — działania sprzedażowe |
| Dane konta wersji próbnej | 90 dni po wygaśnięciu okresu próbnego | Okres przejściowy na eksport danych |
| Dane aktywnego konta subskrypcyjnego | Czas trwania umowy + 5 lat | Obowiązek prawny wynikający z prawa rachunkowo-podatkowego |
| Dokumenty rozliczeniowe i faktury | 5 lat od daty wystawienia faktury | Obowiązek wynikający z polskiej ustawy o rachunkowości |
| Zapisy zgód marketingowych | Do wycofania + 3 lata | Dowód zgody (art. 7 ust. 1 RODO) |
7. Twoje prawa na podstawie RODO (art. 15–22)
Jeżeli przebywasz w Europejskim Obszarze Gospodarczym lub Wielkiej Brytanii, przysługują Ci następujące prawa dotyczące Twoich danych osobowych:
- Prawo dostępu (art. 15): żądanie kopii danych osobowych, które przechowujemy na Twój temat, wraz z informacjami o sposobie ich przetwarzania.
- Prawo do sprostowania (art. 16): żądanie korekty nieścisłych lub niekompletnych danych.
- Prawo do usunięcia danych (art. 17): żądanie usunięcia danych, gdy nie ma nadrzędnej podstawy prawnej do dalszego przetwarzania. Uwaga: dane zablokowane w trybie WORM mogą nie podlegać usunięciu do czasu wygaśnięcia okresu blokady (zob. Umowa o przetwarzaniu danych, klauzula 6.2).
- Prawo do ograniczenia przetwarzania (art. 18): żądanie ograniczenia przetwarzania na czas rozstrzygnięcia sporu dotyczącego dokładności danych lub podstawy prawnej.
- Prawo do przenoszenia danych (art. 20): otrzymanie danych w ustrukturyzowanym, nadającym się do odczytu maszynowego formacie i przeniesienie ich do innego administratora.
- Prawo do sprzeciwu (art. 21): sprzeciw wobec przetwarzania opartego na uzasadnionych interesach w dowolnym momencie. Zaprzestaniemy przetwarzania, chyba że wykażemy istnienie nadrzędnych prawnie uzasadnionych podstaw.
- Prawo do wycofania zgody (art. 7 ust. 3): wycofanie udzielonej wcześniej zgody (np. na e-maile marketingowe) w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania przed wycofaniem.
- Prawo do niepodlegania zautomatyzowanym decyzjom (art. 22): nie podejmujemy wyłącznie zautomatyzowanych decyzji wywołujących skutki prawne lub podobnie istotne skutki.
Aby skorzystać z któregokolwiek z powyższych praw, skontaktuj się z nami pod adresem privacy@vaultpam.com. Odpowiemy w ciągu 30 dni. Jeżeli uważasz, że nie uszanowaliśmy Twoich praw, możesz wnieść skargę do polskiego organu nadzorczego:
Urząd Ochrony Danych Osobowych (UODO)
ul. Stanisława Moniuszki 1A, 00-014 Warszawa
uodo.gov.pl
8. Dzieci (Małoletni)
Rozumiemy znaczenie ochrony prywatności dzieci, zwłaszcza w internecie. Ta strona nie jest przeznaczona dla dzieci ani do nich skierowana. W żadnych okolicznościach nie zezwalamy dzieciom na korzystanie z naszych usług. Nie zbieramy celowo danych osobowych od dzieci.
9. Prawa do prywatności w Kalifornii (CCPA / CPRA)
Jeżeli jesteś mieszkańcem Kalifornii, masz prawo wiedzieć, jakie dane osobowe gromadzimy, żądać ich usunięcia, zrezygnować ze sprzedaży danych osobowych (nie sprzedajemy danych osobowych) i nie być dyskryminowanym za korzystanie z przysługujących Ci praw. Aby skorzystać z tych praw, skontaktuj się z nami pod adresem privacy@vaultpam.com.
10. Środki bezpieczeństwa
Wdrażamy techniczne i organizacyjne środki bezpieczeństwa adekwatne do poziomu ryzyka, w tym:
- Szyfrowanie podczas przesyłania (TLS 1.2+) i w spoczynku (AES-256).
- Kontrola dostępu oparta na rolach i zasada minimalnych uprawnień.
- Coroczne testy penetracyjne i ciągłe skanowanie podatności.
- Program kontroli SOC 2 Type II (w toku, certyfikacja planowana na 2026 r.).
- Wszystkie dane produkcyjne przechowywane wyłącznie w GCP Warszawa, Polska (UE).
11. Zmiany niniejszej polityki
Możemy aktualizować niniejszą Politykę Prywatności, aby odzwierciedlić zmiany w naszych praktykach dotyczących danych lub obowiązujących przepisach prawa. W przypadku wprowadzenia istotnych zmian zaktualizujemy datę wejścia w życie wskazaną u góry strony i — w zakresie wymaganym przez prawo — powiadomimy Cię drogą e-mailową lub poprzez powiadomienie w produkcie. Zachęcamy do okresowego sprawdzania tej strony.
12. Kontakt
W sprawach dotyczących prywatności lub wniosków osób, których dane dotyczą, prosimy o kontakt:
Zespół ds. prywatności — VaultPAM Security Sp. z o.o.
ul. Żelazna 51/53, 00-841 Warszawa
E-mail: privacy@vaultpam.com
Pytania dotyczące tej polityki? Skontaktuj się z nami pod adresem privacy@vaultpam.com.
Zobacz też: Umowa o przetwarzaniu danych · Warunki korzystania z usługi.
Dostępne również w: English · Deutsch · Français