wersja: 1.1
data wejścia w życie: 11.05.2026
adres strony i systemu: jettz.app
kontakt: hello@jettz.app

Polityka prywatności Jettz

Niniejsza Polityka prywatności opisuje zasady przetwarzania danych osobowych w związku z korzystaniem ze strony internetowej jettz.app oraz z systemu Jettz dostępnego pod tym adresem i jego usług powiązanych (panel zarządzania firmą, moduł HR, Live Chat, Jettz Mail, Sejf, Notatki, Zadania, Czat wewnętrzny). Polityka prywatności jest spójna z Regulaminem świadczenia usług Jettz, Polityką cookies Jettz, Umową powierzenia przetwarzania danych (DPA) oraz Listą podprocesorów. W razie sprzeczności, dokumentem nadrzędnym dla obowiązków informacyjnych RODO jest niniejsza Polityka.

1. Administrator danych osobowych

Administratorem danych osobowych w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (dalej: „RODO") jest Jettz Sp. z o.o. z siedzibą w Warszawie, adres: ul. Niekłańska 35/1, 03-924 Warszawa, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0001239865, NIP: 1133201459 (dalej: „Jettz" lub „Administrator"). Kontakt w sprawach dotyczących prywatności i ochrony danych osobowych: hello@jettz.app. Administrator nie wyznaczył obecnie Inspektora Ochrony Danych. Z chwilą wyznaczenia IOD jego dane kontaktowe zostaną opublikowane w niniejszej Polityce oraz w panelu Jettz.

2. Role Jettz w przetwarzaniu danych

Jettz pełni różne role w zależności od kontekstu przetwarzania:

Administrator - wobec danych odwiedzających stronę jettz.app, użytkowników zakładających konto, osób kontaktujących się przez formularz i live chat na jettz.app, oraz administratorów organizacji rejestrujących Konto Organizacji.
Podmiot przetwarzający (Procesor) - wobec danych osobowych przetwarzanych w systemie Jettz przez Klientów (np. dane pracowników w module HR, dane gości obsługiwanych przez Klienta w module Live Chat, dane kontaktowe w skrzynkach Jettz mail). Szczegóły powierzenia regulowane są przez Umowę powierzenia przetwarzania danych (DPA) zawieraną z Klientem.
Współadministrator - wyłącznie w wyjątkowych, opisanych odrębną umową przypadkach.

3. Definicje

W niniejszej Polityce:

Strona oznacza serwis internetowy jettz.app;
System oznacza aplikację Jettz dostępną pod adresem jettz.app oraz powiązane domeny (np. {subdomena}.jettz.app, api.jettz.app);
Klient oznacza podmiot, który zawarł umowę o korzystanie z Systemu (typowo: przedsiębiorca rejestrujący Konto Organizacji);
Użytkownik oznacza osobę fizyczną korzystającą ze Strony lub Systemu (m.in. pracownik Klienta, administrator Konta Organizacji, gość Live Chat);
Dane osobowe oznacza informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej w rozumieniu art. 4 pkt 1 RODO;
Podprocesor oznacza dalszego podmiotu przetwarzającego, z którego Jettz korzysta przy świadczeniu Usługi (pełna lista w Liście podprocesorów).

4. Zakres przetwarzanych danych

Zakres danych przetwarzanych przez Jettz zależy od czynności Użytkownika oraz wybranych modułów Systemu.

4.1. Dane odwiedzających Stronę

W związku z odwiedzeniem Strony jettz.app Jettz może przetwarzać:

adres IP, identyfikator urządzenia, dane przeglądarki (user-agent, język, rozdzielczość ekranu);
dane techniczne logów (URL, znaczniki czasu, kod odpowiedzi serwera, źródło ruchu);
dane z cookies i podobnych technologii (szczegóły w Polityce cookies Jettz).

4.2. Dane konta Użytkownika

W związku z rejestracją konta i korzystaniem z Systemu Jettz może przetwarzać:

adres e-mail (login);
imię, nazwisko;
numer telefonu (opcjonalnie);
zdjęcie profilowe lub avatar (opcjonalnie);
preferencje interfejsu (motyw, język, układ paneli);
dane techniczne logowania (adres IP, identyfikator urządzenia, znaczniki czasu, historia sesji).

4.3. Dane administratora i kontaktowe Klienta

W związku z zawarciem umowy o korzystanie z Systemu Jettz może przetwarzać dodatkowo:

firmę, NIP, REGON, KRS lub identyfikator zagraniczny Klienta;
adres siedziby i adres do korespondencji Klienta;
dane kontaktowe osób uprawnionych do reprezentacji Klienta (imię, nazwisko, stanowisko, e-mail, telefon);
dane do faktur i rozliczeń (numer rachunku bankowego, dane do płatności w Stripe).

4.4. Dane przetwarzane w roli procesora (na zlecenie Klienta)

W ramach Systemu Klient powierza Jettz przetwarzanie danych osobowych m.in.:

pracowników i współpracowników Klienta (moduł HR i kadry);
gości odwiedzających strony Klienta i kontaktujących się przez Live Chat zainstalowany przez Klienta;
nadawców i odbiorców wiadomości w skrzynkach Jettz mail podłączonych przez Klienta;
dostawców, klientów Klienta, kontrahentów Klienta (moduł CRM-light, zadania, notatki). Cele, zakres i czas tego przetwarzania określa Umowa powierzenia przetwarzania danych (DPA) zawierana z Klientem. Jettz przetwarza te dane wyłącznie na udokumentowane polecenie Klienta.

4.5. Dane szczególnych kategorii (art. 9 RODO)

Jettz nie wymaga wprowadzania do Systemu danych szczególnych kategorii (zdrowie, biometria, pochodzenie etniczne, przekonania religijne itp.). Jeżeli Klient zdecyduje się na przetwarzanie takich danych w polach swobodnych (np. notatki HR, załączniki), pełną odpowiedzialność za podstawę prawną i bezpieczeństwo takiego przetwarzania ponosi Klient jako Administrator danych pracowniczych.

5. Cele i podstawy prawne przetwarzania

Jettz przetwarza dane osobowe w następujących celach:

5.1. Świadczenie usług i wykonanie umowy

Cel: rejestracja i obsługa konta, dostarczanie funkcjonalności Systemu, obsługa płatności, wystawianie faktur, kontakt techniczny.
Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy lub działania na żądanie przed zawarciem umowy).

5.2. Obowiązki prawne

Cel: wystawianie i archiwizacja faktur, prowadzenie ksiąg podatkowych, realizacja żądań organów państwowych, obowiązki wynikające z RODO.
Podstawa prawna: art. 6 ust. 1 lit. c RODO (obowiązek prawny ciążący na Administratorze).

5.3. Bezpieczeństwo i przeciwdziałanie nadużyciom

Cel: ochrona Systemu przed atakami, wykrywanie spamu i botów, rate-limit, logi audytowe, antyspam w Live Chat, weryfikacja autentyczności logowania.
Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora - utrzymanie ciągłości i bezpieczeństwa Usługi).

5.4. Marketing własnych usług

Cel: newsletter, informacje o nowych funkcjach, badanie satysfakcji.
Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda Użytkownika) lub art. 6 ust. 1 lit. f RODO w zakresie marketingu bezpośredniego własnych usług.

5.5. Powiadomienia transakcyjne

Cel: e-maile systemowe (potwierdzenie rejestracji, reset hasła, faktura, alerty bezpieczeństwa), powiadomienia push, powiadomienia w Systemie.
Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy).

5.6. Integracje na żądanie Użytkownika

Cel: połączenie z Google Workspace (Jettz Mail), Google Calendar, Stripe, innymi dostawcami, jeżeli Użytkownik je włączy.
Podstawa prawna: art. 6 ust. 1 lit. a RODO (wyraźna zgoda Użytkownika udzielona w toku OAuth) i lit. b (wykonanie umowy w zakresie funkcjonalności integracji).

5.7. Dochodzenie i obrona przed roszczeniami

Cel: ustalenie, dochodzenie i obrona roszczeń wynikających z umowy lub przepisów.
Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes).

6. Odbiorcy danych

Dane Użytkownika mogą być udostępniane następującym kategoriom odbiorców:

pracownikom i współpracownikom Jettz, którzy świadczą usługi na podstawie umowy o pracę, B2B lub umowy o zachowaniu poufności, wyłącznie w zakresie niezbędnym do wykonania obowiązków;
podprocesorom (dostawcom infrastruktury, narzędzi i usług wspierających), wymienionym w Liście podprocesorów;
bankom, operatorom płatności (m.in. Stripe) - w zakresie niezbędnym do realizacji płatności;
kancelariom prawnym, audytorom, biurom rachunkowym - w zakresie niezbędnym do realizacji obowiązków prawnych i obrony roszczeń;
organom państwowym (sądy, prokuratura, organy podatkowe, organy ścigania) - wyłącznie na podstawie obowiązku prawnego.

Jettz nie sprzedaje danych Użytkowników podmiotom trzecim w celach marketingowych. Jettz nie udostępnia danych w celu profilowania reklamowego.

7. Międzynarodowe transfery danych

Niektórzy podprocesorzy Jettz operują serwery poza Europejskim Obszarem Gospodarczym (głównie Stany Zjednoczone). W każdym takim przypadku Jettz zapewnia odpowiednie zabezpieczenia transferu wymagane przez RODO:

EU–US Data Privacy Framework (DPF) - dla certyfikowanych dostawców, m.in. Google LLC, Cloudflare Inc., Stripe Inc.;
Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską - dla pozostałych podmiotów spoza EOG;
dodatkowe środki techniczne i organizacyjne (szyfrowanie w spoczynku i tranzycie, minimalizacja zakresu danych, audyt bezpieczeństwa) - w zakresie wskazanym w Liście podprocesorów.

Pełne informacje o lokalizacji przetwarzania i podstawie transferu każdego z dostawców znajdują się w Liście podprocesorów Jettz.

8. Okres przechowywania danych

Jettz przetwarza dane osobowe wyłącznie przez okres niezbędny do realizacji celu, dla którego zostały zebrane:

Dane konta Użytkownika - przez okres obowiązywania umowy oraz dodatkowo 30 dni po jej zakończeniu na potrzeby kopii zapasowych, po czym są nieodwracalnie usuwane;
Dane do faktur i rozliczeń - przez okres wymagany przez przepisy o rachunkowości i podatkach (zasadniczo 5 lat licząc od końca roku obrotowego);
Dane do dochodzenia roszczeń - do upływu terminu przedawnienia roszczeń wynikających z umowy (zasadniczo 3 lub 6 lat zgodnie z Kodeksem cywilnym);
Dane gości Live Chat - przez okres trwania sesji oraz 90 dni po jej zamknięciu w celu obsługi reklamacji i analizy jakości obsługi, chyba że dłuższy okres wynika z innej podstawy prawnej;
Dane wiadomości w Jettz mail (cache treści Google) - od 7 do 30 dni od ostatniego dostępu, konfigurowalne per Klient; usuwane natychmiast po odłączeniu konta Google przez Użytkownika;
Logi techniczne (IP, user-agent, znaczniki czasu) - przez 12 miesięcy;
Cookies analityczne i marketingowe - zgodnie z okresami w Polityce cookies Jettz.

Po upływie wskazanych okresów dane są usuwane lub anonimizowane, chyba że dłuższy okres ich przechowywania wynika z przepisów prawa.

9. Prawa Użytkownika

Każdej osobie, której dane są przetwarzane przez Jettz, przysługują następujące prawa wynikające z RODO:

prawo dostępu do danych (art. 15 RODO) - w tym uzyskania kopii danych;
prawo do sprostowania danych nieprawidłowych lub niekompletnych (art. 16 RODO);
prawo do usunięcia danych - „prawo do bycia zapomnianym" (art. 17 RODO);
prawo do ograniczenia przetwarzania (art. 18 RODO);
prawo do przenoszenia danych dostarczonych przez Użytkownika w ustrukturyzowanym, powszechnie używanym formacie (art. 20 RODO);
prawo do sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie Administratora (art. 21 RODO);
prawo do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed cofnięciem (art. 7 ust. 3 RODO);
prawo do wniesienia skargi do organu nadzorczego - Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl.

W celu realizacji uprawnień należy skontaktować się z Jettz pod adresem hello@jettz.app. Jettz odpowie bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania żądania, z zastrzeżeniem możliwości przedłużenia tego terminu o kolejne dwa miesiące w przypadku skomplikowanych żądań - o czym Użytkownik zostanie poinformowany.

Część uprawnień można zrealizować samodzielnie z poziomu Systemu (np. edycja profilu, eksport danych, odłączenie integracji Google, usunięcie konta).

10. Profilowanie i decyzje automatyczne

Jettz nie podejmuje wobec Użytkowników decyzji wywołujących skutki prawne lub istotnie wpływających na nich, które byłyby oparte wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, w rozumieniu art. 22 RODO. Funkcje AI w Systemie (sugestie, automatyzacje, podpowiedzi) wspierają decyzje Użytkownika, ale ostateczna decyzja zawsze należy do Użytkownika.

11. Google Workspace API i Gmail - Limited Use Disclosure

Funkcja Jettz mail umożliwia Użytkownikowi połączenie konta Google Workspace lub osobistego Gmail z Systemem w celu obsługi wspólnej skrzynki e-mail zespołu. Połączenie odbywa się wyłącznie na podstawie wyraźnej zgody Użytkownika udzielonej w trakcie procedury OAuth 2.0 z widocznymi zakresami uprawnień (scopes).

11.1. Zakres dostępu

Po wyrażeniu zgody Jettz uzyskuje dostęp do następujących zakresów Google API:

https://www.googleapis.com/auth/userinfo.email - adres e-mail konta Google;
https://www.googleapis.com/auth/userinfo.profile - podstawowy profil (imię, nazwisko, zdjęcie);
https://www.googleapis.com/auth/gmail.labels - odczyt i tworzenie etykiet Gmail;
https://www.googleapis.com/auth/gmail.readonly - odczyt treści wiadomości i załączników z połączonej skrzynki;
https://www.googleapis.com/auth/gmail.modify - oznaczanie wiadomości jako przeczytane/nieprzeczytane, dodawanie etykiet, archiwizacja, przenoszenie do kosza;
https://www.googleapis.com/auth/gmail.send - wysyłanie wiadomości w imieniu Użytkownika z poziomu Jettz mail;
https://www.googleapis.com/auth/gmail.settings.sharing - konfiguracja delegacji wspólnej skrzynki zespołu (zarządzanie tym, kto z zespołu może obsługiwać daną skrzynkę).

Dostęp jest niezbędny do realizacji funkcjonalności Jettz mail (wspólny inbox zespołu, synchronizacja statusu przeczytania między członkami zespołu, odpowiedzi na wiadomości klientów).

11.2. Limited Use of Google User Data

Verbatim Limited Use disclosure (English, exact form per Google API Services User Data Policy for restricted scopes including gmail.readonly, gmail.modify and gmail.settings.sharing):

Jettz's use and transfer to any other app of information received from Google APIs will adhere to Google API Services User Data Policy, including the Limited Use requirements.

Source / dokument źródłowy: Google API Services User Data Policy (developers.google.com/terms/api-services-user-data-policy).

Tłumaczenie informacyjne (polski, dla zrozumienia przez polskich Użytkowników):

Wykorzystanie i przekazywanie przez Jettz do jakiejkolwiek innej aplikacji informacji otrzymanych z Google APIs odbywa się zgodnie z Google API Services User Data Policy, w tym wymogami Limited Use (ograniczonego użytku) dla zakresów typu restricted scope (gmail.readonly, gmail.modify, gmail.settings.sharing).

W praktyce oznacza to, że dane uzyskane z Google API (treści wiadomości, etykiety, metadane):

nie są wykorzystywane do wyświetlania ani targetowania reklam;
nie są sprzedawane podmiotom trzecim;
nie są wykorzystywane do trenowania ogólnych modeli sztucznej inteligencji ani uczenia maszynowego;
nie są udostępniane innym aplikacjom poza tymi, które są niezbędne do dostarczenia funkcjonalności wybranej przez Użytkownika (np. dostawca infrastruktury hostingowej, dostawca usługi wysyłki e-maili);
są dostępne dla pracowników Jettz wyłącznie w zakresie niezbędnym do (a) zapewnienia bezpieczeństwa i wykrywania nadużyć, (b) realizacji wyraźnego żądania Użytkownika (np. wsparcie techniczne), (c) realizacji obowiązków prawnych.

11.3. Data Retention / Przechowywanie danych z Google API

Data retention policy dotycząca informacji otrzymanych z Google APIs:

Treści wiadomości (message body) i metadane są buforowane w infrastrukturze Jettz wyłącznie w zakresie i przez czas niezbędny do działania Systemu (typowo od 7 do 30 dni, konfigurowalne per Klient w panelu administracyjnym).
Tokeny OAuth są przechowywane w stanie zaszyfrowanym (AES-256-GCM) do momentu wyraźnego revocation przez Użytkownika lub administratora.
Logi technologiczne (request logs, error logs) zawierające message_id lub thread_id są przechowywane przez maksymalnie 90 dni dla celów bezpieczeństwa i debugowania.

11.4. Data Deletion / Right to Delete

Użytkownik może w każdej chwili odłączyć konto Google poprzez panel Jettz (Settings → Connected Accounts → Disconnect Gmail) lub przez bezpośrednie revocation w https://myaccount.google.com/permissions. Po odłączeniu:

token OAuth jest natychmiast odwoływany u Google poprzez https://oauth2.googleapis.com/revoke;
wszystkie zbuforowane dane (wiadomości, metadane, etykiety, tokeny) są usuwane w terminie 24 godzin z głównej bazy + replik;
backupy zawierające dane są rotowane out w ciągu 30 dni (standardowy backup retention cycle).

11a. Google Calendar API i logowanie Google - Limited Use Disclosure

Aplikacja jettz umożliwia Użytkownikowi logowanie przez konto Google (Sign in with Google) oraz połączenie kalendarza Google (Google Calendar) z Systemem w celu dwukierunkowej synchronizacji wydarzeń i terminów zadań. Połączenie odbywa się wyłącznie na podstawie wyraźnej zgody Użytkownika udzielonej w trakcie procedury OAuth 2.0 z widocznymi zakresami uprawnień (scopes). Jest to integracja odrębna od Jettz mail (sekcja 11) - korzysta z osobnego klienta OAuth i wyłącznie z zakresów typu sensitive wymienionych poniżej; nie obejmuje żadnych zakresów Gmail.

11a.1. Zakres dostępu (logowanie + kalendarz)

Po wyrażeniu zgody jettz uzyskuje dostęp do następujących zakresów Google API:

openid - identyfikator logowania OpenID Connect (uwierzytelnienie sesji);
https://www.googleapis.com/auth/userinfo.email - adres e-mail konta Google (identyfikacja Użytkownika i powiązanie z kontem firmowym);
https://www.googleapis.com/auth/userinfo.profile - podstawowy profil (imię, nazwisko, zdjęcie);
https://www.googleapis.com/auth/calendar.readonly - odczyt kalendarzy i wydarzeń Użytkownika w celu wyświetlenia ich w jettz obok terminów zadań;
https://www.googleapis.com/auth/calendar.events - tworzenie, aktualizacja i usuwanie wydarzeń w Google Calendar wyłącznie jako odzwierciedlenie akcji Użytkownika w jettz (synchronizacja dwukierunkowa).

Dostęp jest niezbędny do realizacji logowania przez Google oraz dwukierunkowej synchronizacji kalendarza (wyświetlanie wydarzeń Google w jettz oraz przenoszenie wydarzeń utworzonych w jettz do Google Calendar). W tej integracji jettz nie prosi o żadne zakresy Gmail.

11a.2. Limited Use of Google User Data (Calendar)

Verbatim Limited Use disclosure (English, exact form per Google API Services User Data Policy):

jettz's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

W praktyce dane kalendarza oraz profilu uzyskane z Google API:

nie są wykorzystywane do wyświetlania ani targetowania reklam;
nie są sprzedawane ani przekazywane podmiotom trzecim, poza niezbędnymi do dostarczenia funkcji wybranej przez Użytkownika (np. dostawca infrastruktury hostingowej w EOG);
nie są wykorzystywane do trenowania modeli sztucznej inteligencji ani uczenia maszynowego;
są dostępne dla pracowników jettz wyłącznie w zakresie niezbędnym do (a) zapewnienia bezpieczeństwa i wykrywania nadużyć, (b) realizacji wyraźnego żądania Użytkownika (np. wsparcie techniczne), (c) realizacji obowiązków prawnych.

11a.3. Data Retention / Przechowywanie danych kalendarza

Wydarzenia pobrane z Google Calendar są buforowane wyłącznie w zakresie i czasie niezbędnym do wyświetlania ich w jettz, odświeżane przy synchronizacji i usuwane po odłączeniu konta Google.
Tokeny OAuth są przechowywane w stanie zaszyfrowanym (AES-256-GCM) do momentu odłączenia/odwołania przez Użytkownika.

11a.4. Data Deletion / Right to Delete (Calendar)

Użytkownik może w każdej chwili odłączyć konto Google w panelu jettz (Ustawienia → Kalendarz → Odłącz Google) lub przez bezpośrednie revocation w https://myaccount.google.com/permissions. Po odłączeniu:

token OAuth jest natychmiast odwoływany u Google poprzez https://oauth2.googleapis.com/revoke;
wszystkie zbuforowane dane kalendarza są usuwane w terminie 24 godzin z głównej bazy i replik;
backupy zawierające dane są rotowane out w ciągu 30 dni.

12. Bezpieczeństwo danych

Jettz stosuje środki techniczne i organizacyjne adekwatne do zidentyfikowanego ryzyka, w szczególności:

szyfrowanie w spoczynku danych szczególnie wrażliwych (PESEL, NIP, IBAN, dane dokumentów tożsamości) - AES-256-GCM;
szyfrowanie w tranzycie całego ruchu - protokół HTTPS/TLS 1.3;
bezpieczne przechowywanie haseł - bcrypt z indywidualną solą;
szyfrowanie tokenów OAuth w bazie danych, brak logowania tokenów;
kopie zapasowe codzienne z retencją dzienna/tygodniowa/miesięczna, przechowywane w EOG;
kontrole dostępu oparte na rolach (RBAC), audyt logowań i operacji administracyjnych;
monitoring incydentów bezpieczeństwa i ścieżka eskalacji, szczegóły w Regulaminie świadczenia usług Jettz.

13. Dzieci i osoby małoletnie

System Jettz nie jest skierowany do osób poniżej 16. roku życia. Jettz nie przetwarza świadomie danych osobowych dzieci. Jeżeli Jettz uzyska wiarygodną informację, że konto zostało założone przez osobę poniżej 16. roku życia bez zgody opiekuna prawnego, konto zostanie niezwłocznie zablokowane, a dane usunięte zgodnie z procedurą określoną w sekcji 8.

14. Cookies

Pełne informacje o wykorzystywanych plikach cookies, podobnych technologiach (local storage, session storage, piksele) oraz o sposobie zarządzania zgodami cookies znajdują się w Polityce cookies Jettz, dostępnej na stronie jettz.app oraz w panelu Systemu.

15. Zmiany Polityki

Jettz może zmienić niniejszą Politykę prywatności w przypadku zmian prawnych, zmian organizacyjnych lub wprowadzenia nowych funkcji Systemu wpływających na zakres przetwarzania danych. O każdej istotnej zmianie Użytkownik zostanie poinformowany:

e-mailem na adres przypisany do konta (o ile został podany),
bannerem w panelu Systemu po zalogowaniu,
nie później niż 7 dni przed wejściem zmiany w życie.

Wszystkie historyczne wersje Polityki prywatności są dostępne na żądanie pod adresem hello@jettz.app.

16. Kontakt

W sprawach dotyczących niniejszej Polityki prywatności, realizacji praw RODO oraz wszelkich zapytań związanych z przetwarzaniem danych przez Jettz prosimy o kontakt:

adres e-mail: hello@jettz.app
adres do korespondencji: Jettz Sp. z o.o., ul. Niekłańska 35/1, 03-924 Warszawa
strona: jettz.app

W przypadku, gdyby odpowiedź Jettz okazała się dla Użytkownika niesatysfakcjonująca, przysługuje mu prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl).

Polityka prywatności Jettz w wersji 1.1 została opublikowana 11 maja 2026 r. i obowiązuje od dnia jej publikacji.

wersja: 1.1
data wejścia w życie: 11.05.2026
adres strony i systemu: jettz.app
kontakt: hello@jettz.app

Polityka prywatności Jettz

1. Administrator danych osobowych

2. Role Jettz w przetwarzaniu danych

Jettz pełni różne role w zależności od kontekstu przetwarzania:

Administrator - wobec danych odwiedzających stronę jettz.app, użytkowników zakładających konto, osób kontaktujących się przez formularz i live chat na jettz.app, oraz administratorów organizacji rejestrujących Konto Organizacji.
Podmiot przetwarzający (Procesor) - wobec danych osobowych przetwarzanych w systemie Jettz przez Klientów (np. dane pracowników w module HR, dane gości obsługiwanych przez Klienta w module Live Chat, dane kontaktowe w skrzynkach Jettz mail). Szczegóły powierzenia regulowane są przez Umowę powierzenia przetwarzania danych (DPA) zawieraną z Klientem.
Współadministrator - wyłącznie w wyjątkowych, opisanych odrębną umową przypadkach.

3. Definicje

W niniejszej Polityce:

Strona oznacza serwis internetowy jettz.app;
System oznacza aplikację Jettz dostępną pod adresem jettz.app oraz powiązane domeny (np. {subdomena}.jettz.app, api.jettz.app);
Klient oznacza podmiot, który zawarł umowę o korzystanie z Systemu (typowo: przedsiębiorca rejestrujący Konto Organizacji);
Użytkownik oznacza osobę fizyczną korzystającą ze Strony lub Systemu (m.in. pracownik Klienta, administrator Konta Organizacji, gość Live Chat);
Dane osobowe oznacza informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej w rozumieniu art. 4 pkt 1 RODO;
Podprocesor oznacza dalszego podmiotu przetwarzającego, z którego Jettz korzysta przy świadczeniu Usługi (pełna lista w Liście podprocesorów).

4. Zakres przetwarzanych danych

Zakres danych przetwarzanych przez Jettz zależy od czynności Użytkownika oraz wybranych modułów Systemu.

4.1. Dane odwiedzających Stronę

W związku z odwiedzeniem Strony jettz.app Jettz może przetwarzać:

adres IP, identyfikator urządzenia, dane przeglądarki (user-agent, język, rozdzielczość ekranu);
dane techniczne logów (URL, znaczniki czasu, kod odpowiedzi serwera, źródło ruchu);
dane z cookies i podobnych technologii (szczegóły w Polityce cookies Jettz).

4.2. Dane konta Użytkownika

W związku z rejestracją konta i korzystaniem z Systemu Jettz może przetwarzać:

adres e-mail (login);
imię, nazwisko;
numer telefonu (opcjonalnie);
zdjęcie profilowe lub avatar (opcjonalnie);
preferencje interfejsu (motyw, język, układ paneli);
dane techniczne logowania (adres IP, identyfikator urządzenia, znaczniki czasu, historia sesji).

4.3. Dane administratora i kontaktowe Klienta

W związku z zawarciem umowy o korzystanie z Systemu Jettz może przetwarzać dodatkowo:

firmę, NIP, REGON, KRS lub identyfikator zagraniczny Klienta;
adres siedziby i adres do korespondencji Klienta;
dane kontaktowe osób uprawnionych do reprezentacji Klienta (imię, nazwisko, stanowisko, e-mail, telefon);
dane do faktur i rozliczeń (numer rachunku bankowego, dane do płatności w Stripe).

4.4. Dane przetwarzane w roli procesora (na zlecenie Klienta)

W ramach Systemu Klient powierza Jettz przetwarzanie danych osobowych m.in.:

pracowników i współpracowników Klienta (moduł HR i kadry);
gości odwiedzających strony Klienta i kontaktujących się przez Live Chat zainstalowany przez Klienta;
nadawców i odbiorców wiadomości w skrzynkach Jettz mail podłączonych przez Klienta;
dostawców, klientów Klienta, kontrahentów Klienta (moduł CRM-light, zadania, notatki). Cele, zakres i czas tego przetwarzania określa Umowa powierzenia przetwarzania danych (DPA) zawierana z Klientem. Jettz przetwarza te dane wyłącznie na udokumentowane polecenie Klienta.

4.5. Dane szczególnych kategorii (art. 9 RODO)

5. Cele i podstawy prawne przetwarzania

Jettz przetwarza dane osobowe w następujących celach:

5.1. Świadczenie usług i wykonanie umowy

Cel: rejestracja i obsługa konta, dostarczanie funkcjonalności Systemu, obsługa płatności, wystawianie faktur, kontakt techniczny.
Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy lub działania na żądanie przed zawarciem umowy).

5.2. Obowiązki prawne

Cel: wystawianie i archiwizacja faktur, prowadzenie ksiąg podatkowych, realizacja żądań organów państwowych, obowiązki wynikające z RODO.
Podstawa prawna: art. 6 ust. 1 lit. c RODO (obowiązek prawny ciążący na Administratorze).

5.3. Bezpieczeństwo i przeciwdziałanie nadużyciom

Cel: ochrona Systemu przed atakami, wykrywanie spamu i botów, rate-limit, logi audytowe, antyspam w Live Chat, weryfikacja autentyczności logowania.
Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora - utrzymanie ciągłości i bezpieczeństwa Usługi).

5.4. Marketing własnych usług

Cel: newsletter, informacje o nowych funkcjach, badanie satysfakcji.
Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda Użytkownika) lub art. 6 ust. 1 lit. f RODO w zakresie marketingu bezpośredniego własnych usług.

5.5. Powiadomienia transakcyjne

Cel: e-maile systemowe (potwierdzenie rejestracji, reset hasła, faktura, alerty bezpieczeństwa), powiadomienia push, powiadomienia w Systemie.
Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy).

5.6. Integracje na żądanie Użytkownika

Cel: połączenie z Google Workspace (Jettz Mail), Google Calendar, Stripe, innymi dostawcami, jeżeli Użytkownik je włączy.
Podstawa prawna: art. 6 ust. 1 lit. a RODO (wyraźna zgoda Użytkownika udzielona w toku OAuth) i lit. b (wykonanie umowy w zakresie funkcjonalności integracji).

5.7. Dochodzenie i obrona przed roszczeniami

Cel: ustalenie, dochodzenie i obrona roszczeń wynikających z umowy lub przepisów.
Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes).

6. Odbiorcy danych

Dane Użytkownika mogą być udostępniane następującym kategoriom odbiorców:

pracownikom i współpracownikom Jettz, którzy świadczą usługi na podstawie umowy o pracę, B2B lub umowy o zachowaniu poufności, wyłącznie w zakresie niezbędnym do wykonania obowiązków;
podprocesorom (dostawcom infrastruktury, narzędzi i usług wspierających), wymienionym w Liście podprocesorów;
bankom, operatorom płatności (m.in. Stripe) - w zakresie niezbędnym do realizacji płatności;
kancelariom prawnym, audytorom, biurom rachunkowym - w zakresie niezbędnym do realizacji obowiązków prawnych i obrony roszczeń;
organom państwowym (sądy, prokuratura, organy podatkowe, organy ścigania) - wyłącznie na podstawie obowiązku prawnego.

Jettz nie sprzedaje danych Użytkowników podmiotom trzecim w celach marketingowych. Jettz nie udostępnia danych w celu profilowania reklamowego.

7. Międzynarodowe transfery danych

EU–US Data Privacy Framework (DPF) - dla certyfikowanych dostawców, m.in. Google LLC, Cloudflare Inc., Stripe Inc.;
Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską - dla pozostałych podmiotów spoza EOG;
dodatkowe środki techniczne i organizacyjne (szyfrowanie w spoczynku i tranzycie, minimalizacja zakresu danych, audyt bezpieczeństwa) - w zakresie wskazanym w Liście podprocesorów.

Pełne informacje o lokalizacji przetwarzania i podstawie transferu każdego z dostawców znajdują się w Liście podprocesorów Jettz.

8. Okres przechowywania danych

Jettz przetwarza dane osobowe wyłącznie przez okres niezbędny do realizacji celu, dla którego zostały zebrane:

Dane konta Użytkownika - przez okres obowiązywania umowy oraz dodatkowo 30 dni po jej zakończeniu na potrzeby kopii zapasowych, po czym są nieodwracalnie usuwane;
Dane do faktur i rozliczeń - przez okres wymagany przez przepisy o rachunkowości i podatkach (zasadniczo 5 lat licząc od końca roku obrotowego);
Dane do dochodzenia roszczeń - do upływu terminu przedawnienia roszczeń wynikających z umowy (zasadniczo 3 lub 6 lat zgodnie z Kodeksem cywilnym);
Dane gości Live Chat - przez okres trwania sesji oraz 90 dni po jej zamknięciu w celu obsługi reklamacji i analizy jakości obsługi, chyba że dłuższy okres wynika z innej podstawy prawnej;
Dane wiadomości w Jettz mail (cache treści Google) - od 7 do 30 dni od ostatniego dostępu, konfigurowalne per Klient; usuwane natychmiast po odłączeniu konta Google przez Użytkownika;
Logi techniczne (IP, user-agent, znaczniki czasu) - przez 12 miesięcy;
Cookies analityczne i marketingowe - zgodnie z okresami w Polityce cookies Jettz.

Po upływie wskazanych okresów dane są usuwane lub anonimizowane, chyba że dłuższy okres ich przechowywania wynika z przepisów prawa.

9. Prawa Użytkownika

Każdej osobie, której dane są przetwarzane przez Jettz, przysługują następujące prawa wynikające z RODO:

prawo dostępu do danych (art. 15 RODO) - w tym uzyskania kopii danych;
prawo do sprostowania danych nieprawidłowych lub niekompletnych (art. 16 RODO);
prawo do usunięcia danych - „prawo do bycia zapomnianym" (art. 17 RODO);
prawo do ograniczenia przetwarzania (art. 18 RODO);
prawo do przenoszenia danych dostarczonych przez Użytkownika w ustrukturyzowanym, powszechnie używanym formacie (art. 20 RODO);
prawo do sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie Administratora (art. 21 RODO);
prawo do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed cofnięciem (art. 7 ust. 3 RODO);
prawo do wniesienia skargi do organu nadzorczego - Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl.

Część uprawnień można zrealizować samodzielnie z poziomu Systemu (np. edycja profilu, eksport danych, odłączenie integracji Google, usunięcie konta).

10. Profilowanie i decyzje automatyczne

11. Google Workspace API i Gmail - Limited Use Disclosure

11.1. Zakres dostępu

Po wyrażeniu zgody Jettz uzyskuje dostęp do następujących zakresów Google API:

https://www.googleapis.com/auth/userinfo.email - adres e-mail konta Google;
https://www.googleapis.com/auth/userinfo.profile - podstawowy profil (imię, nazwisko, zdjęcie);
https://www.googleapis.com/auth/gmail.labels - odczyt i tworzenie etykiet Gmail;
https://www.googleapis.com/auth/gmail.readonly - odczyt treści wiadomości i załączników z połączonej skrzynki;
https://www.googleapis.com/auth/gmail.modify - oznaczanie wiadomości jako przeczytane/nieprzeczytane, dodawanie etykiet, archiwizacja, przenoszenie do kosza;
https://www.googleapis.com/auth/gmail.send - wysyłanie wiadomości w imieniu Użytkownika z poziomu Jettz mail;
https://www.googleapis.com/auth/gmail.settings.sharing - konfiguracja delegacji wspólnej skrzynki zespołu (zarządzanie tym, kto z zespołu może obsługiwać daną skrzynkę).

Dostęp jest niezbędny do realizacji funkcjonalności Jettz mail (wspólny inbox zespołu, synchronizacja statusu przeczytania między członkami zespołu, odpowiedzi na wiadomości klientów).

11.2. Limited Use of Google User Data

Verbatim Limited Use disclosure (English, exact form per Google API Services User Data Policy for restricted scopes including gmail.readonly, gmail.modify and gmail.settings.sharing):

Jettz's use and transfer to any other app of information received from Google APIs will adhere to Google API Services User Data Policy, including the Limited Use requirements.

Source / dokument źródłowy: Google API Services User Data Policy (developers.google.com/terms/api-services-user-data-policy).

Tłumaczenie informacyjne (polski, dla zrozumienia przez polskich Użytkowników):

Wykorzystanie i przekazywanie przez Jettz do jakiejkolwiek innej aplikacji informacji otrzymanych z Google APIs odbywa się zgodnie z Google API Services User Data Policy, w tym wymogami Limited Use (ograniczonego użytku) dla zakresów typu restricted scope (gmail.readonly, gmail.modify, gmail.settings.sharing).

W praktyce oznacza to, że dane uzyskane z Google API (treści wiadomości, etykiety, metadane):

nie są wykorzystywane do wyświetlania ani targetowania reklam;
nie są sprzedawane podmiotom trzecim;
nie są wykorzystywane do trenowania ogólnych modeli sztucznej inteligencji ani uczenia maszynowego;
nie są udostępniane innym aplikacjom poza tymi, które są niezbędne do dostarczenia funkcjonalności wybranej przez Użytkownika (np. dostawca infrastruktury hostingowej, dostawca usługi wysyłki e-maili);
są dostępne dla pracowników Jettz wyłącznie w zakresie niezbędnym do (a) zapewnienia bezpieczeństwa i wykrywania nadużyć, (b) realizacji wyraźnego żądania Użytkownika (np. wsparcie techniczne), (c) realizacji obowiązków prawnych.

11.3. Data Retention / Przechowywanie danych z Google API

Data retention policy dotycząca informacji otrzymanych z Google APIs:

Treści wiadomości (message body) i metadane są buforowane w infrastrukturze Jettz wyłącznie w zakresie i przez czas niezbędny do działania Systemu (typowo od 7 do 30 dni, konfigurowalne per Klient w panelu administracyjnym).
Tokeny OAuth są przechowywane w stanie zaszyfrowanym (AES-256-GCM) do momentu wyraźnego revocation przez Użytkownika lub administratora.
Logi technologiczne (request logs, error logs) zawierające message_id lub thread_id są przechowywane przez maksymalnie 90 dni dla celów bezpieczeństwa i debugowania.

11.4. Data Deletion / Right to Delete

token OAuth jest natychmiast odwoływany u Google poprzez https://oauth2.googleapis.com/revoke;
wszystkie zbuforowane dane (wiadomości, metadane, etykiety, tokeny) są usuwane w terminie 24 godzin z głównej bazy + replik;
backupy zawierające dane są rotowane out w ciągu 30 dni (standardowy backup retention cycle).

11a. Google Calendar API i logowanie Google - Limited Use Disclosure

11a.1. Zakres dostępu (logowanie + kalendarz)

Po wyrażeniu zgody jettz uzyskuje dostęp do następujących zakresów Google API:

openid - identyfikator logowania OpenID Connect (uwierzytelnienie sesji);
https://www.googleapis.com/auth/userinfo.email - adres e-mail konta Google (identyfikacja Użytkownika i powiązanie z kontem firmowym);
https://www.googleapis.com/auth/userinfo.profile - podstawowy profil (imię, nazwisko, zdjęcie);
https://www.googleapis.com/auth/calendar.readonly - odczyt kalendarzy i wydarzeń Użytkownika w celu wyświetlenia ich w jettz obok terminów zadań;
https://www.googleapis.com/auth/calendar.events - tworzenie, aktualizacja i usuwanie wydarzeń w Google Calendar wyłącznie jako odzwierciedlenie akcji Użytkownika w jettz (synchronizacja dwukierunkowa).

11a.2. Limited Use of Google User Data (Calendar)

Verbatim Limited Use disclosure (English, exact form per Google API Services User Data Policy):

jettz's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

W praktyce dane kalendarza oraz profilu uzyskane z Google API:

nie są wykorzystywane do wyświetlania ani targetowania reklam;
nie są sprzedawane ani przekazywane podmiotom trzecim, poza niezbędnymi do dostarczenia funkcji wybranej przez Użytkownika (np. dostawca infrastruktury hostingowej w EOG);
nie są wykorzystywane do trenowania modeli sztucznej inteligencji ani uczenia maszynowego;
są dostępne dla pracowników jettz wyłącznie w zakresie niezbędnym do (a) zapewnienia bezpieczeństwa i wykrywania nadużyć, (b) realizacji wyraźnego żądania Użytkownika (np. wsparcie techniczne), (c) realizacji obowiązków prawnych.

11a.3. Data Retention / Przechowywanie danych kalendarza

Wydarzenia pobrane z Google Calendar są buforowane wyłącznie w zakresie i czasie niezbędnym do wyświetlania ich w jettz, odświeżane przy synchronizacji i usuwane po odłączeniu konta Google.
Tokeny OAuth są przechowywane w stanie zaszyfrowanym (AES-256-GCM) do momentu odłączenia/odwołania przez Użytkownika.

11a.4. Data Deletion / Right to Delete (Calendar)

token OAuth jest natychmiast odwoływany u Google poprzez https://oauth2.googleapis.com/revoke;
wszystkie zbuforowane dane kalendarza są usuwane w terminie 24 godzin z głównej bazy i replik;
backupy zawierające dane są rotowane out w ciągu 30 dni.

12. Bezpieczeństwo danych

Jettz stosuje środki techniczne i organizacyjne adekwatne do zidentyfikowanego ryzyka, w szczególności:

szyfrowanie w spoczynku danych szczególnie wrażliwych (PESEL, NIP, IBAN, dane dokumentów tożsamości) - AES-256-GCM;
szyfrowanie w tranzycie całego ruchu - protokół HTTPS/TLS 1.3;
bezpieczne przechowywanie haseł - bcrypt z indywidualną solą;
szyfrowanie tokenów OAuth w bazie danych, brak logowania tokenów;
kopie zapasowe codzienne z retencją dzienna/tygodniowa/miesięczna, przechowywane w EOG;
kontrole dostępu oparte na rolach (RBAC), audyt logowań i operacji administracyjnych;
monitoring incydentów bezpieczeństwa i ścieżka eskalacji, szczegóły w Regulaminie świadczenia usług Jettz.

13. Dzieci i osoby małoletnie

14. Cookies

15. Zmiany Polityki

e-mailem na adres przypisany do konta (o ile został podany),
bannerem w panelu Systemu po zalogowaniu,
nie później niż 7 dni przed wejściem zmiany w życie.

Wszystkie historyczne wersje Polityki prywatności są dostępne na żądanie pod adresem hello@jettz.app.

16. Kontakt

W sprawach dotyczących niniejszej Polityki prywatności, realizacji praw RODO oraz wszelkich zapytań związanych z przetwarzaniem danych przez Jettz prosimy o kontakt:

adres e-mail: hello@jettz.app
adres do korespondencji: Jettz Sp. z o.o., ul. Niekłańska 35/1, 03-924 Warszawa
strona: jettz.app

Polityka prywatności Jettz w wersji 1.1 została opublikowana 11 maja 2026 r. i obowiązuje od dnia jej publikacji.

Polityka prywatności Jettz

1. Administrator danych osobowych

2. Role Jettz w przetwarzaniu danych

3. Definicje

4. Zakres przetwarzanych danych

4.1. Dane odwiedzających Stronę

4.2. Dane konta Użytkownika

4.3. Dane administratora i kontaktowe Klienta

4.4. Dane przetwarzane w roli procesora (na zlecenie Klienta)

4.5. Dane szczególnych kategorii (art. 9 RODO)

5. Cele i podstawy prawne przetwarzania

5.1. Świadczenie usług i wykonanie umowy

5.2. Obowiązki prawne

5.3. Bezpieczeństwo i przeciwdziałanie nadużyciom

5.4. Marketing własnych usług

5.5. Powiadomienia transakcyjne

5.6. Integracje na żądanie Użytkownika

5.7. Dochodzenie i obrona przed roszczeniami

6. Odbiorcy danych

7. Międzynarodowe transfery danych

8. Okres przechowywania danych

9. Prawa Użytkownika

10. Profilowanie i decyzje automatyczne

11. Google Workspace API i Gmail - Limited Use Disclosure

11.1. Zakres dostępu

11.2. Limited Use of Google User Data

11.3. Data Retention / Przechowywanie danych z Google API

11.4. Data Deletion / Right to Delete

11a. Google Calendar API i logowanie Google - Limited Use Disclosure

11a.1. Zakres dostępu (logowanie + kalendarz)

11a.2. Limited Use of Google User Data (Calendar)

11a.3. Data Retention / Przechowywanie danych kalendarza

11a.4. Data Deletion / Right to Delete (Calendar)

12. Bezpieczeństwo danych

13. Dzieci i osoby małoletnie

14. Cookies

15. Zmiany Polityki

16. Kontakt

Gotowy, aby zaczac korzystac z jettz?

Polityka prywatności Jettz

1. Administrator danych osobowych

2. Role Jettz w przetwarzaniu danych

3. Definicje

4. Zakres przetwarzanych danych

4.1. Dane odwiedzających Stronę

4.2. Dane konta Użytkownika

4.3. Dane administratora i kontaktowe Klienta

4.4. Dane przetwarzane w roli procesora (na zlecenie Klienta)

4.5. Dane szczególnych kategorii (art. 9 RODO)

5. Cele i podstawy prawne przetwarzania

5.1. Świadczenie usług i wykonanie umowy

5.2. Obowiązki prawne

5.3. Bezpieczeństwo i przeciwdziałanie nadużyciom

5.4. Marketing własnych usług

5.5. Powiadomienia transakcyjne

5.6. Integracje na żądanie Użytkownika

5.7. Dochodzenie i obrona przed roszczeniami

6. Odbiorcy danych

7. Międzynarodowe transfery danych

8. Okres przechowywania danych

9. Prawa Użytkownika

10. Profilowanie i decyzje automatyczne

11. Google Workspace API i Gmail - Limited Use Disclosure

11.1. Zakres dostępu

11.2. Limited Use of Google User Data

11.3. Data Retention / Przechowywanie danych z Google API

11.4. Data Deletion / Right to Delete

11a. Google Calendar API i logowanie Google - Limited Use Disclosure

11a.1. Zakres dostępu (logowanie + kalendarz)

11a.2. Limited Use of Google User Data (Calendar)

11a.3. Data Retention / Przechowywanie danych kalendarza

11a.4. Data Deletion / Right to Delete (Calendar)

12. Bezpieczeństwo danych

13. Dzieci i osoby małoletnie

14. Cookies

15. Zmiany Polityki

16. Kontakt

Gotowy, aby zaczac korzystac z jettz?