Polityka prywatności

1. Administratorem danych osobowych jest Sanqto sp. z o.o. z siedzibą w [ADRES — UZUPEŁNIĆ], wpisana do rejestru przedsiębiorców KRS pod numerem [KRS — UZUPEŁNIĆ], NIP [NIP — UZUPEŁNIĆ] (dalej: „Administrator”).
2. Z Administratorem można skontaktować się:
   1. pocztą elektroniczną — kontakt@sanqto.com,
   2. w sprawach związanych z ochroną danych osobowych — privacy@sanqto.com,
   3. pocztą tradycyjną — pod adresem siedziby wskazanym w ust. 1.

Aplikacja Sanqto działa w pełni lokalnie u klienta. Oznacza to, że:

1. klient instaluje Aplikację na własnym sprzęcie (komputer, stacja robocza, serwer w siedzibie klienta);
2. dane osób fizycznych weryfikowanych w Aplikacji (imiona, nazwiska, NIP, daty urodzenia, beneficjenci rzeczywiści itp.) są przetwarzane wyłącznie lokalnie u klienta;
3. dane te nie są kopiowane, transferowane ani w żaden sposób udostępniane Sanqto — nie istnieje żadna „chmura Sanqto”, do której trafiałyby te dane;
4. komunikacja Aplikacji z serwerami Sanqto jest jednokierunkowa: serwer Sanqto → Aplikacja klienta. Pobierane są wyłącznie aktualizacje Aplikacji oraz Listy Referencyjne (publiczne wykazy sankcyjne), w postaci plików podpisanych cyfrowo.

W konsekwencji, w stosunku do danych klientów weryfikowanych w Aplikacji:

1. administratorem tych danych jest klient (przedsiębiorca instalujący Aplikację) — to on decyduje o celach i sposobach ich przetwarzania,
2. Sanqto nie jest podmiotem przetwarzającym w rozumieniu art. 28 RODO — nie ma do nich dostępu i nie świadczy usługi powierzenia,
3. nie jest wymagana umowa powierzenia przetwarzania danych pomiędzy klientem a Sanqto,
4. nie ma transferu danych do państw trzecich w rozumieniu art. 44 RODO.

Niniejsza Polityka prywatności dotyczy wyłącznie danych osobowych, które Sanqto faktycznie przetwarza — opisanych w pozostałych sekcjach.

Sanqto przetwarza dane osobowe w następujących celach:

1. Zawarcie i wykonanie Umowy z klientem (B2B).
   1. Kategorie danych: imię i nazwisko osoby kontaktowej, służbowy adres e-mail, służbowy telefon, stanowisko, dane firmy (nazwa, NIP, adres siedziby).
   2. Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy) — w stosunku do osób fizycznych prowadzących działalność gospodarczą lub Konsumentów; art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — kontakt z osobami reprezentującymi klienta będącego osobą prawną).
   3. Okres przechowywania: czas trwania Umowy oraz okres przedawnienia roszczeń (3 lata dla roszczeń związanych z działalnością gospodarczą; 6 lat dla pozostałych — art. 118 KC).
2. Wystawianie i archiwizacja faktur.
   1. Kategorie danych: dane firmy, NIP, adres rejestrowy, kwoty.
   2. Podstawa prawna: art. 6 ust. 1 lit. c RODO (obowiązek prawny — przepisy podatkowe, w szczególności ustawa o rachunkowości i ustawa o VAT).
   3. Okres przechowywania: 5 lat licząc od końca roku obrotowego, w którym wystawiono fakturę (art. 70 § 1 Ordynacji podatkowej).
3. Obsługa zapytań przez formularz kontaktowy oraz korespondencji e-mail.
   1. Kategorie danych: imię i nazwisko, adres e-mail, NIP firmy, branża, treść zapytania.
   2. Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — udzielenie odpowiedzi na zapytanie).
   3. Okres przechowywania: 12 miesięcy od ostatniego kontaktu, chyba że zapytanie doprowadzi do zawarcia Umowy.
4. Marketing bezpośredni własnych usług (newsletter, informacje o nowych funkcjach Aplikacji).
   1. Kategorie danych: adres e-mail, imię.
   2. Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes) oraz, w zakresie wymaganym, art. 10 ustawy o świadczeniu usług drogą elektroniczną i art. 172 Prawa telekomunikacyjnego — zgoda osoby, której dane dotyczą.
   3. Okres przechowywania: do momentu wycofania zgody lub zgłoszenia sprzeciwu.
5. Rozpatrywanie reklamacji oraz dochodzenie i obrona roszczeń.
   1. Podstawa prawna: art. 6 ust. 1 lit. b oraz lit. f RODO.
   2. Okres przechowywania: do upływu okresu przedawnienia roszczeń.
6. Analityka strony internetowej oraz monitoring działania Aplikacji u klienta (telemetria techniczna — wyłącznie w zakresie wskazanym w § 4 oraz w Polityce cookies).
   1. Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — utrzymanie i poprawa jakości produktu) oraz, w zakresie cookies, zgoda użytkownika.
   2. Okres przechowywania: zgodnie z konfiguracją cookies (patrz Polityka cookies).

Aplikacja Sanqto przesyła do serwerów Sanqto wyłącznie nieosobowe dane techniczne niezbędne do utrzymania licencji i jakości produktu:

1. identyfikator licencji (UUID, niezawierający danych osobowych),
2. wersja Aplikacji oraz system operacyjny (np. „Windows 11”, „macOS 14”),
3. stan aktualizacji Listów Referencyjnych (data ostatniej synchronizacji),
4. zagregowane statystyki użycia (liczba weryfikacji w cyklu dziennym/tygodniowym — bez treści weryfikowanych danych).

Telemetria nie obejmuje danych osób fizycznych weryfikowanych w Aplikacji — żadne imię, nazwisko, NIP klienta, treść raportu ani identyfikator weryfikowanego podmiotu nie opuszczają sieci klienta.

Telemetrię można wyłączyć w ustawieniach Aplikacji w wariancie Enterprise.

Dane osobowe mogą być udostępniane następującym kategoriom odbiorców:

1. operatorom poczty elektronicznej oraz dostawcom infrastruktury IT obsługującym serwery Sanqto (hosting w UE/EOG; dostawcy zostaną wymienieni szczegółowo w Rejestrze Czynności Przetwarzania prowadzonym przez Administratora),
2. operatorom systemów płatności (jeśli klient płaci on-line),
3. biuru rachunkowemu obsługującemu Sanqto,
4. kancelariom prawnym oraz doradcom Sanqto — w zakresie dochodzenia lub obrony roszczeń,
5. uprawnionym organom państwowym — wyłącznie w przypadkach przewidzianych prawem.

Sanqto nie sprzedaje danych osobowych podmiotom trzecim ani nie udostępnia ich w celach marketingowych podmiotom trzecim.

1. Dane osobowe przetwarzane przez Sanqto są przechowywane na serwerach zlokalizowanych na terenie Europejskiego Obszaru Gospodarczego (EOG).
2. W zakresie, w jakim Sanqto korzysta z dostawców usług IT mogących mieć siedzibę poza EOG (np. dostawca CDN), zapewniamy odpowiednie zabezpieczenia w postaci standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO) lub mechanizmów Data Privacy Framework.
3. W odniesieniu do danych klientów weryfikowanych w Aplikacji — z uwagi na model on-premise — art. 44 RODO nie znajduje zastosowania, ponieważ dane te nie opuszczają sieci klienta.

Każdej osobie, której dane przetwarza Sanqto, przysługują następujące prawa:

1. prawo dostępu do danych (art. 15 RODO),
2. prawo do sprostowania danych (art. 16 RODO),
3. prawo do usunięcia danych — „prawo do bycia zapomnianym” (art. 17 RODO),
4. prawo do ograniczenia przetwarzania (art. 18 RODO),
5. prawo do przenoszenia danych (art. 20 RODO),
6. prawo do sprzeciwu wobec przetwarzania na podstawie prawnie uzasadnionego interesu (art. 21 RODO),
7. prawo do cofnięcia zgody w każdym momencie (art. 7 ust. 3 RODO) — w odniesieniu do przetwarzania opartego na zgodzie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed cofnięciem zgody,
8. prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

W celu skorzystania z powyższych praw należy wysłać wiadomość na adres privacy@sanqto.com. Sanqto udziela odpowiedzi w terminie 1 miesiąca od otrzymania żądania (z możliwością przedłużenia o kolejne 2 miesiące w przypadku skomplikowanych wniosków — art. 12 ust. 3 RODO).

1. Sanqto stosuje techniczne i organizacyjne środki bezpieczeństwa odpowiednie do ryzyka, w szczególności:
   1. szyfrowanie transmisji (TLS 1.3) oraz szyfrowanie danych w spoczynku,
   2. cyfrowy podpis pakietów aktualizacyjnych Aplikacji oraz Listów Referencyjnych,
   3. kontrolę dostępu opartą na zasadzie najmniejszych uprawnień,
   4. regularne kopie zapasowe oraz testy odtwarzania,
   5. szkolenia zespołu z zakresu ochrony danych osobowych oraz cyberbezpieczeństwa,
   6. okresowe audyty bezpieczeństwa.
2. Sanqto prowadzi rejestr incydentów bezpieczeństwa zgodnie z wewnętrzną procedurą reagowania. W przypadku naruszenia ochrony danych osobowych wiążącego się z wysokim ryzykiem dla osób, których dane dotyczą, Sanqto powiadamia organ nadzorczy w terminie 72 godzin (art. 33 RODO) oraz osoby, których dane dotyczą (art. 34 RODO).

1. Sanqto nie podejmuje decyzji wywołujących wobec osób, których dane dotyczą, skutków prawnych ani podobnie istotnych skutków, które byłyby oparte wyłącznie na zautomatyzowanym przetwarzaniu (art. 22 RODO).
2. W szczególności wynik weryfikacji w Aplikacji (np. „trafienie” lub „brak trafień”) jest narzędziem wspierającym decyzję klienta — ostateczna ocena, czy dany podmiot znajduje się na liście sankcyjnej i czy należy odmówić świadczenia usługi, należy zawsze do klienta i jest podejmowana z udziałem człowieka.

Strona internetowa sanqto.com wykorzystuje pliki cookies. Szczegóły opisuje odrębna Polityka cookies.

1. Sanqto może zmienić Politykę prywatności w przypadku zmian w przepisach prawa, zmian w sposobie przetwarzania danych albo wprowadzenia nowych funkcjonalności w Aplikacji lub na stronie internetowej.
2. O istotnych zmianach Polityki Sanqto informuje pocztą elektroniczną na adres osoby kontaktowej u klienta oraz przez wyróżnioną notę na stronie internetowej, z wyprzedzeniem co najmniej 14 dni przed wejściem zmian w życie.
3. Aktualna wersja Polityki prywatności obowiązuje od dnia 3 maja 2026 r.