MailVerraStrona główna

Polityka prywatności

Ostatnia aktualizacja: 16 kwietnia 2026

Twoja prywatność jest dla nas priorytetem. Niniejsza Polityka Prywatności, sporządzona zgodnie z art. 13 i 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO), wyjaśnia, jakie dane zbieramy, w jakim celu, na jakiej podstawie prawnej i jakie prawa przysługują Ci jako osobie, której dane dotyczą.

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest Samael sp. z o.o. (spółka z ograniczoną odpowiedzialnością z siedzibą w Polsce), właściciel i administrator platformy MailVerra dostępnej pod adresem mailverra.com.

Kontakt z Administratorem:
E-mail: privacy@mailverra.com
W sprawach ochrony danych osobowych (IOD): dpo@mailverra.com

2. Rola Administratora a rola Podmiotu przetwarzającego

Samael sp. z o.o. pełni podwójną rolę w zależności od kontekstu przetwarzania danych:

  • Administrator danych (art. 4 pkt 7 RODO) — w odniesieniu do danych rejestracyjnych, rozliczeniowych, logów technicznych oraz danych kontaktowych użytkowników. Samael samodzielnie określa cele i sposoby przetwarzania tych danych.
  • Podmiot przetwarzający (art. 4 pkt 8 RODO) — w odniesieniu do treści wiadomości e-mail synchronizowanych w trybach MIRROR i MIGRATE. W tym zakresie Administratorem danych jest Użytkownik, a Samael działa wyłącznie na jego udokumentowane polecenie, zgodnie z zawartą Umową Powierzenia Przetwarzania Danych (DPA).

3. Jakie dane przetwarzamy

3.1 Dane rejestracyjne i konta

  • Imię i nazwisko (lub pseudonim)
  • Adres e-mail
  • Hasło (przechowywane wyłącznie w postaci skrótu bcrypt — nigdy w postaci jawnej)
  • Data i godzina rejestracji
  • Status weryfikacji adresu e-mail

3.2 Dane skrzynek pocztowych

  • Adres e-mail skrzynki (IMAP/SMTP)
  • Dane uwierzytelniające IMAP/SMTP (szyfrowane AES-256-GCM z losowym IV — nigdy nie są dostępne w postaci jawnej dla pracowników Samael sp. z o.o.)
  • Adresy hostów, porty, konfiguracja połączenia

3.3 Zawartość wiadomości e-mail (w trybach MIRROR / MIGRATE)

W trybach MIRROR i MIGRATE wiadomości e-mail są kopiowane na nasze serwery. Działamy wtedy jako Podmiot przetwarzający na polecenie Użytkownika (art. 28 RODO) — nie analizujemy treści wiadomości, nie wykorzystujemy ich do celów reklamowych, profilowania ani nie udostępniamy osobom trzecim.

W trybie PROXY wiadomości nie są przechowywane na naszych serwerach — odczytywane są na żywo z serwera IMAP Użytkownika.

3.4 Dane techniczne i logi

  • Adres IP (anonimizowany po 30 dniach)
  • User-Agent przeglądarki
  • Logi dostępu i błędów (retencja: 90 dni)
  • Dane o sesjach (tokeny JWT — ważne 30 dni)

3.5 Dane rozliczeniowe

Dane karty płatniczej nie są przechowywane przez Samael sp. z o.o. — obsługuje je wyłącznie operator Stripe, Inc. (certyfikowany PCI DSS Level 1). Przechowujemy wyłącznie identyfikator klienta Stripe oraz historię faktur.

4. Podstawy prawne przetwarzania (art. 6 RODO)

Cel przetwarzaniaPodstawa prawna (RODO)
Świadczenie usługi (obsługa konta, synchronizacja, migracja)Art. 6 ust. 1 lit. b — niezbędność do wykonania umowy
Rozliczenia, faktury, obowiązki podatkoweArt. 6 ust. 1 lit. c — wypełnienie obowiązku prawnego
Bezpieczeństwo, wykrywanie nadużyć, zapobieganie oszustwomArt. 6 ust. 1 lit. f — prawnie uzasadniony interes Administratora
Marketing bezpośredni (newsletter) — wyłącznie za zgodąArt. 6 ust. 1 lit. a — dobrowolna zgoda
Logi systemowe, diagnostyka, poprawa jakościArt. 6 ust. 1 lit. f — prawnie uzasadniony interes Administratora
Ustalenie, dochodzenie lub obrona roszczeńArt. 6 ust. 1 lit. f — prawnie uzasadniony interes Administratora

5. Okres przechowywania danych (art. 5 ust. 1 lit. e RODO)

Kategoria danychOkres retencjiPodstawa okresu
Dane konta (aktywne)Do usunięcia konta przez Użytkownika + 30 dni na usunięcie kopii zapasowychArt. 6 ust. 1 lit. b RODO
Dane konta (po usunięciu)30 dni, następnie trwałe i nieodwracalne usunięcieArt. 17 RODO
Wiadomości e-mail (MIRROR/MIGRATE)Do usunięcia konta lub skrzynki + 30 dniArt. 28 RODO (polecenie Administratora)
Faktury i dane rozliczeniowe5 lat od końca roku podatkowego (wymóg art. 74 ustawy o rachunkowości)Art. 6 ust. 1 lit. c RODO
Logi dostępu i błędów90 dniArt. 6 ust. 1 lit. f RODO
Dane uwierzytelniające IMAP (zaszyfrowane)Do usunięcia skrzynki przez UżytkownikaArt. 6 ust. 1 lit. b RODO
Dane do celów ustalenia/obrony roszczeńDo upływu terminu przedawnienia roszczeń (3 lata, maks. 6 lat)Art. 6 ust. 1 lit. f RODO

6. Odbiorcy danych (art. 13 ust. 1 lit. e RODO)

Twoje dane mogą być przekazywane wyłącznie zaufanym podmiotom przetwarzającym, z którymi Samael sp. z o.o. zawarła stosowne umowy powierzenia przetwarzania danych (art. 28 RODO):

  • Stripe, Inc. — obsługa płatności (USA, z zastosowaniem standardowych klauzul umownych SCCs zgodnie z decyzją wykonawczą Komisji Europejskiej 2021/914)
  • OVH SAS — infrastruktura serwerowa (VPS), serwery zlokalizowane w Unii Europejskiej (Francja)
  • Dostawca usług e-mail transakcyjnych — wysyłka wiadomości systemowych (weryfikacja konta, reset hasła)

Samael sp. z o.o. nie sprzedaje danych osobowych. Nie przekazuje danych do celów reklamowych, profilowania ani targetowania behawioralnego.

7. Przekazywanie danych poza EOG (art. 44-49 RODO)

Część danych może być przetwarzana poza Europejskim Obszarem Gospodarczym (w szczególności dane płatnicze przetwarzane przez Stripe, Inc. w USA). W takich przypadkach:

  • stosujemy standardowe klauzule umowne (SCC) zatwierdzone decyzją wykonawczą Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 r.,
  • weryfikujemy, czy państwo trzecie zapewnia odpowiedni poziom ochrony danych (art. 45 RODO) lub czy wdrożono odpowiednie zabezpieczenia (art. 46 RODO),
  • przeprowadzamy ocenę transferu (Transfer Impact Assessment) zgodnie z wytycznymi EDPB.

W żadnym przypadku dane treści wiadomości e-mail (MIRROR/MIGRATE) nie są przekazywane poza EOG — serwery przechowujące te dane zlokalizowane są wyłącznie na terytorium Unii Europejskiej.

8. Twoje prawa (art. 15-22 RODO)

Jako osoba, której dane dotyczą, przysługują Ci następujące prawa:

  • Prawo dostępu (art. 15 RODO) — prawo do uzyskania potwierdzenia przetwarzania oraz kopii swoich danych.
  • Prawo do sprostowania (art. 16 RODO) — prawo do poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
  • Prawo do usunięcia (art. 17 RODO) — prawo do żądania usunięcia danych („prawo do bycia zapomnianym”). Realizacja: usunięcie konta w panelu (Ustawienia → Usuń konto) lub wniosek na privacy@mailverra.com. Dane zostaną trwale usunięte w ciągu 30 dni, z wyjątkiem danych, których przechowywanie jest wymagane przez przepisy prawa (np. faktury).
  • Prawo do ograniczenia przetwarzania (art. 18 RODO) — prawo do żądania ograniczenia przetwarzania w przypadkach określonych w RODO.
  • Prawo do przenoszenia danych (art. 20 RODO) — prawo do otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie (JSON, MBOX) oraz do przesłania ich innemu administratorowi.
  • Prawo do sprzeciwu (art. 21 RODO) — prawo do wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie Administratora.
  • Prawo do wycofania zgody (art. 7 ust. 3 RODO) — w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem zgody.
  • Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji (art. 22 RODO) — MailVerra nie stosuje zautomatyzowanego podejmowania decyzji ani profilowania mającego skutki prawne wobec Użytkownika.

Aby skorzystać z powyższych praw, skontaktuj się z nami: privacy@mailverra.com. Na Twoje żądanie odpowiemy bez zbędnej zwłoki, nie później niż w ciągu 30 dni od otrzymania żądania (art. 12 ust. 3 RODO). W uzasadnionych przypadkach termin może zostać przedłużony o kolejne 60 dni, o czym zostaniesz poinformowany.

Masz również prawo wniesienia skargi do organu nadzorczego — w Polsce jest to Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

9. Bezpieczeństwo danych (art. 32 RODO)

Samael sp. z o.o. stosuje następujące środki techniczne i organizacyjne adekwatne do ryzyka:

  • Szyfrowanie danych w transporcie (TLS 1.2/1.3) oraz nagłówek HSTS
  • Szyfrowanie haseł IMAP/SMTP algorytmem AES-256-GCM z losowym IV
  • Hashowanie haseł użytkowników algorytmem bcrypt (koszt 12)
  • Uwierzytelnianie dwuskładnikowe (TOTP 2FA)
  • Kontrola dostępu oparta na rolach (RBAC)
  • Regularne kopie zapasowe w postaci zaszyfrowanej
  • Monitorowanie logów i alertów bezpieczeństwa
  • Separacja komponentów infrastruktury (izolowane kontenery Docker)
  • Regularne przeglądy i aktualizacje zabezpieczeń

W przypadku naruszenia ochrony danych osobowych, które może powodować ryzyko naruszenia praw lub wolności osób fizycznych, powiadomimy organ nadzorczy (UODO) w ciągu 72 godzin (art. 33 RODO) oraz, w przypadku wysokiego ryzyka, poinformujemy osoby, których dane dotyczą, bez zbędnej zwłoki (art. 34 RODO).

10. Pliki cookies

Szczegółowe informacje o plikach cookies znajdują się w Polityce Cookies. Używamy wyłącznie niezbędnych plików cookies do działania sesji i zapewnienia bezpieczeństwa (CSRF). Nie używamy plików cookies śledzących, analitycznych ani reklamowych.

11. Zmiany Polityki Prywatności

O istotnych zmianach Polityki Prywatności poinformujemy Cię drogą e-mailową co najmniej 14 dni przed ich wejściem w życie. Aktualna wersja Polityki jest zawsze dostępna pod adresem mailverra.com/polityka-prywatnosci.

Data ostatniej aktualizacji: 16 kwietnia 2026 r.

Administrator danych: Samael sp. z o.o.

Inne dokumenty

RegulaminPolityka prywatnościRODO / GDPRBezpieczeństwoPolityka cookies