RODO / GDPR
Ostatnia aktualizacja: 16 kwietnia 2026
MailVerra, administrowany przez Samael sp. z o.o., jest w pełni zgodny z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO/GDPR). Poniżej znajdziesz szczegółowe informacje o przetwarzaniu danych osobowych, w tym postanowienia Umowy Powierzenia Przetwarzania Danych (DPA).
Podwójna rola MailVerra
W zależności od kontekstu Samael sp. z o.o. (jako operator MailVerra) pełni dwie odrębne role w rozumieniu RODO:
Administrator danych (art. 4 pkt 7 RODO)
Samael sp. z o.o. jest Administratorem danych osobowych w odniesieniu do:
- Danych konta użytkownika (imię, e-mail, hasło, plan, ustawienia)
- Danych rozliczeniowych (historia faktur, plan subskrypcji, identyfikator Stripe)
- Logów technicznych i bezpieczeństwa (adresy IP, User-Agent, logi dostępu)
- Danych kontaktów zapisanych w menedżerze kontaktów MailVerra
Cel: świadczenie usługi, zapewnienie bezpieczeństwa, wypełnienie obowiązków prawnych (rachunkowość, podatki).
Podmiot przetwarzający (art. 4 pkt 8 RODO)
Samael sp. z o.o. działa jako Podmiot przetwarzający (Processor) w odniesieniu do:
- Treści wiadomości e-mail synchronizowanych w trybach MIRROR i MIGRATE
- Danych nadawców i odbiorców korespondencji e-mail (nagłówki From, To, CC, BCC)
- Załączników i metadanych wiadomości (daty, identyfikatory Message-ID, nagłówki)
W tym przypadku Administratorem danych jest Użytkownik — to on decyduje, które skrzynki podłączyć, jakie dane przetwarzać i w jakim celu. Samael sp. z o.o. działa wyłącznie na udokumentowane polecenie Użytkownika i nie analizuje treści wiadomości.
Umowa Powierzenia Przetwarzania Danych (DPA)
Zgodnie z art. 28 RODO, przetwarzanie danych osobowych w imieniu Użytkownika odbywa się na podstawie Umowy Powierzenia Przetwarzania Danych Osobowych (Data Processing Agreement — DPA), która stanowi integralną część Regulaminu usługi. Akceptując Regulamin, Użytkownik zawiera z Samael sp. z o.o. umowę DPA.
Przedmiot i czas trwania przetwarzania
- Przedmiot: synchronizacja, kopiowanie i przechowywanie wiadomości e-mail oraz powiązanych metadanych na polecenie Użytkownika.
- Charakter przetwarzania: zautomatyzowane przetwarzanie danych w systemach informatycznych (przechowywanie, indeksowanie, przeszukiwanie, wyświetlanie).
- Czas trwania: od momentu podłączenia skrzynki pocztowej do momentu usunięcia skrzynki lub konta przez Użytkownika + 30 dni na trwałe usunięcie kopii zapasowych.
- Kategorie osób: nadawcy i odbiorcy wiadomości e-mail przetwarzanych przez Użytkownika za pośrednictwem MailVerra.
- Rodzaje danych: treść wiadomości e-mail, załączniki, adresy e-mail nadawców/odbiorców, daty, nagłówki wiadomości.
Obowiązki Samael sp. z o.o. jako Podmiotu przetwarzającego (art. 28 ust. 3 RODO)
- Przetwarzanie danych wyłącznie na udokumentowane polecenie Użytkownika (Administratora), chyba że obowiązek przetwarzania wynika z prawa Unii lub prawa państwa członkowskiego (art. 28 ust. 3 lit. a RODO).
- Zapewnienie, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi zachowania tajemnicy (art. 28 ust. 3 lit. b RODO).
- Wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku (art. 28 ust. 3 lit. c w zw. z art. 32 RODO).
- Korzystanie z usług dalszych podmiotów przetwarzających (subprocesorów) wyłącznie za uprzednią ogólną pisemną zgodą Użytkownika, z obowiązkiem poinformowania o zmianach (art. 28 ust. 2 RODO).
- Wsparcie Użytkownika w realizacji praw osób, których dane dotyczą (art. 28 ust. 3 lit. e RODO).
- Wsparcie Użytkownika w zapewnieniu zgodności z obowiązkami wynikającymi z art. 32-36 RODO (bezpieczeństwo, zgłaszanie naruszeń, DPIA).
- Po zakończeniu świadczenia usług — usunięcie lub zwrot danych osobowych oraz usunięcie istniejących kopii, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje dalsze przechowywanie (art. 28 ust. 3 lit. g RODO).
- Udostępnienie Użytkownikowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków oraz umożliwienie przeprowadzenia audytów (art. 28 ust. 3 lit. h RODO).
Podprocesory (Sub-processors) — art. 28 ust. 2 RODO
Samael sp. z o.o. korzysta z następujących zatwierdzonych podprocesorów. Użytkownik, akceptując Regulamin, wyraża ogólną zgodę na korzystanie z poniższych podmiotów:
| Podmiot | Rola | Lokalizacja danych | Podstawa transferu |
|---|---|---|---|
| OVH SAS | Infrastruktura serwerowa (VPS) — hosting aplikacji, baz danych, plików | Francja (UE) | Brak transferu poza EOG |
| PostgreSQL (self-hosted) | Baza danych — przechowywanie danych kont, metadanych wiadomości | Serwer OVH w UE (Francja) | Brak transferu poza EOG |
| Redis (self-hosted) | Kolejkowanie zadań (BullMQ), cache, sesje | Serwer OVH w UE (Francja) | Brak transferu poza EOG |
| Stripe, Inc. | Obsługa płatności (karty, subskrypcje, faktury) | USA (z przetwarzaniem w UE) | SCC (Standardowe Klauzule Umowne, decyzja 2021/914) |
Stripe nie ma dostępu do treści wiadomości e-mail, danych IMAP/SMTP ani metadanych korespondencji.
O zamiarze dodania nowego podprocesora lub zastąpienia istniejącego, Samael sp. z o.o. poinformuje Użytkowników drogą e-mailową z co najmniej 14-dniowym wyprzedzeniem, umożliwiając zgłoszenie sprzeciwu. W przypadku uzasadnionego sprzeciwu Użytkownik ma prawo wypowiedzieć umowę.
Prawa osób, których dane dotyczą (art. 15-22 RODO)
Na mocy RODO przysługują Ci następujące prawa, które możesz egzekwować bezpośrednio w panelu ustawień lub kontaktując się z nami:
| Prawo | Podstawa w RODO | Jak egzekwować | Czas realizacji |
|---|---|---|---|
| Dostęp do danych | Art. 15 | Panel → Ustawienia → Eksport danych lub e-mail do privacy@mailverra.com | 30 dni |
| Sprostowanie danych | Art. 16 | Panel → Ustawienia → Profil | Natychmiast |
| Usunięcie danych („prawo do bycia zapomnianym”) | Art. 17 | Panel → Ustawienia → Usuń konto lub e-mail do privacy@mailverra.com | 30 dni (trwałe usunięcie) |
| Ograniczenie przetwarzania | Art. 18 | E-mail: privacy@mailverra.com | 30 dni |
| Przenoszalność danych | Art. 20 | Panel → Ustawienia → Eksport danych (format JSON/MBOX/EML) | 30 dni |
| Sprzeciw wobec przetwarzania | Art. 21 | E-mail: privacy@mailverra.com | 30 dni |
| Wycofanie zgody | Art. 7 ust. 3 | Panel → Ustawienia → Zgody lub e-mail | Natychmiast |
Procedura usunięcia danych (prawo do bycia zapomnianym — art. 17 RODO)
Na żądanie Użytkownika Samael sp. z o.o. realizuje prawo do usunięcia danych w następujący sposób:
- Dzień 0: Użytkownik zgłasza żądanie usunięcia (przez panel lub e-mail). Konto zostaje natychmiast dezaktywowane (brak możliwości logowania).
- Do 7 dni: Usunięcie danych z aktywnych systemów produkcyjnych (baza danych, Redis, pliki).
- Do 30 dni: Usunięcie danych z kopii zapasowych. Po tym terminie dane są trwale i nieodwracalnie usunięte.
- Wyjątki: dane, których przechowywanie jest wymagane przez prawo (faktury — 5 lat zgodnie z ustawą o rachunkowości) oraz dane niezbędne do ustalenia, dochodzenia lub obrony roszczeń (do upływu terminu przedawnienia).
Na żądanie Użytkownika potwierdzamy usunięcie danych pisemnie (e-mail).
Ocena skutków dla ochrony danych (DPIA — art. 35 RODO)
Samael sp. z o.o. przeprowadziła Ocenę Skutków dla Ochrony Danych (Data Protection Impact Assessment — DPIA) zgodnie z art. 35 RODO dla operacji przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych.
Zakres DPIA
DPIA obejmuje w szczególności:
- Tryb MIRROR/MIGRATE — przechowywanie pełnej treści wiadomości e-mail na serwerach MailVerra, w tym danych osobowych nadawców i odbiorców korespondencji.
- Przechowywanie zaszyfrowanych danych uwierzytelniających IMAP/SMTP — dostęp do zewnętrznych skrzynek pocztowych.
Podsumowanie wyników DPIA
| Ryzyko | Ocena | Środki zaradcze |
|---|---|---|
| Nieautoryzowany dostęp do treści wiadomości | Średnie | Szyfrowanie AES-256-GCM, izolacja kontenerów, RBAC, 2FA, audyt logów |
| Wyciek danych uwierzytelniających IMAP | Średnie | Szyfrowanie AES-256-GCM z oddzielnym kluczem, brak dostępu jawnego dla pracowników |
| Utrata danych (awaria serwera) | Niskie | Regularne kopie zapasowe, redundancja, testy przywracania |
| Transfer danych poza EOG | Niskie | Serwery w UE, SCC dla Stripe, brak transferu treści e-mail poza EOG |
| Nadużycie uprawnień przez pracowników | Niskie | Zasada najmniejszego uprawnienia, logowanie wszystkich operacji, obowiązek poufności |
Wniosek DPIA: wdrożone środki techniczne i organizacyjne są adekwatne do zidentyfikowanego ryzyka. Ryzyko rezydualne zostało ocenione jako akceptowalne. DPIA jest poddawana przeglądom co najmniej raz w roku lub po istotnych zmianach w procesach przetwarzania.
Naruszenie ochrony danych (art. 33-34 RODO)
W przypadku stwierdzenia naruszenia ochrony danych osobowych Samael sp. z o.o. zobowiązuje się do:
- Zgłoszenie do UODO w ciągu 72 godzin (art. 33 ust. 1 RODO) — zgłoszenie naruszenia ochrony danych do Prezesa Urzędu Ochrony Danych Osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
- Powiadomienie Użytkowników (art. 34 ust. 1 RODO) — poinformowanie poszkodowanych Użytkowników bez zbędnej zwłoki, jeśli naruszenie może powodować wysokie ryzyko naruszenia ich praw lub wolności. Powiadomienie będzie zawierać: opis naruszenia, dane kontaktowe IOD, opis prawdopodobnych konsekwencji, opis podjętych środków zaradczych.
- Powiadomienie Użytkownika jako Administratora — w przypadku naruszenia danych przetwarzanych na polecenie Użytkownika (tryb MIRROR/MIGRATE), Samael sp. z o.o. powiadomi Użytkownika (jako Administratora danych) bez zbędnej zwłoki, umożliwiając mu wypełnienie własnych obowiązków notyfikacyjnych wobec UODO i osób, których dane dotyczą.
- Dokumentacja naruszeń (art. 33 ust. 5 RODO) — prowadzenie rejestru wszystkich naruszeń ochrony danych osobowych, obejmującego fakty dotyczące naruszenia, jego skutki oraz podjęte działania zaradcze.
Procedura obsługi naruszenia
- Wykrycie: automatyczne systemy monitoringu lub zgłoszenie manualne.
- Klasyfikacja: ocena skali naruszenia i ryzyka (0-24h od wykrycia).
- Powstrzymanie: natychmiastowe działania ograniczające skutki (np. zablokowanie dostępu, zmiana kluczy).
- Zgłoszenie do UODO: do 72h od stwierdzenia naruszenia (jeśli wymagane).
- Powiadomienie osób: bez zbędnej zwłoki (jeśli wysokie ryzyko).
- Analiza przyczyn i wdrożenie poprawek: ciągłe doskonalenie zabezpieczeń.
O potencjalnych naruszeniach bezpieczeństwa prosimy informować nas na: security@mailverra.com
Organ nadzorczy
Masz prawo wniesienia skargi do organu nadzorczego właściwego dla Twojego miejsca zamieszkania. W Polsce jest to:
Urząd Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warszawa
Tel.: +48 22 531 03 00
E-mail: kancelaria@uodo.gov.pl
uodo.gov.pl
Kontakt
Administrator danych: Samael sp. z o.o.
E-mail ogólny: privacy@mailverra.com
Inspektor Ochrony Danych (IOD/DPO): dpo@mailverra.com
Zgłoszenia naruszeń bezpieczeństwa: security@mailverra.com