$ cat /etc/internalhost/privacy

Polityka prywatności

Wersja 1.0 · Ostatnia aktualizacja: 2026-05-19 · Obowiązuje natychmiast

TL;DR

Zbieramy minimum potrzebne, żeby dostarczyć serwer i wysłać fakturę. Bez śledzenia, bez sieci reklamowych, bez odsprzedaży danych. Jesteśmy w UE, RODO obowiązuje, nigdy nie dzielimy danych z trzecimi stronami, chyba że wymaga tego prawo.

1. Kim jesteśmy

InternalHost to jednoosobowa działalność gospodarcza (holenderski KvK 90174720), własność Xaviero Kajafas, z siedzibą w Amsterdamie. Siedziba: Bijlmerdreef 910, 1103 DV Amsterdam. Biuro (po umówieniu): Nieuwe Hemweg 26, 1013 CX Amsterdam. Jesteśmy „administratorem danych" według RODO dla danych osobowych, które nam powierzasz jako klient.

2. Co zbieramy

Trzy kategorie, nic więcej:

  • Dane konta: imię, e-mail, nazwa firmy (opcjonalnie), numer VAT (opcjonalnie, dla B2B). Podane przez ciebie przy rejestracji.
  • Dane rozliczeniowe: adres do faktur, metoda płatności (nie przechowujemy numerów kart — te są u Mollie/Revolut), historia płatności. Wymagane przez holenderskie prawo podatkowe + RODO art. 6 ust. 1 lit. b (umowa).
  • Dane techniczne: IP sesji, user-agent przeglądarki, znaczniki czasu logowania. Wymagane dla bezpieczeństwa (CrowdSec, fail2ban) i zapobiegania oszustwom. Podstawa prawna: art. 6 ust. 1 lit. f (uzasadniony interes).

Nie zbieramy: cookies śledzących trzecich stron, pikseli social media, ID reklamowych, geolokalizacji poza IP, analityki behawioralnej, śledzenia myszki ani innej technologii inwigilacyjnej.

3. Do czego tego używamy

  • Dostarczanie usługi, za którą zapłaciłeś (provisioning serwerów, wysyłanie maili, wsparcie).
  • Generowanie i wysyłanie faktur.
  • Wykrywanie i powstrzymywanie nadużyć na naszej infrastrukturze (zobacz AUP).
  • Spełnianie ustawowych obowiązków retencji (holenderskie prawo podatkowe: faktury 7 lat).

Nie używamy do: profilowania, spersonalizowanych reklam, odsprzedaży, trenowania modeli AI ani żadnych innych dodatkowych biznesów.

4. Jak długo to trzymamy

  • Dane konta: dopóki jesteś klientem + 30 dni po rezygnacji na ewentualne roszczenia.
  • Faktury: 7 lat (holenderskie prawo podatkowe).
  • Logi logowania: 90 dni (forensyka bezpieczeństwa).
  • Dane serwera (zawartość twojego VPS): dopóki usługa jest aktywna. Po rezygnacji 14 dni na odzyskanie, potem trwale usuwane.
  • Zgłoszenia wsparcia: 2 lata.

5. Z kim dzielimy

Krótka lista. Wszyscy tu to procesorzy w jurysdykcji UE:

  • Mollie (NL): procesor płatności. Dostaje twoje imię, kwotę faktury, e-mail. Prywatność Mollie.
  • Revolut Business (LT, UE): alternatywny procesor płatności. Ten sam zakres co Mollie.
  • Cloudflare (US, region danych UE): CDN/DDoS dla tej strony. Przetwarza twoje IP + fingerprint przeglądarki dla anti-bot. Obowiązują standardowe SCC. Prywatność Cloudflare.
  • Qupra DC (NL): data center. Dostęp fizyczny do naszego sprzętu, bez dostępu logicznego do danych.
  • OpenProvider (NL): rejestrator domen — istotny tylko, jeśli rejestrujesz przez nas domenę. Dostaje dane kontaktowe WHOIS.

Tyle. Bez pikseli śledzących, bez platform reklamowych, bez „analitycznego" SaaS.

6. Twoje prawa (RODO)

Masz prawo do:

  • Dostępu do wszystkich swoich danych.
  • Sprostowania.
  • Żądania usunięcia (z wyjątkiem przypadków, gdy obowiązuje retencja ustawowa).
  • Otrzymania kopii czytelnej maszynowo (przenośność danych).
  • Sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie.
  • Złożenia skargi do holenderskiego organu ochrony danych.

Napisz [email protected]. Odpowiadamy w ciągu 30 dni, zwykle w ciągu 5.

7. Bezpieczeństwo

  • TLS wszędzie (HSTS preloaded).
  • Hasła przechowywane w bcrypt, nigdy plaintext.
  • Produkcyjne SSH wyłącznie przez klucze ed25519, auth hasłem wyłączone.
  • MFA wymagane dla kont admina.
  • CrowdSec + fail2ban na wszystkich publicznych endpointach.
  • Dzienne szyfrowane backupy danych klientów.
  • Ograniczony dostęp: tylko Nick i Jarreth mają shell na produkcji, tylko Xavi ma admina Filament.

Naruszenie danych? Zgłaszamy do organu ochrony danych i dotkniętych klientów w ciągu 72 godzin, zgodnie z RODO art. 33-34.

8. Kontakt i zmiany

Pytania, prośby albo skargi: [email protected] albo Signal (link w stopce). Zastrzegamy prawo do zmiany tej polityki. Istotne zmiany są wysyłane e-mailem do aktywnych klientów co najmniej 30 dni przed wejściem w życie.