Polityka Prywatności

Polityka Prywatności

Wersja: 2.0 Ostatnia aktualizacja: 25 maja 2026 Administrator danych: WealthHive OU

⚠️ Zamknięcie serwisu

Aplikacja MyInvestments jest wygaszana i zostanie wyłączona z dniem 10 czerwca 2026 r. Po tej dacie konta użytkowników oraz dane portfeli zostaną trwale usunięte.

Jeżeli chcesz skorzystać z praw przewidzianych w RODO — dostępu (art. 15), przenoszenia danych (art. 20) lub żądania wcześniejszego usunięcia (art. 17) — przed trwałą likwidacją bazy danych, napisz na kontakt@myinvestments.pl do 10 czerwca 2026 r. Po tej dacie skuteczna realizacja żądania nie będzie już możliwa.

Dane, których przechowywanie wynika z obowiązku prawnego (m.in. dokumentacja księgowa fakturowania Stripe — 5 lat zgodnie z prawem podatkowym), pozostaną w retencji u właściwych sub-processorów przez okresy wymagane przepisami.

Wstęp

Niniejsza Polityka Prywatności wyjaśnia, w jaki sposób WealthHive OU ("my", "Operator") przetwarza dane osobowe użytkowników serwisu MyInvestments dostępnego pod adresem https://myinvestments.pl ("Serwis"). Dokument jest zgodny z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 ("RODO" / "GDPR"), estońskim Personal Data Protection Act oraz polską ustawą o ochronie danych osobowych z 10 maja 2018 r.

1. Administrator danych

| Pole | Wartość | |------|---------| | Nazwa | WealthHive OU | | Adres | Saani tn 2/2-26, 10149 Tallinn, Estonia | | Kod rejestrowy | 16390486 (do potwierdzenia) | | VAT UE | EE102742499 | | E-mail kontaktowy | kontakt@myinvestments.pl |

Inspektor Ochrony Danych (DPO): nie został powołany — przetwarzanie nie spełnia kryteriów obligatoryjnego wyznaczenia DPO (art. 37 RODO). Decyzja udokumentowana w wewnętrznym rejestrze.

2. Jakie dane przetwarzamy

2.1. Dane konta

  • imię oraz nazwisko (jeśli podane) lub pseudonim
  • adres e-mail
  • hash hasła (algorytm bcrypt/argon2)
  • tokeny sesji, identyfikatory urządzeń
  • tokeny OAuth (Google) — wyłącznie gdy użytkownik korzysta z logowania społecznościowego

2.2. Dane portfela inwestycyjnego

  • nazwy aktywów, typy (akcje / ETF / krypto / nieruchomości / metale / forex)
  • ilości, ceny zakupu, daty transakcji
  • waluty, lokalizacje (broker, bank, portfel)
  • etykiety i notatki użytkownika
  • historyczne migawki wydajności

Ważne: wszystkie dane wprowadza użytkownik ręcznie. Nie łączymy się z kontami brokerskimi, bankowymi ani giełdami krypto bez wyraźnej konfiguracji integracji przez Użytkownika (Exante, MetaMask, Bitcoin — szczegóły w § 5).

2.3. Dane płatnicze

  • dane subskrypcji (plan, status, daty)
  • dane fakturowe (jeśli wymagane: nazwa, NIP, adres)
  • numer karty NIE jest przez nas przechowywany — przetwarza go Stripe (PCI DSS Level 1)

2.4. Dane techniczne i logi

  • adres IP
  • typ przeglądarki, system operacyjny, identyfikator urządzenia
  • czas dostępu, odsyłające adresy URL
  • pliki cookie (szczegóły w Polityce plików cookie)

2.5. Dane komunikacji

  • treść wiadomości w zgłoszeniach do wsparcia / formularzu kontaktowym
  • preferencje komunikacyjne (subskrypcja newslettera — opt-in)

3. Cele i podstawy prawne przetwarzania

| Kategoria danych | Cel | Podstawa prawna (art. 6 RODO) | Okres retencji | |------------------|-----|-------------------------------|----------------| | Dane konta | Świadczenie usługi, autentykacja | lit. b — wykonanie umowy | Do usunięcia konta + 30 dni | | Dane portfela | Świadczenie usługi | lit. b — wykonanie umowy | Do usunięcia konta + 30 dni | | Dane płatnicze | Realizacja płatności, obowiązki księgowe | lit. b + lit. c (Estonian Accounting Act, polska ustawa o rachunkowości) | 7 lat (księgi rachunkowe) | | IP, logi dostępu | Bezpieczeństwo, wykrywanie nadużyć | lit. f — uzasadniony interes (ochrona infrastruktury) | 12 miesięcy | | Cookies analityczne | Optymalizacja produktu | lit. a — zgoda (cookie banner) | Zgodnie z Polityką plików cookie | | Cookies marketingowe / Google Ads | Mierzenie skuteczności kampanii, remarketing | lit. a — zgoda (cookie banner) | Zgodnie z Polityką plików cookie | | Newsletter / marketing e-mail | Komunikacja marketingowa | lit. a — zgoda (opt-in) | Do cofnięcia zgody | | Dane komunikacji | Obsługa zgłoszeń | lit. b / lit. f | 24 miesiące od zamknięcia sprawy | | Faktury, zapisy księgowe | Obowiązki podatkowe (EE, PL) | lit. c — obowiązek prawny | 7 lat (zgodnie z prawem podatkowym) |

4. Bezpieczeństwo danych

Zgodnie z art. 32 RODO stosujemy środki techniczne i organizacyjne adekwatne do ryzyka, w tym:

  • szyfrowanie w tranzycie (TLS 1.2+)
  • hash haseł (bcrypt/argon2 — bez przechowywania w plain text)
  • uwierzytelnianie dwuskładnikowe (2FA) oraz obsługa passkeys (WebAuthn)
  • kontrole dostępu na poziomie aplikacji i bazy danych
  • monitoring bezpieczeństwa i logowanie zdarzeń
  • regularne kopie zapasowe z testami przywracania
  • procedura obsługi naruszeń (notyfikacja w ciągu 72h zgodnie z art. 33 RODO)
  • Encrypted Vault (PRO) — opcjonalne szyfrowanie po stronie klienta wybranych pól (kwoty, ceny, nazwy lokalizacji, nazwy etykiet) kluczem znanym wyłącznie Użytkownikowi

Stosowane środki podlegają cyklicznym przeglądom (state of the art). Bezpieczeństwo absolutne nie istnieje — w razie wykrycia naruszenia poinformujemy organy nadzorcze i osoby, których dane dotyczą, zgodnie z art. 33–34 RODO.

5. Sub-procesorzy i transfery danych

W ramach świadczenia usługi korzystamy z następujących podmiotów przetwarzających dane na nasze zlecenie. Każdy sub-procesor został zobowiązany umową powierzenia (DPA) zgodnie z art. 28 RODO.

| Sub-procesor | Cel | Lokalizacja przetwarzania | Mechanizm transferu poza EOG | |--------------|-----|---------------------------|------------------------------| | Stripe Payments Europe Ltd / Stripe Inc. | Przetwarzanie płatności | Irlandia + USA | SCC + EU-US Data Privacy Framework (DPF) | | Vercel Inc. | Hosting aplikacji, CDN, Edge Functions | USA (regiony EU dla danych Edge) | SCC + DPF | | Supabase Inc. | Baza danych PostgreSQL, autentykacja | UE (Frankfurt) | Brak transferu — region EU | | Render Services Inc. | Background workers (price refresh, snapshoty) | USA | SCC + DPF | | Google LLC | OAuth (logowanie społecznościowe), Google Analytics, Google Ads | USA | SCC + DPF | | Vercel Inc. (Analytics, Speed Insights) | Analityka ruchu i wydajności (cookieless) | USA | SCC + DPF | | Brevo (Sendinblue SAS) | Wysyłka e-maili transakcyjnych | Francja, UE | Brak transferu — region EU | | CoinGecko Ltd | Dane rynkowe krypto | Wielka Brytania | UK adequacy decision (28.06.2021) | | Finnhub.io | Dane rynkowe akcji USA | USA | SCC + DPF — bez danych osobowych w zapytaniach | | Yahoo Finance | Dane rynkowe (notowania, instrumenty międzynarodowe) | USA | SCC — bez danych osobowych w zapytaniach | | NBP (Narodowy Bank Polski) | Kursy walut, obligacje skarbowe | Polska, UE | Brak transferu — region EU | | ExchangeRate-API LLC | Kursy walutowe | USA | SCC — bez danych osobowych w zapytaniach | | Moralis (integracja MetaMask — opcjonalnie) | Odczyt salda ERC-20/ETH | USA | SCC + DPF — uruchamiane na żądanie Użytkownika | | Exante (integracja brokera — opcjonalnie) | Synchronizacja pozycji | Malta, UE / Cypr | Brak transferu — region EU |

Lista sub-procesorów jest aktualizowana na bieżąco. O dodaniu nowego sub-procesora informujemy z 30-dniowym wyprzedzeniem (e-mail). Użytkownik może wnieść uzasadniony sprzeciw — w takim przypadku ma prawo wypowiedzieć subskrypcję ze zwrotem proporcjonalnej części opłaty.

6. Udostępnianie danych poza sub-procesorów

NIE sprzedajemy danych osobowych. Możemy udostępnić dane wyłącznie:

  • na żądanie uprawnionych organów (sądy, prokuratura, organy podatkowe) — wyłącznie w zakresie wynikającym z prawa
  • w przypadku fuzji, przejęcia lub sprzedaży aktywów — z obowiązkiem zachowania niniejszej Polityki przez nabywcę
  • na podstawie wyraźnej zgody użytkownika

7. Twoje prawa (RODO, art. 15–22)

W każdej chwili przysługują Ci prawa:

  1. Prawo dostępu do swoich danych (art. 15) — możesz uzyskać kopię danych i informacje o przetwarzaniu
  2. Prawo do sprostowania nieprawidłowych danych (art. 16)
  3. Prawo do usunięcia danych ("prawo do bycia zapomnianym", art. 17)
  4. Prawo do ograniczenia przetwarzania (art. 18)
  5. Prawo do przenoszenia danych w ustrukturyzowanym formacie (art. 20)
  6. Prawo sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie lub do celów marketingu bezpośredniego (art. 21)
  7. Prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (art. 22) — informujemy, że NIE stosujemy zautomatyzowanego podejmowania decyzji w stosunku do użytkowników
  8. Prawo do cofnięcia zgody w dowolnym momencie (jeśli przetwarzanie opiera się na zgodzie) — cofnięcie nie wpływa na zgodność z prawem przetwarzania dokonanego przed cofnięciem

Jak skorzystać z praw

E-mail: kontakt@myinvestments.pl lub ustawienia konta (panel "Prywatność i dane").

Czas odpowiedzi: maksymalnie 1 miesiąc (art. 12 ust. 3 RODO), z możliwością przedłużenia o kolejne 2 miesiące w skomplikowanych przypadkach — w takim wypadku poinformujemy o tym w ciągu pierwszego miesiąca.

Prawo do skargi (art. 77)

Jeśli uważasz, że przetwarzamy Twoje dane niezgodnie z prawem, masz prawo wnieść skargę do:

  • Prezesa Urzędu Ochrony Danych Osobowych (UODO) — Polska, ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl
  • Andmekaitse Inspektsioon (AKI) — Estonia, Tatari 39, 10134 Tallinn, https://www.aki.ee
  • lub innego organu nadzorczego w kraju swojego zwykłego pobytu, miejsca pracy lub miejsca domniemanego naruszenia

8. Pliki cookie

Stosujemy pliki cookie i podobne technologie do działania Serwisu i — za Twoją zgodą — do celów preferencyjnych, analitycznych i marketingowych. Szczegóły, pełna lista cookies oraz mechanizm zarządzania zgodą: Polityka plików cookie.

Możesz zmienić swoje preferencje cookies w dowolnym momencie klikając ikonę 🍪 w stopce Serwisu.

9. Zakres terytorialny i wybór prawa

Przetwarzanie danych podlega RODO oraz lokalnym przepisom państw członkowskich UE/EOG, w których znajdują się użytkownicy.

Niniejsza Polityka Prywatności podlega prawu Republiki Estońskiej (siedziba Administratora). Powyższy wybór prawa nie pozbawia konsumenta ochrony przyznanej mu przez bezwzględnie obowiązujące przepisy prawa kraju, w którym konsument ma miejsce zwykłego pobytu (art. 6 ust. 2 Rozporządzenia Rzym I).

10. Dzieci

MyInvestments nie jest przeznaczony dla osób poniżej 18 roku życia. Nie zbieramy świadomie danych od dzieci. Jeśli stwierdzimy, że zebraliśmy dane od osoby poniżej 18 roku życia bez zgody opiekuna prawnego, usuniemy je niezwłocznie. Zgłoszenia w tej sprawie: kontakt@myinvestments.pl.

11. Zmiany Polityki Prywatności

Możemy aktualizować Politykę Prywatności. Istotne zmiany komunikujemy:

  • pocztą elektroniczną do zarejestrowanych użytkowników z co najmniej 30-dniowym wyprzedzeniem,
  • przez powiadomienie w aplikacji,
  • przez publikację nowej wersji z aktualną datą.

Archiwalne wersje są dostępne na żądanie pod adresem kontakt@myinvestments.pl.

12. Kontakt

WealthHive OU Saani tn 2/2-26, 10149 Tallinn, Estonia Kod rejestrowy: 16390486 (do potwierdzenia) VAT UE: EE102742499

  • Kontakt (wszystkie sprawy): kontakt@myinvestments.pl

13. Zastrzeżenia

MyInvestments nie świadczy porad inwestycyjnych, finansowych, podatkowych ani prawnych. Serwis jest narzędziem do śledzenia portfela. Dane prezentowane w Serwisie mają charakter wyłącznie informacyjny. W sprawach inwestycyjnych skonsultuj się z licencjonowanym doradcą inwestycyjnym.

Korzystając z MyInvestments, potwierdzasz zapoznanie się z niniejszą Polityką Prywatności.