Polityka Prywatności — Aksel ID

Wersja: 1.0 · Obowiązuje od: 2026-05-02

Aplikacja Aksel ID to wewnętrzne narzędzie firmowe służące do dwuskładnikowego uwierzytelniania (2FA) pracowników podczas logowania do systemów IT firmy.

Niniejszy dokument opisuje, jakie dane przetwarza aplikacja, w jakim celu, oraz jakie prawa przysługują użytkownikom.

1. Administrator danych

Aksel Sp. z o.o.
ul. Lipowa 17/1, 44-207 Rybnik
NIP: 6422635416

Kontakt w sprawach prywatności: iod@aksel.com.pl

2. Jakie dane są przetwarzane

Aplikacja przetwarza wyłącznie dane techniczne, niezbędne do realizacji funkcji 2FA:

Dane	Skąd pochodzą	Gdzie są przechowywane
Klucz publiczny RSA-2048 urządzenia	Generowany lokalnie w Android Keystore	Na urządzeniu (klucz prywatny w TEE) i na serwerze firmowym (tylko klucz publiczny)
Fingerprint klucza (SHA-256)	Pochodna klucza publicznego	Na urządzeniu i na serwerze firmowym
Token Firebase Cloud Messaging (FCM)	Generowany przez Google FCM	Na urządzeniu i na serwerze firmowym
Adres IP urządzenia	Wysyłany przy parowaniu i przy każdym żądaniu autoryzacji	Tymczasowo w logach serwera firmowego
Nazwa użytkownika RADIUS	Wpisywana przez administratora przy parowaniu	Na serwerze firmowym

Aplikacja NIE zbiera:

Danych identyfikacyjnych (imię, nazwisko, e-mail, numer telefonu)
Danych lokalizacyjnych
Listy kontaktów, kalendarza, fotografii ani żadnych innych zasobów telefonu
Historii działań użytkownika poza zdarzeniami 2FA
Danych analitycznych ani telemetrycznych

3. Cele przetwarzania i podstawa prawna

Cel: realizacja funkcji 2FA — potwierdzanie tożsamości pracownika podczas logowania do systemów IT firmy.

Podstawa prawna: art. 6 ust. 1 lit. b) RODO (przetwarzanie niezbędne do wykonania umowy o pracę / współpracy) oraz art. 6 ust. 1 lit. f) RODO (uzasadniony interes administratora — zapewnienie bezpieczeństwa systemów IT).

4. Komu są przekazywane dane

Dane są przekazywane wyłącznie:

Serwerowi firmowemu Aksel ID — wewnętrzny serwer w infrastrukturze firmy, nie udostępniany podmiotom zewnętrznym
Google LLC (Firebase Cloud Messaging) — wyłącznie token FCM oraz treść powiadomień push (dwuwierszowy komunikat informujący o żądaniu autoryzacji, bez danych osobowych). Google działa jako podmiot przetwarzający dane; szczegóły: https://firebase.google.com/support/privacy

Dane nie są sprzedawane ani udostępniane innym podmiotom.

5. Czas przechowywania

Dane	Okres przechowywania
Klucz prywatny w urządzeniu	Do odinstalowania aplikacji lub kliknięcia "Rozparuj"
Wpis na serwerze	Do momentu usunięcia urządzenia przez administratora
Logi 2FA na serwerze	90 dni (rotacja)
Token FCM po stronie Google	Zgodnie z polityką Google FCM

6. Twoje prawa

Jako podmiot danych przysługują Ci prawa wynikające z RODO:

Wgląd w swoje dane — dane przechowywane na serwerze firmowym możesz uzyskać kontaktując się z administratorem
Sprostowanie — w razie nieaktualności danych
Usunięcie — możesz w dowolnym momencie kliknąć "Rozparuj urządzenie" w aplikacji, co usunie dane z urządzenia. Usunięcie danych z serwera wymaga kontaktu z administratorem
Sprzeciw — wobec przetwarzania opartego na uzasadnionym interesie (uwaga: skutkuje brakiem dostępu do systemów wymagających 2FA)
Skarga do organu nadzorczego — Prezes Urzędu Ochrony Danych Osobowych (https://uodo.gov.pl)

7. Środki bezpieczeństwa

Klucz prywatny RSA generowany i przechowywany w sprzęcie zabezpieczonym (Trusted Execution Environment / StrongBox), poza zasięgiem aplikacji
Komunikacja podpisana cyfrowo — odpowiedzi na żądania 2FA są podpisane podpisem RSA-PKCS#1 v1.5 + SHA-256
Anti-replay — każde żądanie zawiera jednorazowy nonce i timestamp
Backup wyłączony — dane sparowania nie są kopiowane do chmury Google ani na inne urządzenie
Komunikacja UDP — z serwerem firmowym wewnątrz sieci firmowej (lub VPN dla zdalnego dostępu)

8. Uprawnienia aplikacji

Uprawnienie	Po co
`INTERNET`	Komunikacja z serwerem firmowym i Firebase
`POST_NOTIFICATIONS`	Wyświetlanie powiadomień o żądaniach autoryzacji

9. Zmiany polityki prywatności

Wszelkie zmiany niniejszej polityki będą publikowane pod tym samym adresem URL oraz w repozytorium kodu aplikacji. Aktualnie obowiązująca wersja zawiera datę "Obowiązuje od" w nagłówku.

10. Kontakt

W sprawach związanych z prywatnością i ochroną danych osobowych:

Inspektor Ochrony Danych
e-mail: iod@aksel.com.pl