Polityka Prywatności

Administratorem danych osobowych jest:

Bellita Mariusz Nowakowski
Os. Królewska 18/U7
02-972 Warszawa
NIP: PL5661842922

Kontakt z Inspektorem Ochrony Danych (IOD): agencjaautomatyzacji.pl@gmail.com

Możesz skontaktować się z nami w sprawie ochrony danych osobowych pod powyższym adresem email lub listownie na podany adres.

Zbieramy i przetwarzamy następujące kategorie danych osobowych:

• Dane konta: adres email, nazwa wyświetlana, hasło (zaszyfrowane), nazwa firmy, preferowany język, kraj i waluta.
• Dane dostępowe sklepu: klucze API i tokeny dostępu platform e-commerce, przechowywane w zaszyfrowanym sejfie (Supabase Vault, AES-256).
• Dane produktów: nazwy produktów, opisy, identyfikatory zewnętrzne i adresy URL importowane z połączonych sklepów internetowych.
• Dzienniki użytkowania: znaczniki czasu odświeżeń, status (sukces/błąd), czas trwania i zużycie tokenów dla każdego odświeżenia opisu produktu.
• Dane płatności: identyfikator klienta Stripe i szczegóły subskrypcji. Pełne dane karty płatniczej są przetwarzane i przechowywane wyłącznie przez Stripe.
• Rejestry zgody: zapisy preferencji dotyczących plików cookie, w tym znaczniki czasu i kategorie zgody.

Przetwarzamy Twoje dane osobowe na następujących podstawach prawnych wynikających z RODO:

• Wykonanie umowy (art. 6 ust. 1 lit. b RODO): przetwarzanie niezbędne do świadczenia Usługi, w tym zarządzanie kontem, odświeżanie opisów produktów i rozliczenia subskrypcji.
• Uzasadniony interes (art. 6 ust. 1 lit. f RODO): doskonalenie usługi, monitorowanie bezpieczeństwa, zapobieganie oszustwom i rozwiązywanie problemów technicznych.
• Zgoda (art. 6 ust. 1 lit. a RODO): pliki cookie analityczne (Google Analytics) i opcjonalne pliki cookie funkcjonalne. Możesz wycofać zgodę w dowolnym momencie za pośrednictwem banera zgód na pliki cookie.
• Obowiązek prawny (art. 6 ust. 1 lit. c RODO): przechowywanie zapisów rozliczeniowych zgodnie z wymogami polskiego prawa podatkowego i przepisów UE dotyczących VAT.

Korzystamy z następujących zewnętrznych podmiotów przetwarzających dane w celu świadczenia Usługi:

Każdy podmiot przetwarzający działa na podstawie Umowy Powierzenia Przetwarzania Danych (DPA) zapewniającej zgodność z wymogami RODO.

Przechowujemy Twoje dane przez następujące okresy:

• Dzienniki odświeżeń: 90 dni od utworzenia, następnie automatycznie usuwane.
• Dane produktów: przechowywane przez czas aktywności konta. Nieaktywne rekordy produktów są archiwizowane po 180 dniach.
• Dane konta: przechowywane do momentu usunięcia konta. Po usunięciu konta wszystkie dane są trwale usuwane.
• Rejestry zgody: przechowywane na stałe jako ślad audytu dla celów zgodności z RODO.
• Dane rozliczeniowe: przechowywane przez 5 lat zgodnie z wymogami polskiego prawa podatkowego.

Automatyczne procesy czyszczenia uruchamiane są codziennie w celu egzekwowania tych okresów przechowywania.

Na mocy RODO przysługują Ci następujące prawa w odniesieniu do Twoich danych osobowych:

• Prawo dostępu: możliwość uzyskania kopii wszystkich danych osobowych, które przechowujemy na Twój temat.
• Prawo do sprostowania: aktualizacja lub korekta nieprawidłowych danych osobowych.
• Prawo do usunięcia („prawo do bycia zapomnianym”): żądanie usunięcia Twoich danych osobowych i konta.
• Prawo do przenoszenia danych: otrzymanie danych w ustrukturyzowanym, nadającym się do odczytu maszynowego formacie (JSON).
• Prawo do ograniczenia przetwarzania: żądanie ograniczenia przetwarzania danych w określonych okolicznościach.
• Prawo do sprzeciwu: sprzeciw wobec przetwarzania opartego na uzasadnionym interesie.

Większość tych praw możesz realizować bezpośrednio z poziomu panelu w Ustawienia > Prywatność i dane:

• Pobierz swoje dane (eksport JSON)
• Usuń konto (natychmiastowe, nieodwracalne)
• Zarządzaj preferencjami zgody (baner plików cookie)

W przypadku innych żądań skontaktuj się z nami pod adresem agencjaautomatyzacji.pl@gmail.com. Odpowiemy w ciągu 30 dni.

Niektórzy z naszych podmiotów przetwarzających dane (OpenAI, Google) mają siedzibę w Stanach Zjednoczonych. Zapewniamy odpowiednią ochronę międzynarodowych transferów danych za pomocą następujących mechanizmów:

• EU-US Data Privacy Framework: podmioty certyfikowane w ramach DPF zapewniają odpowiedni poziom ochrony danych uznany przez Komisję Europejską.
• Standardowe klauzule umowne (SCC): w przypadku braku zastosowania DPF, opieramy się na zatwierdzonych przez UE standardowych klauzulach umownych w celu ochrony Twoich danych.

Nasza główna baza danych i usługi uwierzytelniania (Supabase) są hostowane w UE (Frankfurt, Niemcy), co zapewnia, że większość Twoich danych pozostaje w Europejskim Obszarze Gospodarczym.

Wdrażamy następujące środki techniczne i organizacyjne w celu ochrony Twoich danych:

• Szyfrowanie w spoczynku: dane wrażliwe (klucze API, tokeny dostępu) są szyfrowane za pomocą AES-256 przez Supabase Vault.
• Szyfrowanie podczas transmisji: wszystkie dane przesyłane między Twoją przeglądarką a naszymi serwerami wykorzystują TLS 1.3.
• Row-Level Security (RLS): kontrola dostępu na poziomie bazy danych zapewnia, że użytkownicy mogą uzyskać dostęp wyłącznie do własnych danych.
• Izolacja roli serwisowej: operacje administracyjne wykorzystują izolowane dane uwierzytelniające roli serwisowej, nigdy nieeksponowane w kodzie po stronie klienta.
• Hashowanie haseł: hasła użytkowników są hashowane za pomocą bcrypt z odpowiednimi rundami solenia.
• Zarządzanie sesjami: bezpieczne pliki cookie httpOnly dla sesji uwierzytelniania z automatycznym wygaśnięciem.

Usługa nie jest przeznaczona dla osób poniżej 16. roku życia. Nie zbieramy świadomie danych osobowych dzieci poniżej 16 lat.

Jeśli dowiemy się, że zebraliśmy dane osobowe dziecka poniżej 16 lat bez odpowiedniej zgody rodziców, niezwłocznie podejmiemy kroki w celu usunięcia takich danych.

Jeśli uważasz, że dziecko poniżej 16 lat przekazało nam swoje dane osobowe, prosimy o kontakt pod adresem agencjaautomatyzacji.pl@gmail.com.

W przypadku naruszenia ochrony danych osobowych, które może skutkować ryzykiem dla praw i wolności osób, których dane dotyczą:

• Powiadomimy polski organ nadzorczy (UODO — Urząd Ochrony Danych Osobowych) w ciągu 72 godzin od powzięcia informacji o naruszeniu, zgodnie z art. 33 RODO.
• Powiadomimy poszkodowanych użytkowników bez zbędnej zwłoki, jeśli naruszenie może skutkować wysokim ryzykiem dla ich praw i wolności, zgodnie z art. 34 RODO.

Powiadomienia o naruszeniu będą zawierać: charakter naruszenia, kategorie i przybliżoną liczbę osób, których dane dotyczą, prawdopodobne konsekwencje oraz środki podjęte lub proponowane w celu zaradzenia naruszeniu.

Możemy okresowo aktualizować niniejszą Politykę Prywatności w celu odzwierciedlenia zmian w naszych praktykach, technologii, wymogach prawnych lub innych czynnikach.

O istotnych zmianach powiadomimy Cię drogą elektroniczną co najmniej 14 dni przed wejściem w życie zaktualizowanej polityki. Data „Ostatnia aktualizacja” na górze tego dokumentu wskazuje najnowszą rewizję.

Dalsze korzystanie z Usługi po dacie wejścia w życie zaktualizowanej Polityki Prywatności jest równoznaczne z akceptacją zmian.

W przypadku pytań lub wątpliwości dotyczących niniejszej Polityki Prywatności lub naszych praktyk przetwarzania danych, możesz skontaktować się z nami:

Inspektor Ochrony Danych
Bellita Mariusz Nowakowski
Os. Królewska 18/U7
02-972 Warszawa

Email: agencjaautomatyzacji.pl@gmail.com

Masz również prawo złożyć skargę do polskiego organu nadzorczego:

UODO — Urząd Ochrony Danych Osobowych
ul. Stawki 2
00-193 Warszawa
https://uodo.gov.pl