Dokument prawny
Polityka prywatności
Dla klientów biznesowych (B2B) obowiązuje osobna umowa powierzenia przetwarzania danych (DPA).
1. Administrator danych
Och! MediaLab (Bartosz Ochapski, jednoosobowa działalność gospodarcza)
NIP: w trakcie rejestracji
E-mail: kontakt@ochmedialab.pl
Strona: ochmedialab.pl
2. Jakie dane zbieramy
2.1. Dane konta
- E-mail — wymagany do logowania (link logujący) i wysyłki raportów
- Imię i nazwisko — opcjonalne, do personalizacji
- Zgoda marketingowa — opcjonalna, na potrzeby biuletynu marketingowego
2.2. Dane subskrypcji
- identyfikator subskrypcji w Stripe (nie numer karty — ten przechowuje Stripe),
- status (aktywna / wygasła / anulowana),
- daty: rozpoczęcie okresu próbnego, okres rozliczeniowy,
- wybrane produkty (PL / UE / Konflikty).
2.3. Dane techniczne (pliki cookie i statystyki)
- Pliki cookie sesyjne (logowanie) — wymagane, nie można ich wyłączyć (logowanie by nie działało),
- Google Analytics 4 (przez Google Tag Manager) — tylko po wyrażeniu zgody w oknie zgód:
- zanonimizowany adres IP,
- informacje o przeglądarce,
- odwiedzone strony, kliknięcia,
- identyfikator przypisany do Twojego konta (atrybucja).
2.4. Dane o korzystaniu
- logi wysyłki e-maila (kiedy wysłany, otwarty, kliknięty) — przez Resend.com,
- logi otwarcia raportów.
3. Cele i podstawy prawne
| Cel | Podstawa prawna | Okres przechowywania |
|---|---|---|
| Świadczenie usługi (dostęp do raportów) | Umowa (art. 6 ust. 1 lit. b RODO) | Czas trwania subskrypcji + 30 dni |
| Wysyłka codziennych raportów | Umowa (art. 6 ust. 1 lit. b RODO) | jw. |
| Rozliczenia i fakturowanie | Obowiązek prawny (art. 6 ust. 1 lit. c RODO) | 5 lat (przepisy podatkowe) |
| Marketing (biuletyn) | Zgoda (art. 6 ust. 1 lit. a RODO) — można cofnąć | Do cofnięcia zgody |
| Statystyki (GA4) | Zgoda (art. 6 ust. 1 lit. a RODO) — Consent Mode v2 | 14 miesięcy |
| Ochrona przed nadużyciami | Uzasadniony interes (art. 6 ust. 1 lit. f RODO) | 12 miesięcy |
| Audyt i bezpieczeństwo | Uzasadniony interes (art. 6 ust. 1 lit. f RODO) | 12 miesięcy (logi) |
4. Komu udostępniamy dane
Podmioty przetwarzające
- Supabase Inc. (USA, na podstawie SCC + DPF) — przechowywanie bazy danych i logowanie; mamy z Supabase podpisaną umowę powierzenia przetwarzania danych (DPA),
- Stripe Payments Europe Ltd. (Irlandia) — przetwarzanie płatności,
- Resend Inc. (USA, SCC) — wysyłka e-mail,
- Google LLC (USA, DPF) — GA4 (tylko po zgodzie),
- Cookiebot (Cybot A/S) (Dania) — zarządzanie zgodami (RODO).
Nigdy nie sprzedajemy danych
- Twój e-mail nie trafi do handlarzy danymi.
- Nie udostępniamy danych reklamodawcom.
- Nie tworzymy profili psychograficznych do dopasowywania reklam.
5. Twoje prawa (RODO)
Masz prawo do:
- Dostępu — wyślij prośbę na kontakt@ochmedialab.pl, odpowiemy w 30 dni,
- Sprostowania — zmień dane w „Moje konto" lub e-mailem,
- Usunięcia („prawo do bycia zapomnianym") — wnioskuj o usunięcie konta i danych,
- Ograniczenia przetwarzania — np. wstrzymanie statystyk,
- Przenoszenia danych — eksport dostępny na żądanie,
- Sprzeciwu — wobec uzasadnionego interesu,
- Cofnięcia zgody — w każdej chwili (marketing, statystyki),
- Skargi do PUODO — Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, Warszawa.
6. Decyzje zautomatyzowane
- Nie stosujemy automatyzowanego podejmowania decyzji o istotnym wpływie na Ciebie.
- AI używamy wyłącznie do generowania treści raportów (grupowanie wiadomości, podsumowania).
- Treść raportów jest informacją, a nie decyzją wpływającą na Twoją sytuację prawną.
7. Zgodność z AI Act (Rozporządzenie 2024/1689)
Skrót dnia używa systemów AI zaliczanych do kategorii „ograniczonego ryzyka" (art. 50 AI Act):
- generowanie tekstów (podsumowań) — oznaczone w raporcie jako treść AI,
- grupowanie wiadomości — algorytm, ale wybór redakcyjny należy do człowieka,
- brak biometrii, oceny społecznej i zastosowań wysokiego ryzyka.
Każdy raport zawiera informację, jaka część treści była generowana przez AI, a jaka opracowana przez redakcję.
8. Międzynarodowy transfer danych
Niektóre dane mogą trafiać poza Europejski Obszar Gospodarczy (USA — Supabase, Resend, Google). Podstawy transferu:
- EU-US Data Privacy Framework (Supabase, Google),
- Standardowe klauzule umowne (SCC) (Resend).
Wszystkie podmioty przetwarzające są weryfikowane pod kątem zgodności z RODO.
9. Bezpieczeństwo
- TLS 1.3 w transporcie,
- szyfrowanie danych w spoczynku (Supabase Postgres + AWS RDS),
- Row Level Security — każdy widzi tylko swoje dane,
- cookies HttpOnly + Secure + SameSite dla sesji,
- brak ukrytych kluczy w adresach stron — udostępnianie linków zablokowane (raporty wymagają zalogowania),
- płatności Stripe — nigdy nie przechowujemy danych karty,
- kopie zapasowe — codzienne, retencja 30 dni,
- reagowanie na incydenty — w przypadku wycieku informujemy w ciągu 72 godzin zgodnie z RODO.
10. Pliki cookie
- Niezbędne (sesja logowania): bez zgody, nie można wyłączyć,
- Statystyki (GA4): wymagają zgody (okno zgód Cookiebot),
- Marketing: na razie nie używamy (możliwe w przyszłości — będzie wymagać zgody).
Swoje zgody możesz zmienić w każdej chwili: ustawienia plików cookie.
11. Zmiany polityki
Wersja zostanie zaktualizowana z 7-dniowym wyprzedzeniem. Powiadomimy e-mailem.
12. Kontakt
- E-mail: kontakt@ochmedialab.pl
- Inspektor Ochrony Danych: nie jest wymagany (mikroprzedsiębiorca), kontakt jak wyżej,
- PUODO: kancelaria@uodo.gov.pl
Dokument powiązany: Regulamin.
← Wróć na stronę główną