W skrócie

Twoje dane są Twoje. Przetwarzamy je wyłącznie po to, żeby serwis działał. Nie sprzedajemy Twoich danych, nie używamy ich do marketingu kierowanego do osób trzecich, nie profilujemy Cię algorytmicznie. Masz pełne prawo w każdej chwili pobrać, poprawić lub usunąć swoje dane — wystarczy jedna wiadomość na rodo@twojprywatnyasystent.pl.

1. Administrator danych

Administratorem Twoich danych osobowych, zgodnie z art. 4 pkt 7 RODO, jest:

STĘPIŃSKI SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ
ul. Wincentego Witosa 1 lok. 22, 09-200 Sierpc
NIP: 7761715360
KRS: 0001238224, REGON: 544603906
E-mail: kontakt@twojprywatnyasystent.pl
E-mail ds. danych osobowych (DPO): rodo@twojprywatnyasystent.pl

W każdej sprawie dotyczącej Twoich danych osobowych — dostępu, poprawienia, usunięcia, wniesienia sprzeciwu lub skargi — skontaktuj się z nami na adres rodo@twojprywatnyasystent.pl. Odpowiemy w ciągu 30 dni.

2. Jakie dane zbieramy

Przetwarzamy wyłącznie te dane, które są niezbędne do świadczenia usługi lub wymagane przepisami prawa:

2.1 Dane konta

E-mail, imię, nazwisko, zdjęcie profilowe Google — uzyskane przez logowanie Google OAuth
Rola w serwisie (user, superadmin), status aktywności konta, data rejestracji, data wygaśnięcia subskrypcji
Dane rozliczeniowe — jeśli korzystasz z płatnej subskrypcji: dane do faktury VAT (NIP, nazwa firmy, adres), identyfikator transakcji u operatora płatności

2.2 Dane integracji z Instagramem (Meta)

Identyfikator Twojej strony Facebook (Page ID)
Identyfikator konta Instagram Business (IG Business Account ID)
Nazwa użytkownika Instagrama, zdjęcie profilowe, nazwa strony
Długotrwały token dostępu (60-dniowy Long-Lived Token) — umożliwia bocie działanie w imieniu Twojego konta
Data połączenia i data wygaśnięcia tokena

2.3 Konfiguracja bota

Personalizacja bota (nazwa, persona, specjalizacja, cele, produkty/usługi)
Scenariusze rozmowy, styl wypowiedzi, reguły klasyfikacji leadów
Reguły dyskwalifikacji, limity konwersacji, reguły pauzy
Ustawienia kalendarza (Google Calendar) — jeśli podłączony

2.4 Dane konwersacyjne (leady i wiadomości)

Wiadomości osób piszących do Twojego IG — treść wiadomości, identyfikator nadawcy (Page-Scoped ID), znacznik czasu
Odpowiedzi bota — treść wygenerowana przez model AI, znacznik czasu
Klasyfikacja lidów (cold / warm / hot / unclassified), tagi, notatki
Metadane rozmowy — liczba wiadomości, status umowy, źródło

2.5 Dane techniczne i eksploatacyjne

Logi systemowe (błędy, zdarzenia integracyjne, akcje użytkownika) — przechowywane maks. 90 dni
Statystyki zużycia (liczba tokenów AI, koszty API, liczba leadów) — w formie zagregowanej
Ciasteczka sesyjne (JWT w cookie `seter_token`, sesja Express)
Adres IP w logach serwera — standardowo zapisywany przez nginx i pm2, retencja 14 dni

3. Po co przetwarzamy Twoje dane (cele i podstawy prawne)

Cel	Podstawa prawna (RODO)	Retencja
Świadczenie usługi SaaS (logowanie, bot, CRM, kalendarz)	art. 6 ust. 1 lit. b — wykonanie umowy	Przez czas trwania subskrypcji + 30 dni
Obsługa płatności i wystawianie faktur	art. 6 ust. 1 lit. b i c — umowa oraz obowiązek prawny	5 lat (ustawa o rachunkowości)
Przetwarzanie wiadomości IG przez AI	art. 6 ust. 1 lit. b — wykonanie umowy	Przez czas trwania subskrypcji + 6 miesięcy (reklamacje)
Bezpieczeństwo (wykrywanie nadużyć, zabezpieczenie przed atakami)	art. 6 ust. 1 lit. f — uzasadniony interes	90 dni (logi)
Odpowiedzi na reklamacje i zapytania	art. 6 ust. 1 lit. c i f — obowiązek prawny i uzasadniony interes	3 lata od zakończenia sprawy
Komunikacja serwisowa (potwierdzenia, alerty, przypomnienia)	art. 6 ust. 1 lit. b — wykonanie umowy	Przez czas trwania subskrypcji
Analityka wewnętrzna (zagregowane statystyki użycia)	art. 6 ust. 1 lit. f — uzasadniony interes	Bezterminowo, po anonimizacji

4. Komu przekazujemy Twoje dane (podmioty przetwarzające)

Nie sprzedajemy Twoich danych. Udostępniamy je wyłącznie podmiotom, z którymi mamy zawarte umowy powierzenia przetwarzania (art. 28 RODO), w zakresie niezbędnym do świadczenia usługi:

Odbiorca	Cel	Lokalizacja
Anthropic, PBC	Generowanie odpowiedzi AI (model Claude). Wiadomości są wysyłane do przetworzenia.	USA — transfer na podstawie Standard Contractual Clauses (SCC)
Meta Platforms Ireland Ltd. / Meta Inc.	Integracja Instagram Graph API — odbiór i wysyłanie wiadomości, zarządzanie kontem IG Business	UE / USA — SCC
Google Ireland Ltd. / Google LLC	Logowanie Google OAuth, opcjonalna integracja Google Calendar	UE / USA — SCC
OVH Sp. z o.o.	Hosting serwera VPS (infrastruktura)	Unia Europejska (Francja / Polska)
Operator płatności: Stripe	Obsługa płatności subskrypcji	Unia Europejska

Twoje dane nie są udostępniane reklamodawcom, brokerom danych ani innym podmiotom trzecim w celach marketingowych.

5. Transfer danych poza EOG

Niektóre podmioty przetwarzające znajdują się poza Europejskim Obszarem Gospodarczym (głównie USA — Anthropic, Google, Meta). Transfer odbywa się na podstawie:

Standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO),
Dodatkowych środków technicznych (szyfrowanie TLS, pseudonimizacja tam gdzie to możliwe).

Kopie klauzul SCC możesz uzyskać pisząc na rodo@twojprywatnyasystent.pl.

6. Twoje prawa

Zgodnie z RODO przysługują Ci następujące prawa:

Dostęp do danych (art. 15) — możesz otrzymać kopię wszystkich Twoich danych
Sprostowanie (art. 16) — możesz zażądać poprawienia nieaktualnych danych
Usunięcie („prawo do bycia zapomnianym") (art. 17) — zobacz instrukcję usunięcia danych
Ograniczenie przetwarzania (art. 18)
Przenoszenie danych (art. 20) — wyeksportujemy Twoje dane w formacie JSON lub CSV
Sprzeciw (art. 21) — wobec przetwarzania opartego na uzasadnionym interesie
Cofnięcie zgody (art. 7 ust. 3) — tam gdzie podstawą jest zgoda, w dowolnym momencie
Skarga do organu nadzorczego — Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl

Aby skorzystać z któregokolwiek prawa — napisz na rodo@twojprywatnyasystent.pl. Odpowiemy w terminie 30 dni (art. 12 ust. 3 RODO).

7. Okres przechowywania danych

Przechowujemy dane tylko tak długo, jak to konieczne do realizacji celu, dla którego zostały zebrane:

Konto użytkownika — przez cały okres subskrypcji + 30 dni po zakończeniu (grace period)
Konwersacje i leady — przez okres subskrypcji + 6 miesięcy (na wypadek reklamacji)
Faktury i dane rozliczeniowe — 5 lat (art. 74 ustawy o rachunkowości)
Logi systemowe — 90 dni
Logi dostępu (IP, request) — 14 dni
Statystyki zagregowane — bezterminowo, po usunięciu identyfikatorów osobowych

8. Bezpieczeństwo danych

Stosujemy adekwatne środki techniczne i organizacyjne do ochrony Twoich danych:

Szyfrowanie transmisji (TLS 1.2+ / HTTPS na wszystkich endpointach)
Hashowane tokeny sesyjne (JWT z podpisem HMAC-SHA256)
Kontrola dostępu (role i uprawnienia, middleware autoryzacyjny)
Weryfikacja webhooków z Meta (HMAC-SHA256 z App Secret)
Minimalizacja logów (bez zapisywania treści wiadomości w logach systemowych)
Kopie zapasowe (przechowywane w tej samej lokalizacji co serwer produkcyjny)
Regularne aktualizacje zabezpieczeń

9. Przetwarzanie przez sztuczną inteligencję (AI)

Serwis wykorzystuje modele językowe dostarczane przez Anthropic PBC (rodzina modeli Claude) do generowania odpowiedzi bota w Twoim imieniu. Oznacza to, że:

Treści wiadomości leadów oraz Twoja konfiguracja bota są przesyłane do API Anthropic
Anthropic przetwarza dane zgodnie z własną polityką prywatności (anthropic.com/legal/privacy) i nie wykorzystuje ich do trenowania modeli
Stosujemy mechanizm prompt caching, który redukuje koszty i czas odpowiedzi, ale nie wpływa na poufność
Nie wykorzystujemy AI do profilowania, scoringu ani decyzji prawnie wiążących

10. Pliki cookies

Szczegółowe informacje znajdziesz w osobnej Polityce cookies. W skrócie — używamy wyłącznie cookies niezbędnych do działania serwisu (sesja, autoryzacja). Nie stosujemy cookies analitycznych ani marketingowych bez Twojej zgody.

11. Zmiany polityki

Możemy aktualizować niniejszą Politykę prywatności. O istotnych zmianach poinformujemy Cię e-mailem z co najmniej 14-dniowym wyprzedzeniem. Data ostatniej aktualizacji znajduje się na początku dokumentu.

12. Kontakt

W sprawach dotyczących przetwarzania danych osobowych napisz na:

E-mail: rodo@twojprywatnyasystent.pl
Adres pocztowy: ul. Wincentego Witosa 1 lok. 22, 09-200 Sierpc

Polityka prywatności