Polityka prywatności

POLITYKA PRYWATNOŚCI dla Platformy „CwanyKot.pl” Wersja 1.0 – obowiązuje od 24 sierpnia 2025 r. ⸻ §1. Administrator danych 1. Administratorem danych osobowych („Administrator”) jest Łukasz Driwa, e-mail: lukasz@driwa.pl. 2. Do momentu rejestracji działalności gospodarczej Administrator działa jako działalność nierejestrowana (art. 5 Prawa przedsiębiorców). Po rejestracji JDG dane firmy (nazwa, NIP, adres) zostaną uzupełnione i ogłoszone. 3. W sprawach prywatności i ochrony danych osobowych kontakt możliwy jest pod adresem: privacy@cwanykot.pl. ⸻ §2. Zakres zastosowania 1. Polityka dotyczy wszystkich użytkowników („Użytkownicy”) korzystających z Platformy, w tym z kursów online i modułu czatu AI („Czat AI”). 2. Dokument reguluje: a) jakie dane zbieramy, b) w jakich celach i na jakiej podstawie prawnej, c) komu dane ujawniamy, d) przez jaki czas je przechowujemy, e) jakie prawa przysługują Użytkownikowi, f) zasady dotyczące cookies i telemetryki, g) zasady związane z historią czatu AI, h) transfery danych poza EOG, i) środki bezpieczeństwa. ⸻ §3. Kategorie danych 1. Dane konta: adres e-mail, hasło (hash), identyfikatory techniczne konta. 2. Dane transakcyjne: identyfikator zamówienia, waluta/kwota, status płatności (pełne dane kart przetwarza wyłącznie operator płatności – Stripe). 3. Dane usługowe: historia zakupów, licznik Miauczków, logi zdarzeń. 4. Historia czatu AI: treści wprowadzone przez Użytkownika, wygenerowane odpowiedzi, metadane (czas, liczba zużytych Miauczków, flagi moderacji). 5. Telemetria: adres IP (pseudonimizowany, jeśli możliwe), fingerprint urządzenia (minimalny), przeglądarka, rozdzielczość, wydajność, błędy JS, kliknięcia. 6. Cookies i podobne technologie: cookies, localStorage, identyfikatory CMP (IAB TCF v2.2), identyfikatory reklamowe (za zgodą). 7. Dane wsparcia: korespondencja e-mail, zgłoszenia supportowe, pliki przesłane przez Użytkownika. ⸻ §4. Cele i podstawy prawne (RODO) 1. Realizacja umowy (art. 6 ust. 1 lit. b RODO): rejestracja, logowanie, kursy, rozliczanie Miauczków, działanie Czatu AI, reklamacje. 2. Obowiązki prawne (art. 6 ust. 1 lit. c): podatki, rachunkowość, odpowiedzi na żądania organów. 3. Uzasadniony interes (art. 6 ust. 1 lit. f): bezpieczeństwo, anty-fraud, logi techniczne, telemetryka, dochodzenie roszczeń. 4. Zgoda (art. 6 ust. 1 lit. a): marketing e-mail, cookies analityczne/reklamowe, program „ulepszania modeli AI”, sprzedaż danych stronom trzecim (USA – CPRA). 5. Szczególne kategorie danych: nie są gromadzone. Podawanie takich danych (np. zdrowotnych, PESEL) jest zakazane. ⸻ §5. Historia czatu AI 1. Historia czatu jest przechowywana w koncie Użytkownika przez 12 miesięcy w celu poprawy jakości i dowodowości reklamacji. 2. Użytkownik może: a) wyłączyć zapisywanie historii, b) usuwać poszczególne rozmowy, c) żądać całkowitego usunięcia historii. 3. Treści z czatu nie są używane do trenowania zewnętrznych modeli AI bez wyraźnej zgody Użytkownika (opcja opt-in). 4. Dane mogą być analizowane w celach bezpieczeństwa i moderacji. ⸻ §6. Telemetria i analityka 1. Telemetria (wydajność, błędy, statystyki) przetwarzana jest w uzasadnionym interesie z minimalizacją i możliwością sprzeciwu. 2. Analityka i reklama wymagają zgody poprzez baner CMP (IAB TCF v2.2). ⸻ §7. Cookies i podobne technologie 1. Cookies niezbędne – działanie serwisu, logowanie, bezpieczeństwo. 2. Cookies analityczne/reklamowe – tylko za zgodą, bez pre-zaznaczonych opcji, z możliwością wycofania w każdej chwili. 3. Szczegółowa lista plików cookies i dostawców znajduje się w Polityce cookies. ⸻ §8. Udostępnianie danych 1. Procesorzy: hosting (SeoHost), operator płatności (Stripe), dostawca AI (np. OpenAI), narzędzia bezpieczeństwa i analityki. 2. Niezależni administratorzy: Stripe (AML, anty-fraud), inni dostawcy wymienieni w Załączniku A. 3. Udostępnianie danych stronom trzecim dla ich własnych celów wyłącznie na podstawie zgody (opt-in). 4. Dla rezydentów Kalifornii dostępny jest link „Do Not Sell or Share My Personal Information” i obsługa sygnału GPC. 5. Dane mogą być ujawnione organom publicznym na podstawie prawa. ⸻ §9. Transfery poza EOG 1. Dane mogą być przetwarzane poza EOG (np. w USA) z zachowaniem zabezpieczeń prawnych: EU-US Data Privacy Framework (DPF) lub Standardowych Klauzul Umownych (SCC). 2. Stripe uczestniczy w DPF. 3. W razie braku uczestnictwa – stosowane są SCC oraz dodatkowe środki ochrony. ⸻ §10. Okresy przechowywania 1. Dane konta – czas trwania konta + 6 miesięcy. 2. Dane księgowe – 6–10 lat. 3. Historia czatu – 12 miesięcy (chyba że Użytkownik ją usunie). 4. Telemetria/logi – 3–6 miesięcy. 5. Cookies – zgodnie z okresem życia pliku. 6. Dane potrzebne do postępowań – do zakończenia sprawy. ⸻ §11. Prawa Użytkownika (UE/UK) 1. Prawo do: dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia, sprzeciwu, cofnięcia zgody. 2. Prawo do skargi do organu nadzorczego (PUODO, ICO). 3. Wnioski realizowane są do 30 dni (z możliwością przedłużenia). ⸻ §12. Prawa regionalne (USA) 1. CPRA/CCPA (Kalifornia): prawo do informacji, dostępu, usunięcia, sprostowania, ograniczenia wykorzystania danych wrażliwych, prawo do rezygnacji ze „sprzedaży” i „sharingu”. 2. Obsługujemy sygnał Global Privacy Control (GPC). 3. Dzieci < 16 lat: brak sprzedaży/udostępniania danych bez zgody opiekuna. 4. Pozostałe stany (VA, CO, CT, UT): honorujemy lokalne przepisy w zakresie prywatności. ⸻ §13. Bezpieczeństwo 1. Dane zabezpieczone są wielowarstwowo: szyfrowanie w tranzycie i spoczynku, kontrola dostępu, logowanie incydentów, testy bezpieczeństwa. 2. W przypadku naruszenia ochrony danych Administrator oceni ryzyko i – jeśli wymagane – poinformuje Użytkownika oraz organ nadzorczy. ⸻ §14. Dzieci 1. Platforma przeznaczona jest dla osób dorosłych. 2. Osoby poniżej 16 roku życia mogą korzystać wyłącznie za zgodą i nadzorem opiekuna. ⸻ §15. Profilowanie i decyzje automatyczne 1. Platforma nie stosuje zautomatyzowanego podejmowania decyzji wywołującego skutki prawne. 2. Personalizowane rekomendacje kursów bazują na historii użycia; Użytkownik może się temu sprzeciwić. ⸻ §16. Program „Ulepszanie modeli” (dobrowolny) 1. Użytkownik może dobrowolnie wyrazić zgodę na udostępnianie wybranych rozmów w celu ulepszania modeli AI. 2. Dane podlegają anonimizacji/pseudonimizacji. 3. Wyrażenie zgody odbywa się poprzez osobny checkbox. 4. Zgoda może być wycofana w każdej chwili. ⸻ §17. Rejestrowanie żądań i spory 1. Administrator prowadzi rejestr realizacji żądań związanych z RODO. 2. W przypadku sporów dane z historii czatu mogą być użyte w minimalnym niezbędnym zakresie. ⸻ §18. Zmiany Polityki 1. Administrator może zmienić Politykę w przypadku zmiany prawa, technologii lub usług. 2. O istotnych zmianach Użytkownik zostanie poinformowany e-mailem i/lub w serwisie. 3. Obowiązuje zawsze aktualna wersja. ⸻ §19. Realizacja praw 1. Wnioski dotyczące danych osobowych można składać przez panel „Prywatność” w stopce strony lub na adres: privacy@cwanykot.pl. 2. Termin realizacji – do 30 dni. ⸻ 📌 Załączniki (aktualizowane niezależnie): • Załącznik A – dostawcy/odbiorcy danych (Stripe, OpenAI, hosting). • Załącznik B – cookies i vendorzy CMP. • Załącznik C – obowiązki AI Act.