Polityka Prywatności

Niniejsza Polityka ma zastosowanie do następujących kategorii osób, których dane dotyczą:

• Klientów - firm i osób fizycznych, które subskrybują Usługę i z niej korzystają;
• Upoważnionych Użytkowników - osób upoważnionych przez Klientów do korzystania z Usługi za pośrednictwem konta Klienta;
• Odwiedzających stronę - osób, które odwiedzają setor.ai lub powiązane strony internetowe, w tym uczestników naszego quizu i osób przychodzących z reklam, niekoniecznie posiadających konto;
• Użytkowników końcowych - osób, które wchodzą w interakcję z kontem Instagram Klienta, w przypadku gdy Klient korzysta z Usługi (np. osób wysyłających wiadomości prywatne na konto Instagram Klienta).

Rozróżnienie: administrator a podmiot przetwarzający

W przypadku, gdy Setor AI przetwarza dane osobowe w imieniu Klienta (na przykład dane zawarte w wiadomościach prywatnych na Instagramie zarządzanych za pośrednictwem Usługi), Setor AI działa jako podmiot przetwarzający, a Klient jako administrator danych. Warunki mające zastosowanie do takiego przetwarzania określone są w Umowie powierzenia przetwarzania danych osobowych (UPP), stanowiącej Załącznik A do Regulaminu.

Niniejsza Polityka dotyczy przede wszystkim czynności przetwarzania danych przez Setor AI w roli administratora danych (tj. przetwarzania do własnych celów, takich jak zarządzanie kontem, rozliczenia, analityka, marketing, atrybucja reklamowa i komunikacja). W stosownych przypadkach niniejsza Polityka zapewnia również informacje dotyczące przejrzystości przetwarzania danych Użytkowników końcowych przez Setor AI jako podmiot przetwarzający, zgodnie z art. 13 i art. 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

1.1. Administrator danych

Administratorem danych osobowych przetwarzanych na podstawie niniejszej Polityki jest:

SETOR AI Spółka z ograniczoną odpowiedzialnością z siedzibą w Lublinie, ul. Tomasza Zana 1, 20-601 Lublin, Polska; wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0001202220, prowadzonego przez Sąd Rejonowy Lublin-Wschód w Lublinie z siedzibą w Świdniku, VI Wydział Gospodarczy; NIP 7123502599 (VAT UE: PL7123502599); REGON 543088690.

1.2. Kontakt w sprawach prywatności

We wszelkich sprawach dotyczących prywatności, w tym w celu składania wniosków i zgłaszania wątpliwości, prosimy o kontakt pod adresem office@setor.ai.

Dążymy do udzielenia odpowiedzi na wszystkie zapytania dotyczące prywatności w ciągu pięciu (5) dni roboczych oraz do rozpatrzenia wniosków merytorycznych w ciągu trzydziestu (30) dni kalendarzowych, z zastrzeżeniem możliwości przedłużenia terminu przewidzianego przez obowiązujące prawo.

1.3. Punkt Kontaktowy ds. Prywatności oraz Inspektor Ochrony Danych

Setor AI wyznaczył Punkt Kontaktowy ds. Prywatności w celu zapewnienia zgodności z RODO, dostępny pod adresem office@setor.ai. Jeżeli będzie to wymagane przez obowiązujące prawo (w szczególności na podstawie art. 37 RODO), zostanie formalnie wyznaczony Inspektor Ochrony Danych (IOD), z którym kontakt będzie możliwy pod adresem office@setor.ai, a jego dane zostaną opublikowane w tym miejscu oraz przekazane organowi nadzorczemu (Prezesowi UODO).

2.1. Zakres terytorialny

Niniejsza Polityka ma zastosowanie do wszelkich operacji przetwarzania danych osobowych prowadzonych przez Setor AI w kontekście jego siedziby w Unii Europejskiej (Polska), niezależnie od miejsca pobytu osób, których dane dotyczą (art. 3 ust. 1 RODO).

Niniejsza Polityka ma również zastosowanie do przetwarzania danych osobowych osób przebywających na terytorium Unii Europejskiej, w przypadku gdy przetwarzanie jest związane z: (a) oferowaniem towarów lub usług takim osobom; lub (b) monitorowaniem ich zachowania na terytorium Unii Europejskiej (art. 3 ust. 2 RODO).

2.2. Związek z innymi dokumentami

Niniejszą Politykę należy czytać łącznie z następującymi dokumentami:

• Regulamin (dostępny pod adresem setor.ai/terms), który reguluje stosunki umowne między Setor AI a Klientami;
• Umowa powierzenia przetwarzania danych osobowych (Załącznik A do Regulaminu), która reguluje przetwarzanie danych osobowych przez Setor AI jako podmiot przetwarzający w imieniu Klientów;
• Polityka plików cookie (dostępna pod adresem setor.ai/cookies), która szczegółowo opisuje nasze wykorzystanie plików cookie i podobnych technologii śledzenia;
• Lista dalszych podmiotów przetwarzających (dostępna na życzenie Klientów lub za pośrednictwem portalu Klienta), zawierająca informacje o aktualnych dalszych podmiotach przetwarzających.

W przypadku sprzeczności między niniejszą Polityką a UPP w zakresie czynności przetwarzania danych jako podmiot przetwarzający, pierwszeństwo ma UPP.

2.3. Podstawa przetwarzania - brak zgody dorozumianej

Zbieramy i przetwarzamy następujące kategorie danych osobowych, w zależności od sposobu korzystania z naszej Usługi:

3.1. Dane konta

• Dane identyfikacyjne: imię i nazwisko, stanowisko, rola biznesowa;
• Dane kontaktowe: służbowy adres e-mail, numer telefonu (jeśli podany);
• Dane firmowe: nazwa firmy, wielkość firmy, strona internetowa firmy, sektor działalności;
• Dane uwierzytelniające: nazwa użytkownika, hasło (przechowywane w postaci skrótu kryptograficznego z wykorzystaniem standardowych algorytmów branżowych), dane uwierzytelniania wieloskładnikowego;
• Dane subskrypcji: wybrany plan cenowy, status subskrypcji, informacje o okresie próbnym;
• Rejestry zgód: znacznik czasu i wersja zaakceptowanego Regulaminu oraz Polityki Prywatności, adres IP i identyfikator przeglądarki w momencie wyrażenia zgody (do celów audytu i rozliczalności).

3.2. Dane konta Instagram (za pośrednictwem Meta API)

W ramach podstawowej funkcjonalności Usługi integrujemy się z platformą Instagram firmy Meta za pośrednictwem Meta API. W ramach tej integracji uzyskujemy dostęp do następujących danych i je przetwarzamy:

• Identyfikatory konta biznesowego lub twórcy na Instagramie oraz informacje profilowe (nazwa użytkownika, nazwa wyświetlana, zdjęcie profilowe, liczba obserwujących, kategoria konta);
• Informacje o stronie Instagram powiązanej z połączonym kontem;
• Uprawnienia i tokeny dostępu przyznane Setor AI przez Klienta w ramach procesu autoryzacji Meta;
• Status połączenia konta i dane dotyczące funkcjonowania integracji;
• Statystyki konta Instagram i wskaźniki zaangażowania (w zakresie autoryzowanym przez Klienta).

Setor AI jest Zweryfikowanym Partnerem Technologicznym Meta. Dane te są przetwarzane wyłącznie w celu zapewnienia funkcjonalności Usługi, zgodnie z Warunkami Platformy Meta i Regulaminem Platformy Instagram.

3.3. Dane konta Google (za pośrednictwem Google APIs)

W przypadku gdy Klienci łączą usługi Google (takie jak Kalendarz Google do planowania spotkań lub Arkusze Google do eksportu danych), uzyskujemy dostęp do następujących danych i je przetwarzamy:

• Identyfikator konta Google i adres e-mail;
• Tokeny dostępu i tokeny odświeżania OAuth 2.0 przyznane w ramach procesu autoryzacji Google;
• Dane z połączonych usług Google autoryzowane przez Klienta (np. dostępność kalendarza, dane arkuszy kalkulacyjnych);
• Metadane dotyczące korzystania z Google API.

Zgodność z Polityką danych użytkownika usług Google API: Wykorzystanie i przekazywanie informacji otrzymanych z Google APIs przez Setor AI jest zgodne z Polityką danych użytkownika usług Google API, w tym z wymogami ograniczonego wykorzystania (Limited Use). W szczególności nie wykorzystujemy danych użytkownika Google do celów reklamowych, do trenowania modeli AI ani uczenia maszynowego, a dostęp uzyskujemy wyłącznie w zakresie niezbędnym do funkcji wyraźnie włączonych przez Klienta.

3.4. Treść wiadomości (wiadomości prywatne na Instagramie)

Podstawowym elementem Usługi jest przetwarzanie wiadomości prywatnych na Instagramie (DM) w celu umożliwienia automatycznego zarządzania konwersacjami. Obejmuje to:

• Treść przychodzących i wychodzących wiadomości prywatnych na Instagramie;
• Metadane wątków konwersacji (znaczniki czasu, identyfikatory wiadomości, identyfikatory uczestników);
• Typy załączników i metadane multimediów (w stosownych przypadkach);
• Etykiety, tagi i notatki przypisane przez Klientów do konwersacji;
• Treść zautomatyzowanych odpowiedzi wygenerowanych przez Usługę;
• Dane dotyczące klasyfikacji i oceny konwersacji (np. wyniki kwalifikacji leadów, wskaźniki sentymentu).

Treść wiadomości może zawierać dane osobowe dotyczące kontaktów Klienta na Instagramie (Użytkowników końcowych). W odniesieniu do takich danych osób trzecich Klient jest administratorem danych, a Setor AI przetwarza te dane wyłącznie w imieniu Klienta na podstawie UPP.

3.5. Dane dotyczące korzystania z Usługi i analityka

• Dane dotyczące korzystania z funkcji (do których funkcji uzyskano dostęp, częstotliwość korzystania, wzorce interakcji);
• Informacje o sesji (znaczniki czasu logowania, czas trwania sesji, identyfikatory sesji);
• Dane dotyczące wydajności (czas ładowania, zdarzenia błędów, metryki odpowiedzi API);
• Dane konfiguracyjne (ustawienia, reguły automatyzacji, konfiguracje szablonów zapisane przez Klienta);
• Dane dotyczące postępu onboardingu i ukończenia kreatora konfiguracji;
• Dane dotyczące metryk użytkowania (przetworzone wiadomości, zaangażowane kontakty, wywołania API, akcje automatyzacji) zbierane na potrzeby rozliczeń opartych na użytkowaniu, określania poziomu cenowego oraz zarządzania kontem.

3.6. Dane płatnicze

Obsługę rozliczeń i płatności realizuje nasz zewnętrzny dostawca usług płatniczych, Stripe, Inc. Nie przechowujemy pełnych numerów kart kredytowych ani debetowych, kodów CVV ani danych kont bankowych w naszych systemach. Zbieramy i przechowujemy:

• Imię i nazwisko do celów rozliczeniowych oraz adres rozliczeniowy;
• Ostatnie cztery cyfry karty płatniczej (do celów wyświetlania i identyfikacji);
• Identyfikatory i referencje transakcji płatniczych;
• Historię rozliczeń subskrypcji, rejestry faktur i status płatności;
• Numery identyfikacji podatkowej (w stosownych przypadkach, do celów fakturowania).

Wszelkie dane kart płatniczych są zbierane, przechowywane i przetwarzane wyłącznie przez Stripe zgodnie ze standardami PCI-DSS Level 1.

3.7. Dane techniczne, adres IP i geolokalizacja serwerowa

Automatycznie zbieramy określone dane techniczne podczas odwiedzin naszej strony internetowej lub korzystania z naszej aplikacji:

• Adres IP - zbierany i wykorzystywany w pełnej postaci do celów bezpieczeństwa, zapobiegania nadużyciom oraz routingu i równoważenia ruchu; adres IP stanowi daną osobową (wyrok TSUE w sprawie C-582/14 Breyer);
• Geolokalizacja serwerowa wyprowadzona z adresu IP - przybliżony kraj, miasto, kod regionu oraz przybliżone współrzędne geograficzne na poziomie miejscowości, ustalane na podstawie adresu IP; nie korzystamy z precyzyjnej geolokalizacji urządzenia (GPS) bez Twojej odrębnej zgody;
• Typ i wersja przeglądarki oraz identyfikator przeglądarki (user agent);
• System operacyjny i typ urządzenia;
• URL strony odsyłającej i strona wyjściowa;
• Informacje o sieci i połączeniu;
• Strefa czasowa i ustawienia językowe.

3.8. Dane plików cookie i śledzenia

Używamy plików cookie i podobnych technologii śledzenia na naszej stronie internetowej i w aplikacji. Obejmuje to własne pliki cookie do zarządzania sesjami i uwierzytelniania (nie wymagające zgody), a także analityczne i marketingowe pliki cookie, które ładowane są wyłącznie po wyrażeniu Twojej uprzedniej zgody. Pełne informacje znajdują się w naszej Polityce plików cookie dostępnej pod adresem setor.ai/cookies.

3.9. Dane atrybucji marketingowej, reklamowej i analityki konwersji

Gdy odwiedzasz naszą stronę internetową za pośrednictwem kampanii marketingowej lub bierzesz udział w naszym quizie kwalifikacyjnym, możemy zbierać i przetwarzać:

• Parametry UTM (source, medium, campaign, content, term);
• Identyfikatory kliknięć (np. identyfikator kliknięcia Meta - `fbclid`);
• Informacje o stronie odsyłającej oraz URL strony docelowej;
• Identyfikator wyniku quizu oraz zdarzenia konwersji (np. rozpoczęcie quizu, zakwalifikowany wynik quizu, rejestracja, rozpoczęcie subskrypcji);
• Zdarzenia analityczne i, po wyrażeniu zgody, dane z nagrywania sesji oraz pikseli reklamowych;
• Hashowane (skrótowane) identyfikatory, takie jak skrót adresu e-mail, używane do dopasowania konwersji w narzędziach reklamowych;
• Skrót adresu IP (ip_hash) - pseudonim wyliczany funkcją skrótu z połączenia adresu IP oraz identyfikatora wyniku quizu, służący wyłącznie do łączenia zdarzeń tego samego leada między urządzeniami w naszej analityce. Surowego adresu IP nie zapisujemy w analityce, a sam ip_hash nie służy do identyfikacji ani do łączenia różnych osób korzystających z tego samego adresu (np. za NAT).

Parametry UTM i podstawowe dane o stronie odsyłającej przechowywane są w pliku cookie własnym z ograniczonym okresem ważności i wykorzystywane do wewnętrznej atrybucji marketingowej. Pozostałe cele reklamowe (piksele, Conversions API, nagrywanie sesji, łączenie tożsamości na potrzeby remarketingu) realizujemy wyłącznie na podstawie Twojej zgody, zgodnie z sekcją 4 i sekcją 15.

3.10. Dane komunikacyjne

• Twoje dane kontaktowe (imię i nazwisko, adres e-mail);
• Treść Twojej komunikacji i wszelkie załączniki;
• Metadane dotyczące komunikacji (data, godzina, temat).

Przetwarzamy dane osobowe wyłącznie w przypadku istnienia ważnej podstawy prawnej wynikającej z art. 6 RODO. Poniższa tabela zawiera wyczerpujące zestawienie poszczególnych czynności przetwarzania, zgodnie z wymogami art. 13 ust. 1 lit. c)-d) i art. 14 ust. 1 lit. c)-d) RODO:

Testy równowagi prawnie uzasadnionych interesów: W przypadku powoływania się na prawnie uzasadnione interesy (art. 6 ust. 1 lit. f RODO) przeprowadziliśmy testy równowagi, zestawiające nasze interesy z prawami i wolnościami osób, których dane dotyczą. Oceny te są dokumentowane wewnętrznie i dostępne do wglądu organu nadzorczego na żądanie. Możesz uzyskać informacje o konkretnym teście równowagi, kontaktując się pod adresem office@setor.ai.

5.1. Setor AI jako konfigurowalne narzędzie

Setor AI dostarcza Klientowi konfigurowalne narzędzie oparte na sztucznej inteligencji i uczeniu maszynowym. To Klient samodzielnie konfiguruje personę AI, w tym sposób, w jaki persona przedstawia się rozmówcy, reguły automatyzacji, szablony odpowiedzi oraz parametry zachowania. Technologie AI umożliwiają kluczowe funkcjonalności Usługi, w tym:

• Przetwarzanie języka naturalnego: rozumienie intencji, kontekstu i znaczenia przychodzących wiadomości na Instagramie;
• Automatyczne generowanie odpowiedzi: generowanie kontekstowo odpowiednich i spersonalizowanych odpowiedzi na podstawie kontekstu konwersacji i skonfigurowanych przez Klienta reguł;
• Klasyfikacja i kierowanie konwersacji: kategoryzowanie konwersacji według tematu, intencji, pilności lub etapu sprzedaży;
• Analiza sentymentu: analiza tonu wiadomości w celu określenia odpowiedniej strategii odpowiedzi;
• Kwalifikacja leadów: identyfikacja i ocena potencjalnych klientów na podstawie sygnałów z konwersacji;
• Moderacja treści i filtrowanie bezpieczeństwa: weryfikacja treści w celu zapobiegania nadużyciom.

5.2. Integralny charakter przetwarzania przez AI

Przetwarzanie przez AI stanowi integralną część Usługi i jest niezbędne do wykonania umowy z Klientem. Bez przetwarzania przez AI podstawowa funkcjonalność automatyzacji Usługi nie może być realizowana. Subskrybując i korzystając z Usługi, Klient przyjmuje do wiadomości i akceptuje wykorzystanie technologii AI do tych celów, zgodnie z Regulaminem.

5.3. Partnerzy technologiczni i poufność

Współpracujemy z wyspecjalizowanymi partnerami technologicznymi dostarczającymi infrastrukturę AI i uczenia maszynowego. Konkretni dostawcy, modele i konfiguracje mogą zmieniać się w czasie. Aktualna lista dalszych podmiotów przetwarzających w zakresie AI/ML jest prowadzona w naszej Liście dalszych podmiotów przetwarzających (sekcja 8 zawiera aktualne zestawienie podmiotów), dostępnej dla Klientów na życzenie pod adresem office@setor.ai oraz aktualizowanej zgodnie z procedurą zmiany podprocesorów (sekcja 8.3).

5.4. Minimalizacja danych i brak trenowania na danych Klientów

• Treść wiadomości jest przekazywana do infrastruktury przetwarzania AI wyłącznie w zakresie niezbędnym do realizacji żądanej funkcjonalności;
• Brak trenowania na danych Klientów: nie wykorzystujemy danych Klientów ani treści wiadomości Użytkowników końcowych do ogólnego trenowania, dostrajania (fine-tuning) ani ulepszania modeli AI bez odrębnej, wyraźnej zgody. Nasze umowy z dalszymi podmiotami przetwarzającymi AI umownie zabraniają wykorzystywania danych przetwarzanych za pośrednictwem Usługi do ich ogólnego trenowania modeli;
• Przetwarzanie przejściowe: dane wejściowe i wyjściowe AI są przetwarzane w czasie rzeczywistym i nie są przechowywane przez dalsze podmioty przetwarzające AI po zakończeniu sesji, z wyjątkiem ograniczonego logowania w celu zapobiegania nadużyciom (zazwyczaj do 30 dni, automatycznie usuwane);
• Brak przetwarzania krzyżowego między Klientami: dane z konta jednego Klienta nigdy nie są wykorzystywane do ulepszania ani wpływania na Usługę dla innego Klienta.

5.5. Ulepszanie produktu na danych zagregowanych i zanonimizowanych

W celu utrzymania i ulepszania jakości oraz bezpieczeństwa Usługi możemy przetwarzać dane w postaci zagregowanej lub nieodwracalnie zanonimizowanej (np. statystyki skuteczności, zbiorcze metryki jakości odpowiedzi, wskaźniki błędów). Podstawą takiego przetwarzania jest nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO). W odniesieniu do tak wytworzonych danych pochodnych i zagregowanych Setor AI działa jako administrator; treść i dane Klienta pozostają jego własnością i nie są wykorzystywane poza opisanymi celami. Nie traktujemy danych zagregowanych jako automatycznie wyłączonych spod RODO - dopóki możliwe jest ponowne zidentyfikowanie osoby, stosujemy do nich wszystkie zabezpieczenia.

5.6. Nadzór ludzki

Klienci zachowują realną kontrolę nad wynikami generowanymi przez AI poprzez: konfigurację reguł, szablonów i parametrów zachowania persony AI w panelu sterowania; możliwość przeglądania, edytowania, nadpisywania lub usuwania dowolnej odpowiedzi przed jej wysłaniem lub po wysłaniu; wgląd do wszystkich zautomatyzowanych konwersacji; możliwość wstrzymania lub wyłączenia automatyzacji AI w dowolnym momencie. Szczegóły zawiera sekcja 12.

6.1. Przegląd

Setor AI może integrować się z usługami Google w przypadku, gdy Klienci autoryzują takie połączenia. Niniejsza sekcja zapewnia szczegółową przejrzystość w zakresie przetwarzania przez nas danych uzyskanych za pośrednictwem Google APIs, zgodnie z Polityką danych użytkownika usług Google API.

6.2. Usługi Google, do których możemy uzyskać dostęp

6.3. Zasady przetwarzania danych Google

a) Niezbędność i proporcjonalność: żądamy wyłącznie minimalnych zakresów uprawnień OAuth niezbędnych do realizacji konkretnych funkcji włączonych przez Klienta.

b) Ograniczenie celu: dane użytkownika Google są wykorzystywane wyłącznie w celu zapewnienia funkcji integracyjnej autoryzowanej przez Klienta, nigdy do reklamy, profilowania ani wzbogacania danych między usługami.

c) Brak wtórnego wykorzystania: dane użytkownika Google nigdy nie są wykorzystywane do reklamy, trenowania modeli AI, sprzedaży lub licencjonowania stronom trzecim, oceny zdolności kredytowej ani jakiegokolwiek celu niezwiązanego z autoryzowaną integracją.

d) Przechowywanie danych: tokeny Google API są szyfrowane w stanie spoczynku (AES-256), unieważniane i usuwane w ciągu 30 dni od odłączenia integracji lub zamknięcia konta. Dane połączonych usług nie są przechowywane poza aktywną sesją.

e) Ograniczenia dostępu dla pracowników: pracownicy uzyskują dostęp do surowych danych Google wyłącznie gdy Klient wyraził wyraźną zgodę, jest to niezbędne dla bezpieczeństwa, wymagane prawem lub gdy dane zostały zanonimizowane na potrzeby metryk operacyjnych.

6.4. Bezpieczeństwo tokenów Google OAuth

• Tokeny Google OAuth są szyfrowane w stanie spoczynku przy użyciu szyfrowania AES-256;
• Tokeny są przesyłane wyłącznie przez połączenia szyfrowane TLS 1.3;
• Dostęp do magazynu tokenów jest ograniczony przy pomocy kontroli dostępu opartej na rolach;
• Klienci mogą cofnąć dostęp Setor AI w dowolnym momencie za pośrednictwem myaccount.google.com/permissions.

6.5. Rola Google

Google przetwarza dane przesyłane za pośrednictwem swoich API zgodnie z własną Polityką prywatności Google. Setor AI nie kontroluje ani nie ponosi odpowiedzialności za przetwarzanie danych przez Google na jego własnych platformach.

7.1. Przegląd

Integracja z Instagramem stanowi podstawową funkcjonalność Usługi. Niniejsza sekcja zapewnia szczegółową przejrzystość w zakresie przetwarzania danych osobowych w związku z Instagramem, zarówno dla Klientów, jak i dla Użytkowników końcowych.

7.2. Kategorie danych specyficzne dla Instagrama

7.3. Informacje dla Użytkowników końcowych (uczestników konwersacji DM)

a) Kto jest administratorem Twoich danych: administrator konta Instagram, do którego wysłałeś/-aś wiadomość, jest administratorem danych w odniesieniu do treści Twoich wiadomości DM i powiązanych danych. Setor AI przetwarza te dane w jego imieniu jako podmiot przetwarzający.

b) Co się dzieje z Twoimi wiadomościami: Twoje wiadomości mogą być przetwarzane przez technologię AI w celu generowania odpowiedzi, klasyfikacji konwersacji i/lub przekierowania jej do przedstawiciela. Konkretne przetwarzanie zależy od konfiguracji właściciela konta.

c) Twoje prawa: wszelkie żądania dotyczące praw osób, których dane dotyczą, należy kierować do właściciela konta Instagram (administratora danych). Możesz również skontaktować się z Setor AI pod adresem office@setor.ai, a my przekażemy Twoje żądanie odpowiedniemu Klientowi lub pomożemy w jego realizacji w zakresie naszych zobowiązań.

d) Przejrzystość AI: zgodnie z Aktem o sztucznej inteligencji UE (art. 50) Klient, jako podmiot konfigurujący personę i wdrażający narzędzie wobec swojej publiczności, odpowiada za poinformowanie Użytkowników końcowych o interakcji z systemem AI. Setor AI dostarcza zdolność takiego ujawnienia (konfigurowalny komunikat). Szczegóły zawiera sekcja 17.

e) Przechowywanie danych: dane Twoich wiadomości są przechowywane przez okres trwania subskrypcji Klienta i usuwane w ciągu 180 dni od zamknięcia konta Klienta. Klient może usunąć poszczególne konwersacje w dowolnym momencie.

7.4. Zgodność z Platformą Meta

• Warunkami Platformy Meta - regulującymi dopuszczalne korzystanie z API Meta;
• Regulaminem Platformy Instagram - dotyczącym dostępu do API Instagrama;
• Meta Data Use Checkup - okresową weryfikacją zgodności przez Meta;
• Meta App Review - uprawnieniami zwalidowanymi w ramach procesu przeglądu Meta.

Setor AI jest Zweryfikowanym Partnerem Technologicznym Meta, co potwierdza przestrzeganie standardów technicznych, wymogów dotyczących przetwarzania danych i praktyk bezpieczeństwa Meta.

7.5. Ryzyka związane z kontem Instagram

Klienci powinni mieć świadomość, że Meta może niezależnie ograniczyć, zawiesić lub zakończyć dostęp do kont Instagram lub Instagram API z powodów pozostających poza kontrolą Setor AI, w tym naruszeń regulaminu, nietypowych wzorców aktywności, egzekwowania wytycznych społeczności lub zmian na poziomie platformy. Szczegółowe postanowienia znajdują się w Regulaminie.

8.1. Kategorie odbiorców

Dane osobowe możemy udostępniać dalszym podmiotom przetwarzającym działającym w naszym imieniu na warunkach zgodnych z art. 28 RODO (umowy powierzenia z odpowiednimi środkami technicznymi i organizacyjnymi), niezależnym administratorom (np. Stripe, Meta dla własnych celów), profesjonalnym doradcom (prawnikom, księgowym, audytorom z obowiązkiem poufności), organom regulacyjnym i organom ścigania (gdy wymaga tego prawo), a także stronom transakcji w razie fuzji lub przejęcia (z ciągłością zobowiązań ochrony danych). Definiujemy kategorie podprocesorów szeroko, co umożliwia wymianę dostawcy w ramach danej kategorii bez aneksu, z zachowaniem procedury zmiany opisanej w sekcji 8.3.

8.2. Lista dalszych podmiotów przetwarzających

Poniższa tabela zawiera aktualne zestawienie dalszych podmiotów przetwarzających oraz innych odbiorców. Dla każdego podmiotu z siedzibą w USA wskazano mechanizm transferu (DPF i/lub standardowe klauzule umowne SCC z oceną skutków transferu - TIA). Kolumna 'Trenuje na danych' wskazuje, czy podmiot wykorzystuje przekazane dane do trenowania własnych modeli.

8.3. Ogólna autoryzacja podprocesorów i prawo sprzeciwu

Korzystając z Usługi, Klient udziela Setor AI ogólnej pisemnej zgody na korzystanie z dalszych podmiotów przetwarzających, w tym ich zmianę i dodawanie nowych, zgodnie z art. 28 ust. 2 i 4 RODO. Procedura zmiany jest następująca:

1. Setor AI powiadamia Klienta o zamiarze dodania lub zmiany dalszego podmiotu przetwarzającego z wyprzedzeniem co najmniej czternastu (14) dni;
2. Klient może wnieść sprzeciw wyłącznie z udokumentowanych, uzasadnionych przyczyn związanych z ochroną danych dotyczących danego podmiotu;
3. Brak sprzeciwu w terminie 14 dni oznacza akceptację zmiany;
4. W razie zasadnego sprzeciwu jedynym środkiem Klienta jest wypowiedzenie tej części Usługi, której dotyczy sporny podmiot, bez prawa do innych roszczeń z tego tytułu.

8.4. Udostępnianie danych zagregowanych - brak handlu danymi osobowymi

Setor AI nie prowadzi działalności w zakresie pośrednictwa w handlu danymi osobowymi ani sprzedaży danych osobowych umożliwiających identyfikację konkretnej osoby w rozumieniu przepisów o ochronie danych. Zastrzegamy sobie natomiast prawo do udostępniania, publikowania lub komercyjnego wykorzystywania zanonimizowanych i zagregowanych danych statystycznych oraz wniosków (insightów), które nie pozwalają na zidentyfikowanie żadnej osoby fizycznej, na przykład w postaci zbiorczych raportów rynkowych i benchmarków branżowych.

9.1. Mechanizmy transferu

Niektórzy z dostawców opisanych w sekcji 8 mają siedzibę poza Europejskim Obszarem Gospodarczym (EOG), w tym w Stanach Zjednoczonych. Gdy przekazujemy dane osobowe poza EOG, zapewniamy stosowanie odpowiednich zabezpieczeń, w tym co najmniej jednego z poniższych:

• Standardowe klauzule umowne (SCC): transfer regulowany przez SCC przyjęte na mocy decyzji wykonawczej Komisji (UE) 2021/914, z ewentualnymi uzupełnieniami;
• Ramy ochrony danych UE-USA (DPF): transfer do podmiotów amerykańskich certyfikowanych w ramach DPF administrowanych przez Departament Handlu USA;
• Decyzja o adekwatności: transfer do państwa uznanego przez Komisję Europejską za zapewniające odpowiedni stopień ochrony danych (art. 45 RODO).

9.2. Oceny skutków transferu (TIA)

Zgodnie z Zaleceniami EROD 01/2020 (przyjętymi w następstwie wyroku TSUE w sprawie Schrems II, C-311/18) przeprowadzamy Oceny skutków transferu (TIA) dla każdego dalszego podmiotu przetwarzającego zlokalizowanego poza EOG. Oceny te uwzględniają ramy prawne państwa przeznaczenia (np. amerykańska FISA Section 702, Executive Order 14086), praktyczne doświadczenia podmiotu w zakresie wniosków władz, skuteczność środków uzupełniających oraz charakter i wrażliwość przekazywanych danych. Dla podmiotów będących wyłącznie bramami do modeli (np. OpenRouter) stosujemy zaostrzoną ocenę i minimalizację zakresu danych.

9.3. Środki uzupełniające

• Środki techniczne: szyfrowanie w transmisji (TLS 1.3) i w stanie spoczynku (AES-256); pseudonimizacja, gdy jest to wykonalne; minimalizacja przekazywanych danych;
• Środki umowne: umowy powierzenia zawierające SCC z dodatkowymi klauzulami ochronnymi; zobowiązania do kwestionowania nieproporcjonalnych wniosków władz; obowiązki powiadamiania (w zakresie prawnie dopuszczalnym);
• Środki organizacyjne: kontrole dostępu ograniczające personel; regularne audyty zgodności; szkolenia pracowników.

9.4. Prawo do uzyskania informacji

Osoby, których dane dotyczą, mają prawo zażądać kopii SCC i środków uzupełniających mających zastosowanie do transferu ich danych. Wnioski należy kierować na adres office@setor.ai. Niektóre warunki handlowe mogą zostać zanonimizowane w celu ochrony poufności, jednak zobowiązania dotyczące ochrony danych zostaną udostępnione w całości.

Setor AI obsługuje Klientów z całego świata, w tym Klientów mających siedzibę lub działających poza Unią Europejską i Europejskim Obszarem Gospodarczym. Niniejsza sekcja określa dodatkowe zasady mające zastosowanie do takich Klientów oraz do transferów danych odbywających się w obie strony - do i z Unii Europejskiej.

9A.1. Gwarancja zgodności z prawem jurysdykcji Klienta

Klient gwarantuje i zapewnia, że jego korzystanie z Usługi oraz kontaktowanie się ze swoją publicznością (odbiorcami, kontaktami, Użytkownikami końcowymi) jest zgodne z prawem właściwym dla jego jurysdykcji oraz jurysdykcji jego odbiorców. Obejmuje to w szczególności:

• Lokalne prawo marketingu i komunikacji elektronicznej - w tym w Stanach Zjednoczonych ustawę Telephone Consumer Protection Act (TCPA) oraz Controlling the Assault of Non-Solicited Pornography And Marketing Act (CAN-SPAM Act), a także odpowiedniki w innych państwach (np. CASL w Kanadzie);
• Lokalne prawo ochrony konsumentów - w tym wymogi dotyczące rzetelnych praktyk handlowych i informowania konsumentów;
• Lokalne wymogi ujawnienia korzystania z AI - w tym obowiązki informowania osób, że kontaktują się z systemem sztucznej inteligencji (np. art. 50 Aktu o sztucznej inteligencji UE, a w USA przepisy stanowe takie jak kalifornijski Bolstering Online Transparency Act - 'B.O.T. Act');
• Lokalne prawo ochrony danych - w tym w Stanach Zjednoczonych California Consumer Privacy Act zmieniony przez California Privacy Rights Act (CCPA/CPRA) oraz inne stanowe i krajowe przepisy o ochronie prywatności.

Klient ponosi wyłączną odpowiedzialność za uzyskanie wszelkich zgód i podstaw prawnych wymaganych przez prawo właściwe dla niego i jego odbiorców oraz zwalnia Setor AI z odpowiedzialności (indemnizacja) i zobowiązuje się naprawić szkodę oraz pokryć uzasadnione koszty (w tym koszty obsługi prawnej) wynikające z naruszenia przez Klienta przepisów wskazanych w niniejszej sekcji.

9A.2. Dwukierunkowe transfery danych i mechanizm dla USA

Transfery danych osobowych w ramach Usługi odbywają się w obie strony - zarówno do Unii Europejskiej, jak i z Unii Europejskiej do państw trzecich. W odniesieniu do transferów do Stanów Zjednoczonych podstawowym mechanizmem jest Ramy ochrony danych UE-USA (EU-US Data Privacy Framework, DPF) dla podmiotów certyfikowanych, z automatycznym mechanizmem zastępczym (fallback) w postaci standardowych klauzul umownych (SCC) przyjętych decyzją wykonawczą Komisji (UE) 2021/914 wraz z przeprowadzaną oceną skutków transferu (TIA) oraz środkami uzupełniającymi opisanymi w sekcji 9. Jeżeli certyfikacja DPF danego podmiotu wygaśnie, zostanie cofnięta lub utraci ważność, transfer pozostaje objęty obowiązującymi SCC bez przerwy w ochronie.

9A.3. Prawo właściwe i zgodność lokalna

Niezależnie od miejsca siedziby Klienta, prawem właściwym dla niniejszej Polityki oraz dla relacji z Setor AI pozostaje prawo polskie oraz bezpośrednio obowiązujące przepisy prawa Unii Europejskiej (sekcja 21). Setor AI odpowiada za zgodność Usługi z prawem polskim i unijnym, natomiast za zgodność z lokalnym prawem właściwym dla jurysdykcji Klienta i jego odbiorców odpowiada Klient.

9A.4. Klauzula eksportowo-sankcyjna

Przechowujemy dane osobowe wyłącznie przez okres niezbędny do realizacji celów, dla których zostały zebrane, do wypełnienia obowiązków prawnych, rozstrzygania sporów i egzekwowania naszych umów, w granicach zasady ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO). Obowiązują następujące okresy przechowywania:

Procedury usuwania: po upływie obowiązującego okresu przechowywania dane osobowe są trwale usuwane lub nieodwracalnie anonimizowane w ciągu 30 dni, przy użyciu bezpiecznych metod odpowiednich dla nośnika danych.

Wnioski o wcześniejsze usunięcie: osoby, których dane dotyczą, mogą wnioskować o wcześniejsze usunięcie, korzystając z prawa do usunięcia danych (sekcja 11), z zastrzeżeniem wyjątków tam określonych.

Jeśli przebywasz na terytorium EOG lub w innym miejscu, w którym obowiązują lokalne przepisy dotyczące ochrony danych, przysługują Ci następujące prawa w odniesieniu do danych osobowych przetwarzanych przez Setor AI jako administratora danych:

11.1. Prawo dostępu (art. 15 RODO)

Masz prawo żądania potwierdzenia, czy przetwarzamy Twoje dane osobowe, a jeśli tak - uzyskania kopii tych danych wraz z informacjami uzupełniającymi, w tym o celach, kategoriach danych, odbiorcach, okresach przechowywania oraz istnieniu zautomatyzowanego podejmowania decyzji.

11.2. Prawo do sprostowania (art. 16 RODO)

Masz prawo żądania poprawienia nieprawidłowych danych osobowych oraz uzupełnienia niekompletnych danych, które posiadamy na Twój temat.

11.3. Prawo do usunięcia danych - prawo do bycia zapomnianym (art. 17 RODO)

Masz prawo żądania usunięcia Twoich danych osobowych, gdy: (a) dane nie są już niezbędne do celów, dla których zostały zebrane; (b) cofniesz zgodę, a inna podstawa prawna nie istnieje; (c) skorzystasz z prawa do sprzeciwu, a nie istnieją nadrzędne prawnie uzasadnione podstawy; (d) dane były przetwarzane niezgodnie z prawem; lub (e) usunięcie jest wymagane przez obowiązujące prawo.

Wyjątki: prawo to podlega wyjątkom, w tym gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego (np. dokumenty finansowe), do ustalenia, dochodzenia lub obrony roszczeń prawnych, lub do korzystania z prawa wolności wypowiedzi i informacji.

11.4. Prawo do ograniczenia przetwarzania (art. 18 RODO)

Masz prawo żądania ograniczenia przetwarzania, gdy kwestionujesz prawidłowość danych, przetwarzanie jest niezgodne z prawem i sprzeciwiasz się usunięciu, nie potrzebujemy już danych, ale Ty potrzebujesz ich do dochodzenia roszczeń, lub wniosłeś/-aś sprzeciw w oczekiwaniu na weryfikację.

11.5. Prawo do przenoszenia danych (art. 20 RODO)

W przypadku gdy przetwarzanie odbywa się na podstawie zgody lub wykonania umowy i jest prowadzone w sposób zautomatyzowany, masz prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (JSON lub CSV) oraz przesłać je innemu administratorowi, jeśli jest to technicznie wykonalne.

11.6. Prawo do sprzeciwu (art. 21 RODO)

Masz prawo w dowolnym momencie wnieść sprzeciw - z przyczyn związanych z Twoją szczególną sytuacją - wobec przetwarzania opartego na prawnie uzasadnionych interesach (art. 6 ust. 1 lit. f RODO), w tym wobec przetwarzania adresu IP i geolokalizacji serwerowej do celów bezpieczeństwa, antyfraudu i routingu (art. 21 ust. 1 RODO). Zaprzestaniemy przetwarzania, chyba że wykażemy istnienie ważnych prawnie uzasadnionych podstaw nadrzędnych wobec Twoich interesów, praw i wolności, lub gdy przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

11.7. Prawa związane z zautomatyzowanym podejmowaniem decyzji (art. 22 RODO)

Masz prawo, aby nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, która wywołuje wobec Ciebie skutki prawne lub w podobny sposób istotnie na Ciebie wpływa. Jak wskazano w sekcji 12, nasza Usługa co do zasady nie wywołuje takich decyzji, ponieważ materialne rozstrzygnięcia podejmuje człowiek (handlowiec lub Klient) dysponujący rzeczywistą swobodą oceny, a nie jedynie zatwierdzający wynik wygenerowany przez system.

11.8. Prawo do cofnięcia zgody

W przypadku gdy przetwarzanie odbywa się na podstawie zgody, możesz cofnąć zgodę w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem. Aby cofnąć zgodę:

• E-maile marketingowe: użyj linku do rezygnacji z subskrypcji w każdym e-mailu marketingowym;
• Zgoda na pliki cookie, analitykę i reklamę: użyj linku 'Ustawienia plików cookie' w stopce strony internetowej;
• Integracja z Google: odłącz w ustawieniach panelu sterowania lub cofnij dostęp w ustawieniach konta Google;
• Inne zgody: skontaktuj się pod adresem office@setor.ai.

11.9. Jak skorzystać z Twoich praw

Aby skorzystać z jakiegokolwiek prawa, złóż wniosek na adres office@setor.ai. Możemy zweryfikować Twoją tożsamość przed rozpatrzeniem wniosku, stosując najmniej inwazyjną metodę. Odpowiemy w ciągu trzydziestu (30) dni kalendarzowych, z możliwością przedłużenia o sześćdziesiąt (60) dni w przypadku skomplikowanych lub licznych wniosków. Odpowiedzi są bezpłatne; możemy naliczyć rozsądną opłatę za wnioski ewidentnie bezzasadne lub nadmierne. W przypadku gdy Setor AI przetwarza Twoje dane jako podmiot przetwarzający w imieniu Klienta, wnioski należy kierować do Klienta (administratora danych).

12.1. Charakter zautomatyzowanego przetwarzania

Usługa wykorzystuje sztuczną inteligencję i uczenie maszynowe do automatyzacji aspektów zarządzania wiadomościami prywatnymi na Instagramie, w tym generowania odpowiedzi, klasyfikacji konwersacji, oceny (kwalifikacji) leadów, analizy sentymentu oraz decyzji o kierowaniu konwersacji do odpowiednich przedstawicieli lub przepływów.

12.2. Profilowanie marketingowe i łączenie tożsamości (identity stitching)

W ramach naszych własnych działań marketingowych prowadzimy łączenie tożsamości osób w wielu urządzeniach i systemach (cross-device i cross-system) oraz profilowanie marketingowe. Dotyczy to w szczególności powiązania zdarzeń w ścieżce: udział w quizie na stronie, adres e-mail (oraz jego skrót), rekord w systemie CRM, zdarzenia konwersji w narzędziach reklamowych Meta oraz dane rozliczeniowe w Stripe. Celem jest mierzenie skuteczności reklam, atrybucja konwersji i prezentowanie trafniejszych komunikatów marketingowych.

Jednym z identyfikatorów używanych do tego celu jest skrót adresu IP (ip_hash) - pseudonim wyliczany funkcją skrótu z połączenia adresu IP oraz identyfikatora wyniku quizu. Wykorzystujemy go wyłącznie do łączenia zdarzeń tego samego leada między urządzeniami w naszej własnej analityce. Surowego adresu IP nie zapisujemy w analityce, a ip_hash nigdy nie pełni roli klucza tożsamości i nie służy do łączenia różnych osób korzystających z tego samego adresu IP (np. za NAT operatorskim). ip_hash powstaje dopiero po przejściu kwalifikowanego wyniku quizu i wyłącznie po wyrażeniu zgody analitycznej. Przechowujemy go do 36 miesięcy, a następnie usuwamy lub anonimizujemy.

12.3. Ocena na gruncie art. 22 RODO

Zarówno automatyzacja DM, jak i profilowanie marketingowe nie stanowią decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, wywołującej skutki prawne lub w podobny sposób istotnie wpływającej na osoby w rozumieniu art. 22 RODO, ponieważ:

• Człowiek w pętli: materialne decyzje handlowe (kontakt, oferta, sprzedaż) podejmuje człowiek - handlowiec lub Klient - dysponujący rzeczywistą swobodą oceny, a nie sam system. Setor AI nie podejmuje decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na osoby wyłącznie w sposób zautomatyzowany, ponieważ materialne rozstrzygnięcie należy do człowieka, który faktycznie waży i ocenia sprawę, a nie jedynie pieczętuje (akceptuje formalnie) wynik wygenerowany przez system;
• Nadzór i kontrola Klienta: Klienci konfigurują reguły, szablony i parametry, a także mogą przeglądać, edytować, nadpisywać lub usuwać wszelkie zautomatyzowane wyniki;
• Brak wiążących rozstrzygnięć wobec osób: Usługa nie podejmuje decyzji o charakterze kredytowym, zatrudnieniowym ani dostępie do usług kluczowych; profilowanie marketingowe służy doborowi komunikacji, a nie wykluczeniu kogokolwiek z dostępu do usług;
• Możliwość kontaktu z człowiekiem: Użytkownicy końcowi mogą zawsze poprosić o rozmowę z człowiekiem.

12.4. Twoje prawa informacyjne

Niezależnie od powyższej oceny zapewniamy przejrzystość: na żądanie udzielimy zrozumiałego wyjaśnienia logiki naszego profilowania marketingowego oraz jego znaczenia i przewidywanych konsekwencji. Możesz zakwestionować wszelką klasyfikację lub ocenę oraz wnieść sprzeciw, kontaktując się pod adresem office@setor.ai.

12.5. Przejrzystość wobec Użytkowników końcowych

Klienci wdrażający Usługę wobec swoich odbiorców na Instagramie, jako administratorzy danych, są odpowiedzialni za zapewnienie odpowiedniej przejrzystości wobec Użytkowników końcowych, w tym za poinformowanie ich o możliwej interakcji z systemem opartym na AI (art. 50 Aktu o sztucznej inteligencji), zapewnienie możliwości kontaktu z człowiekiem oraz przestrzeganie przepisów o ochronie konsumentów. Setor AI dostarcza narzędzia konfiguracyjne wspierające te obowiązki (sekcja 17).

13.1. Środki techniczne i organizacyjne

Wdrażamy i utrzymujemy odpowiednie środki techniczne i organizacyjne mające na celu ochronę danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem. Kluczowe środki obejmują:

• Szyfrowanie w transmisji: TLS 1.3 dla wszystkich danych przesyłanych między użytkownikami, naszą infrastrukturą i dostawcami zewnętrznymi;
• Szyfrowanie w stanie spoczynku: AES-256 dla danych wrażliwych, w tym tokenów dostępu, poświadczeń i danych osobowych;
• Kontrole dostępu: RBAC, zasada najniższych uprawnień, uwierzytelnianie wieloskładnikowe (MFA), kwartalne przeglądy dostępu;
• Standardy uwierzytelniania: minimalna długość hasła 16 znaków, rotacja poświadczeń kont usługowych;
• Bezpieczeństwo sieciowe: Cloudflare WAF, ochrona przed atakami DDoS, systemy wykrywania/zapobiegania włamaniom, segmentacja sieci;
• Logowanie audytowe: niemodyfikowalne logi audytowe z 12-miesięcznym okresem przechowywania;
• Zarządzanie podatnościami: SAST w pipeline CI/CD, automatyczne skanowanie zależności;
• Szkolenia pracowników: regularne szkolenia z zakresu świadomości bezpieczeństwa;
• Ciągłość działania: RPO 24 godziny, RTO 48 godzin;
• Weryfikacja dostawców: ocena bezpieczeństwa przed nawiązaniem współpracy i coroczny przegląd wszystkich dalszych podmiotów przetwarzających;
• Reagowanie na incydenty: udokumentowany plan reagowania z corocznymi ćwiczeniami symulacyjnymi;
• Maskowanie w nagrywaniu sesji: w nagraniach sesji maskujemy wszystkie pola tekstowe i wprowadzane dane, aby nie rejestrować treści osobowych.

13.2. Pełna specyfikacja bezpieczeństwa

Wyczerpujące środki techniczne i organizacyjne opisano w Załączniku 1 do UPP (Załącznik A do Regulaminu). Klienci mogą zażądać podsumowania aktualnych środków bezpieczeństwa pod adresem office@setor.ai.

13.3. Ograniczenie odpowiedzialności

Choć stosujemy zabezpieczenia zgodne ze standardami branżowymi i stale doskonalimy nasz poziom bezpieczeństwa, żadna metoda transmisji przez Internet ani przechowywania elektronicznego nie jest w pełni bezpieczna. Zobowiązujemy się do stosowania komercyjnie uzasadnionych środków w celu ochrony danych osobowych i do niezwłocznego reagowania na wykryte podatności.

14.1. Powiadomienie organu nadzorczego

W przypadku naruszenia ochrony danych osobowych mogącego powodować ryzyko naruszenia praw lub wolności osób fizycznych, Setor AI powiadomi Prezesa UODO bez zbędnej zwłoki, a w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, zgodnie z art. 33 RODO.

14.2. Powiadomienie osób, których dane dotyczą

W przypadku gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Setor AI powiadomi osoby, których dane dotyczą, bez zbędnej zwłoki, zgodnie z art. 34 RODO, za pośrednictwem e-maila na adres zarejestrowany na koncie, powiadomienia w aplikacji oraz - gdy indywidualne powiadomienie byłoby nieproporcjonalne - komunikatu na stronie setor.ai. Powiadomienie obejmie charakter naruszenia, dane kontaktowe punktu kontaktowego, prawdopodobne konsekwencje oraz podjęte środki zaradcze.

14.3. Powiadomienie o naruszeniu przez podmiot przetwarzający

W przypadku gdy Setor AI stwierdzi naruszenie dotyczące danych przetwarzanych w imieniu Klienta (jako podmiot przetwarzający), powiadomimy dotkniętego Klienta bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od stwierdzenia naruszenia, zgodnie z UPP. Klient (administrator danych) zachowuje wyłączne uprawnienia decyzyjne dotyczące powiadomienia organu nadzorczego i osób, których dane dotyczą.

14.4. Dokumentacja naruszeń

Wszystkie naruszenia są dokumentowane (okoliczności, skutki, działania naprawcze) i utrzymywane na potrzeby przeglądu przez organ nadzorczy, zgodnie z art. 33 ust. 5 RODO.

15.1. Przegląd i kategorie

Stosujemy pliki cookie, piksele, pamięć lokalną i podobne technologie na stronie (setor.ai) i w aplikacji (app.setor.ai) w trzech kategoriach celów:

• Ściśle niezbędne: niezbędne do działania Usługi (zarządzanie sesjami, uwierzytelnianie, ochrona CSRF, przechowywanie zgody) - nie wymagają zgody;
• Analityczne i dotyczące wydajności: w celu zrozumienia, jak korzystasz ze strony i aplikacji (m.in. PostHog, nagrywanie sesji) - wymagają Twojej uprzedniej zgody;
• Marketingowe i reklamowe: w celu śledzenia skuteczności kampanii, atrybucji konwersji i remarketingu (m.in. Meta Pixel, Conversions API) - wymagają Twojej uprzedniej zgody.

15.2. Wymóg uprzedniej, aktywnej zgody

Pliki cookie analityczne, marketingowe i reklamowe oraz nagrywanie sesji nie są ładowane do momentu wyrażenia przez Ciebie uprzedniej, aktywnej zgody za pośrednictwem banera zgody. Zgoda jest granularna (możesz zaakceptować lub odrzucić poszczególne kategorie), nie stosujemy domyślnie zaznaczonych pól (zakaz pre-ticked boxes - wyrok TSUE w sprawie C-673/17 Planet49) ani tzw. cookie walls. Informujemy o czasie działania plików cookie oraz o dostępie do nich osób trzecich.

15.3. Polityka plików cookie

Pełne informacje dotyczące wszystkich plików cookie, ich celów, okresów przechowywania, dostawców oraz instrukcji zarządzania preferencjami znajdują się w naszej Polityce plików cookie pod adresem setor.ai/cookies. Możesz zarządzać preferencjami w dowolnym momencie, klikając link 'Ustawienia plików cookie' w stopce strony.

Marketing elektroniczny (e-mail, SMS, inne kanały elektroniczne) prowadzimy wyłącznie na podstawie Twojej uprzedniej zgody (opt-in), zgodnie z art. 398 ustawy - Prawo komunikacji elektronicznej. Wymóg ten stosujemy również w relacjach B2B.

17.1. Zastosowanie i terminy

Akt o sztucznej inteligencji UE (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689) ustanawia ramy regulacyjne dla systemów AI. Obowiązki dotyczące przejrzystości systemów AI bezpośrednio wchodzących w interakcję z osobami fizycznymi (art. 50) stosuje się od 2 sierpnia 2026 r. Usługę traktujemy jako system AI podlegający obowiązkom przejrzystości z art. 50, nie zaś jako system wysokiego ryzyka.

17.2. Podział ról: dostawca (provider) i wdrażający (deployer)

Rola Setor AI (dostawca): Setor AI dostarcza konfigurowalne narzędzie i spełnia obowiązek projektowy z art. 50 ust. 1 Aktu o sztucznej inteligencji przez dostarczenie zdolności ujawnienia - konfigurowalnego komunikatu informującego rozmówcę, że kontaktuje się z systemem AI. Setor AI projektuje narzędzie tak, aby umożliwić takie ujawnienie, oraz dokumentuje, że Usługa wykorzystuje AI do generowania wiadomości i klasyfikacji.

Rola Klienta (wdrażający, deployer): to Klient samodzielnie konfiguruje personę AI, w tym sposób, w jaki persona przedstawia się rozmówcy. Jako podmiot konfigurujący personę i wdrażający narzędzie wobec swojej publiczności, Klient ponosi odpowiedzialność za faktyczne poinformowanie Użytkowników końcowych, że rozmawiają z AI (zgodnie z art. 50 ust. 1 i z zastrzeżeniem wyjątku, gdy jest to oczywiste z kontekstu, a najpóźniej w momencie pierwszej interakcji - art. 50 ust. 5). Klient zobowiązuje się nie wyłączać ani nie obchodzić funkcji ujawnienia oraz zwalnia Setor AI z odpowiedzialności (indemnizacja) w razie naruszenia tego obowiązku. Obowiązki wdrażającego dotyczące systemów rozpoznawania emocji, kategoryzacji biometrycznej oraz treści typu deepfake (art. 50 ust. 3 i 4) również obciążają Klienta, jeżeli z takich funkcji korzysta.

17.3. Organ właściwy

Organem nadzoru rynku w zakresie Aktu o sztucznej inteligencji w Polsce będzie organ wyznaczony w ustawie wdrażającej (przewidywany jest powołany w tym celu organ, roboczo określany jako Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji - KRiBSI); ustawa pozostaje w toku prac legislacyjnych, dlatego dane organu zostaną uzupełnione po jej wejściu w życie. Niezależnie od tego organem właściwym w sprawach ochrony danych osobowych pozostaje Prezes UODO.

17.4. Klasyfikacja systemu i praktyki zabronione

Usługa nie jest klasyfikowana jako system AI wysokiego ryzyka w rozumieniu Załącznika III, ponieważ nie służy decyzjom o zatrudnieniu, ocenie zdolności kredytowej, dostępowi do usług kluczowych, egzekwowaniu prawa ani zarządzaniu migracją. Klienci nie mogą wykorzystywać Usługi do celów skutkujących taką klasyfikacją. Zgodnie z art. 5 Aktu o sztucznej inteligencji Usługa nie stosuje technik podprogowych, manipulacyjnych ani zwodniczych, wykorzystywania podatności określonych grup, oceny społecznej (social scoring), zdalnej identyfikacji biometrycznej w czasie rzeczywistym ani rozpoznawania emocji w kontekście pracy lub edukacji.

17.5. Kary i przyszłe zmiany regulacyjne

Za naruszenie obowiązków przejrzystości z art. 50 Akt o sztucznej inteligencji przewiduje (art. 99 ust. 4 lit. g) kary do 15 mln EUR lub 3% całkowitego rocznego światowego obrotu (w zależności, która kwota jest wyższa), przy czym dla małych i średnich przedsiębiorstw stosuje się niższy z tych progów (art. 99 ust. 6). Jeżeli wytyczne regulacyjne lub działania egzekucyjne doprowadzą do reklasyfikacji Usługi, Setor AI wdroży wymagane środki w obowiązującym terminie i zaktualizuje niniejszą Politykę.

18.1. Ograniczenie odpowiedzialności w relacjach B2B

W relacjach z Klientami niebędącymi konsumentami (B2B), w granicach swobody umów (art. 353(1) Kodeksu cywilnego), całkowita łączna odpowiedzialność Setor AI z tytułu lub w związku z Usługą jest ograniczona do wysokości łącznych opłat uiszczonych przez Klienta w okresie dwunastu (12) miesięcy poprzedzających zdarzenie będące podstawą roszczenia.

W zakresie dopuszczalnym przez prawo wyłączamy odpowiedzialność za szkody pośrednie, następcze oraz za utracone korzyści (lucrum cessans); zgodnie z art. 361 par. 2 Kodeksu cywilnego zakres odszkodowania w stosunkach B2B może zostać umownie ograniczony do rzeczywistej straty (damnum emergens).

18.2. Klauzula ochronna dla konsumentów i osób na prawach konsumenta

Powyższe ograniczenia odpowiedzialności nie mają zastosowania wobec osób będących konsumentami ani wobec osób fizycznych zawierających umowę bezpośrednio związaną z ich działalnością gospodarczą, gdy umowa nie ma dla nich charakteru zawodowego, którym ustawa przyznaje ochronę na prawach konsumenta (art. 385(1) i art. 385(5) Kodeksu cywilnego). Wobec takich osób stosuje się odpowiedzialność na zasadach ogólnych, a postanowienia, które stanowiłyby niedozwolone klauzule umowne, ich nie wiążą.

18.3. Indemnizacja ze strony Klienta

Klient zwalnia Setor AI z odpowiedzialności (indemnizacja) oraz zobowiązuje się naprawić szkodę i pokryć uzasadnione koszty (w tym koszty obsługi prawnej) wynikające z:

1. braku po stronie Klienta podstawy prawnej lub zgody na kontakt ze swoją publicznością (odbiorcami, kontaktami, Użytkownikami końcowymi);
2. braku poinformowania Użytkowników końcowych, że rozmawiają z systemem AI, lub wyłączenia bądź obejścia dostarczonej przez Setor AI funkcji ujawnienia;
3. naruszenia przez Klienta regulaminów i warunków platform Meta, Instagram lub WhatsApp;
4. wykorzystania Usługi w sposób zabroniony lub w celach wysokiego ryzyka w rozumieniu Aktu o sztucznej inteligencji UE.

Usługa jest platformą oprogramowania B2B przeznaczoną wyłącznie do użytku przez firmy i osoby działające w charakterze zawodowym. Usługa nie jest skierowana do osób poniżej szesnastego (16) roku życia i nie zbieramy świadomie danych osobowych od takich osób (próg wiekowy obowiązujący w Polsce na podstawie art. 8 ust. 1 RODO w związku z przepisami krajowymi).

Jeśli dowiemy się, że przypadkowo zebraliśmy dane dziecka poniżej 16 roku życia bez odpowiedniej zgody rodzica lub opiekuna, niezwłocznie usuniemy takie dane. Jeśli uważasz, że mogliśmy zebrać dane od osoby niepełnoletniej, prosimy o kontakt pod adresem office@setor.ai.

Klienci korzystający z Usługi w celu interakcji ze swoimi odbiorcami są odpowiedzialni za zapewnienie, że nie wykorzystują Usługi do przetwarzania danych osób poniżej obowiązującego progu wiekowego bez ważnej zgody rodzica lub opiekuna, zgodnie z RODO i Warunkami Platformy Meta.

Bez uszczerbku dla jakiegokolwiek innego środka ochrony prawnej, masz prawo wnieść skargę do właściwego organu nadzorczego ds. ochrony danych, w szczególności w państwie członkowskim UE Twojego zwykłego pobytu, miejsca pracy lub miejsca popełnienia domniemanego naruszenia (art. 77 RODO).

Organem nadzorczym w Polsce (jurysdykcja siedziby Setor AI) jest Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, Polska; strona internetowa: uodo.gov.pl; telefon: +48 22 531 03 00; e-mail: kancelaria@uodo.gov.pl.

Zachęcamy do uprzedniego kontaktu z nami pod adresem office@setor.ai przed złożeniem formalnej skargi, ponieważ dążymy do bezpośredniego i szybkiego rozwiązywania kwestii dotyczących prywatności.

Niniejsza Polityka oraz wszelkie kwestie z nią związane podlegają prawu polskiemu oraz bezpośrednio obowiązującym przepisom prawa Unii Europejskiej, w tym RODO. Powyższy wybór prawa nie pozbawia konsumenta ochrony zapewnionej mu przez bezwzględnie obowiązujące przepisy prawa państwa jego zwykłego pobytu.

Sądem właściwym do rozstrzygania sporów w relacjach B2B (z Klientami niebędącymi konsumentami) jest sąd właściwy miejscowo dla siedziby Setor AI, tj. Sąd Rejonowy Lublin-Wschód w Lublinie z siedzibą w Świdniku albo, w sprawach przekraczających jego właściwość rzeczową, właściwy Sąd Okręgowy w Lublinie. W sprawach z udziałem konsumentów właściwość sądu ustala się zgodnie z bezwzględnie obowiązującymi przepisami.

Możemy aktualizować niniejszą Politykę w celu odzwierciedlenia zmian w naszych praktykach, obowiązującym prawie, wytycznych regulacyjnych lub wymaganiach operacyjnych. Data ostatniej zmiany jest wskazana w nagłówku.

W przypadku istotnych zmian - takich, które znacząco wpływają na Twoje prawa lub sposób przetwarzania Twoich danych - poinformujemy Cię z wyprzedzeniem co najmniej trzydziestu (30) dni za pośrednictwem e-maila na główny adres konta, powiadomienia w aplikacji oraz komunikatu na stronie setor.ai/privacy.

Zmiany cenowe wymagają wyraźnej akceptacji; samo dalsze korzystanie z Usługi nie stanowi zgody na podwyżki cen. Tam, gdzie obowiązujące prawo wymaga wyraźnej ponownej zgody po istotnej zmianie, wdrożymy mechanizm ponownej zgody i nie będziemy polegać na dalszym korzystaniu z Usługi jako akceptacji. Aktualna wersja jest zawsze dostępna pod adresem setor.ai/privacy; poprzednie wersje są dostępne na życzenie pod adresem office@setor.ai.

W razie jakichkolwiek pytań, wątpliwości lub wniosków dotyczących niniejszej Polityki Prywatności lub naszych praktyk w zakresie przetwarzania danych prosimy o kontakt pod jedynym adresem kontaktowym: office@setor.ai.

Adres korespondencyjny: SETOR AI Spółka z ograniczoną odpowiedzialnością, ul. Tomasza Zana 1, 20-601 Lublin, Polska.

Potwierdzimy otrzymanie zapytania w ciągu pięciu (5) dni roboczych i udzielimy merytorycznej odpowiedzi w ciągu trzydziestu (30) dni kalendarzowych. W przypadku podejrzenia naruszenia ochrony danych osobowych lub pilnych kwestii bezpieczeństwa prosimy o umieszczenie w temacie wiadomości dopisku 'BEZPIECZEŃSTWO - PILNE' i wysłanie jej na adres office@setor.ai.