Niniejsze tłumaczenie ma charakter informacyjny. W razie rozbieżności wiążąca jest angielska wersja dokumentu.
Dane spółki
SETOR AI Spółka z ograniczoną odpowiedzialnością
- KRS: 0001202220
- NIP: 7123502599
- REGON: 543088690
- Adres: Tomasza Zana 1, 20-601 Lublin, Polska
- E-mail: [email protected]
- Strona internetowa: https://setor.ai
- Aplikacja: https://app.setor.ai
Wprowadzenie i zakres
Niniejsza Polityka prywatności wyjaśnia, w jaki sposób SETOR AI zbiera, wykorzystuje, ujawnia i chroni dane osobowe, gdy odwiedzasz naszą stronę internetową, korzystasz z naszej aplikacji lub w inny sposób wchodzisz w interakcję z naszymi usługami. Polityka odzwierciedla nasze rzeczywiste praktyki przetwarzania danych w zakresie analityki produktowej, atrybucji reklam oraz łączenia tożsamości między urządzeniami w celach marketingowych.
Kategorie osób objętych polityką
Niniejsza polityka ma zastosowanie do:
- Klientów – firm i osób subskrybujących naszą usługę
- Użytkowników upoważnionych – osób upoważnionych przez klientów do korzystania z usługi
- Osób odwiedzających stronę – osób odwiedzających setor.ai lub powiązane strony
- Użytkowników końcowych – osób wchodzących w interakcję z kontem Instagram klienta za pośrednictwem naszej usługi
Rozróżnienie ról: administrator i podmiot przetwarzający
Gdy przetwarzamy dane w imieniu klientów (np. wiadomości bezpośrednie na Instagramie), SETOR AI działa jako podmiot przetwarzający na podstawie Umowy Powierzenia Przetwarzania Danych (Załącznik A do Regulaminu). Niniejsza polityka dotyczy przede wszystkim działań SETOR AI jako administratora danych we własnych celach (zarządzanie kontami, rozliczenia, analityka, marketing, atrybucja reklam, komunikacja).
1. Tożsamość administratora danych
1.1 Dane administratora
SETOR AI Spółka z ograniczoną odpowiedzialnością
- Rejestracja: Sąd Rejonowy Lublin-Wschód, rejestr przedsiębiorców KRS nr 0001202220
- NIP (VAT): PL7123502599
- Adres: ul. Tomasza Zana 1, 20-601 Lublin, Polska
1.2 Kontakt w sprawach prywatności
Wszelkie zapytania, żądania i wątpliwości dotyczące prywatności: [email protected]
Dążymy do udzielenia odpowiedzi w ciągu pięciu (5) dni roboczych i rozpatrzenia żądań merytorycznych w ciągu trzydziestu (30) dni kalendarzowych, z zastrzeżeniem przedłużeń dopuszczonych prawem.
1.3 Punkt kontaktowy ds. prywatności i inspektor ochrony danych
SETOR AI wyznaczył punkt kontaktowy ds. prywatności dostępny pod adresem [email protected]. Jeżeli będzie tego wymagać obowiązujące prawo, zostanie powołany formalny inspektor ochrony danych, a jego dane kontaktowe zostaną opublikowane w tym miejscu i przekazane organowi nadzorczemu (Prezesowi Urzędu Ochrony Danych Osobowych, UODO).
2. Zakres i zastosowanie
2.1 Zakres terytorialny
Niniejsza polityka ma zastosowanie do przetwarzania danych osobowych przez SETOR AI z jego siedziby w Unii Europejskiej (Polska), niezależnie od lokalizacji osób, których dane dotyczą, oraz do przetwarzania dotyczącego osób w UE, gdy jest ono związane z oferowaniem towarów/usług lub monitorowaniem zachowań na terenie UE.
2.2 Dokumenty powiązane
Czytaj niniejszą politykę łącznie z:
- Regulaminem (setor.ai/terms) – regulującym relacje z klientami
- Umową Powierzenia Przetwarzania Danych (Załącznik A do Regulaminu) – regulującą działania w roli podmiotu przetwarzającego
- Polityką cookies (setor.ai/cookies) – szczegółowo opisującą pliki cookie i technologie śledzące
- Listą podprzetwarzających – dostępną na żądanie klienta
W przypadku sprzeczności między niniejszą polityką a Umową Powierzenia Przetwarzania Danych w zakresie działań podmiotu przetwarzającego pierwszeństwo ma umowa.
2.3 Podstawa prawna – brak zgody dorozumianej
Korzystanie z naszej strony lub usługi nie stanowi zgody na cele, które jej wymagają (analityka, ad-tech, marketing elektroniczny). Takie przetwarzanie następuje wyłącznie po odrębnej, uprzedniej, granularnej zgodzie albo na innej ważnej podstawie prawnej wskazanej w niniejszej polityce.
3. Kategorie zbieranych danych osobowych
3.1 Dane konta
- Identyfikacja: imię i nazwisko, stanowisko, rola w firmie
- Dane kontaktowe: służbowy adres e-mail, numer telefonu
- Informacje o firmie: nazwa firmy, wielkość, strona internetowa, branża
- Uwierzytelnianie: nazwa użytkownika, hasło (skrót kryptograficzny), dane uwierzytelniania wieloskładnikowego
- Dane subskrypcji: wybrany plan cenowy, status subskrypcji, informacje o okresie próbnym
- Zapisy zgód: znacznik czasu i wersja zaakceptowanego Regulaminu i Polityki prywatności, adres IP i identyfikator przeglądarki w chwili wyrażenia zgody
3.2 Dane konta Instagram (przez Meta API)
- Identyfikatory konta firmowego/twórcy i informacje profilowe (nazwa użytkownika, nazwa wyświetlana, zdjęcie profilowe, liczba obserwujących, kategoria konta)
- Informacje o powiązanej stronie na Instagramie
- Uprawnienia i tokeny dostępu przyznane przez klienta w ramach autoryzacji Meta
- Status połączenia konta i dane funkcjonalne integracji
- Statystyki konta Instagram i metryki zaangażowania (w zakresie autoryzowanym przez klienta)
SETOR AI jest zweryfikowanym partnerem technologicznym Meta (Meta Verified Technology Partner). Przetwarzanie danych odbywa się zgodnie z warunkami platformy Meta i regulacjami platformy Instagram. Uwierzytelnianie odbywa się wyłącznie w procesie OAuth 2.0 Meta; dane logowania nigdy nie są odczytywane, przechowywane ani przetwarzane.
3.3 Dane konta Google (przez interfejsy API Google)
Gdy klienci autoryzują połączenia z usługami Google:
- Identyfikator konta Google i adres e-mail
- Tokeny dostępu i odświeżania OAuth 2.0 z autoryzacji Google
- Dane z autoryzowanych usług Google (dostępność kalendarza, dane arkuszy kalkulacyjnych)
- Metadane dotyczące korzystania z interfejsów API Google
Zgodność z Google API User Data Policy: nasze korzystanie z danych z interfejsów API Google jest zgodne z Google API Services User Data Policy, w tym z wymogami ograniczonego użycia (Limited Use). Nie wykorzystujemy danych użytkowników Google do reklam, trenowania modeli AI ani uczenia maszynowego. Dostęp jest ograniczony do wyraźnie włączonych funkcji.
Uwierzytelnianie odbywa się wyłącznie w procesie OAuth 2.0 Google; hasła do kont Google nigdy nie są odczytywane, przechowywane ani przetwarzane.
3.4 Treść wiadomości (wiadomości bezpośrednie na Instagramie)
Podstawowa funkcjonalność usługi obejmuje przetwarzanie DM na Instagramie w celu zautomatyzowanego zarządzania rozmowami:
- Treść wiadomości przychodzących i wychodzących
- Metadane wątków rozmów (znaczniki czasu, ID wiadomości, ID uczestników)
- Typy załączników i metadane mediów
- Etykiety, tagi i notatki nadane przez klienta
- Treść automatycznych odpowiedzi generowanych przez naszą usługę
- Dane klasyfikacji i oceny rozmów (oceny kwalifikacji leadów, wskaźniki sentymentu)
Treść wiadomości może zawierać dane osobowe kontaktów klienta (Użytkowników końcowych). W odniesieniu do takich danych osób trzecich administratorem jest klient; SETOR AI przetwarza je wyłącznie jako podmiot przetwarzający na podstawie Umowy Powierzenia Przetwarzania Danych.
3.5 Dane o korzystaniu z usługi i analityka
- Dane o użyciu funkcji (używane funkcje, częstotliwość, wzorce interakcji)
- Informacje o sesji (znaczniki czasu logowania, czas trwania sesji, ID sesji)
- Dane wydajnościowe (czasy ładowania, zdarzenia błędów, metryki odpowiedzi API)
- Dane konfiguracyjne (ustawienia, reguły automatyzacji, zapisane szablony)
- Postęp onboardingu i dane o ukończeniu kreatora konfiguracji
- Metryki użycia (przetworzone wiadomości, zaangażowane kontakty, wywołania API, działania automatyzacji) na potrzeby rozliczeń zależnych od użycia i zarządzania progami
3.6 Dane płatnicze
Obsługę płatności prowadzi Stripe, Inc. Nie przechowujemy pełnych numerów kart kredytowych/debetowych, kodów CVV ani danych rachunków bankowych. Zbieramy i przechowujemy:
- Imię i nazwisko oraz adres rozliczeniowy
- Cztery ostatnie cyfry karty płatniczej
- Identyfikatory i numery referencyjne transakcji
- Historię rozliczeń subskrypcji, dokumentację faktur i status płatności
- Numery identyfikacji podatkowej (jeżeli dotyczy)
Wszystkie dane kart płatniczych są zbierane, przechowywane i przetwarzane wyłącznie przez Stripe zgodnie ze standardem PCI-DSS Level 1.
3.7 Dane techniczne, adres IP i geolokalizacja po stronie serwera
Podczas wizyt na stronie lub korzystania z aplikacji automatycznie zbieramy dane techniczne:
- Adres IP – zbierany w pełnej postaci i wykorzystywany do celów bezpieczeństwa, zapobiegania nadużyciom, kierowania ruchem i równoważenia obciążenia; adres IP stanowi dane osobowe zgodnie z wyrokiem TSUE w sprawie C-582/14 Breyer
- Geolokalizacja po stronie serwera wyprowadzana z IP – przybliżony kraj, miasto, kod regionu i współrzędne geograficzne na poziomie miejscowości; nie korzystamy z precyzyjnej geolokalizacji urządzenia (GPS) bez odrębnej zgody
- Typ, wersja i identyfikator przeglądarki (user agent)
- System operacyjny i typ urządzenia
- Adres URL strony odsyłającej i strony wyjścia
- Informacje o sieci i połączeniu
- Strefa czasowa i ustawienia języka
Wyraźnie informujemy, że zbieramy i wykorzystujemy pełne adresy IP oraz wyprowadzaną z nich geolokalizację po stronie serwera (kraj, miasto, region, przybliżone współrzędne). Podstawą prawną jest nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO, w świetle motywów 47 i 49) w zakresie bezpieczeństwa, zapobiegania oszustwom i prawidłowego zarządzania ruchem. Masz prawo wnieść sprzeciw z przyczyn związanych z Twoją szczególną sytuacją (art. 21 ust. 1 RODO).
3.8 Dane z plików cookie i śledzenia
Na naszej stronie internetowej i w aplikacji używamy plików cookie i podobnych technologii śledzących. Obejmuje to własne pliki cookie do zarządzania sesją i uwierzytelniania (niewymagające zgody) oraz pliki analityczne i marketingowe ładowane wyłącznie po Twojej uprzedniej zgodzie. Pełne informacje znajdują się w naszej Polityce cookies pod adresem setor.ai/cookies.
3.9 Dane atrybucji marketingowej, reklamowe i analityki konwersji
Gdy odwiedzasz nas z kampanii marketingowych lub bierzesz udział w naszym quizie kwalifikacyjnym, możemy zbierać i przetwarzać:
- Parametry UTM (source, medium, campaign, content, term)
- Identyfikatory kliknięć (np. identyfikator kliknięcia Meta –
fbclid) - Informacje o stronie odsyłającej i docelowym adresie URL
- Identyfikator wyniku quizu i zdarzenia konwersji (rozpoczęcie quizu, wynik kwalifikowany, rejestracja, rozpoczęcie subskrypcji)
- Zdarzenia analityczne oraz, za zgodą, nagrywanie sesji i piksele reklamowe
- Zahaszowane identyfikatory (hash adresu e-mail, hash IP) na potrzeby dopasowywania konwersji w narzędziach reklamowych
- Hash IP (ip_hash) – pseudonim obliczany funkcją skrótu z adresu IP oraz identyfikatora wyniku quizu, używany wyłącznie do łączenia zdarzeń tego samego leada między urządzeniami w naszej analityce. Surowy adres IP nie jest przechowywany w analityce; ip_hash nigdy nie służy jako klucz tożsamości i nie łączy różnych osób korzystających z tego samego IP (np. za NAT)
Parametry UTM i podstawowe dane strony odsyłającej są przechowywane w plikach cookie first-party o ograniczonej ważności na potrzeby wewnętrznej atrybucji marketingowej. Pozostałe cele reklamowe (piksele, Conversions API, nagrywanie sesji, łączenie tożsamości na potrzeby remarketingu) są realizowane wyłącznie za Twoją zgodą zgodnie z punktami 4 i 15.
3.10 Dane komunikacyjne
- Twoje dane kontaktowe (imię i nazwisko, adres e-mail)
- Treść komunikacji i ewentualne załączniki
- Metadane komunikacji (data, godzina, temat)
4. Cele, podstawy prawne i okresy retencji
Przetwarzamy dane osobowe wyłącznie na ważnych podstawach prawnych z art. 6 RODO. Poniższa tabela zawiera kompleksowe informacje o przetwarzaniu zgodnie z art. 13 ust. 1 lit. c-d oraz art. 14 ust. 1 lit. c-d RODO:
| # | Czynność przetwarzania | Kategorie danych | Podstawa prawna (art. 6 ust. 1 RODO) | Okres retencji |
|---|---|---|---|---|
| 1 | Utworzenie konta i zarządzanie nim | Dane identyfikacyjne, kontaktowe, firmowe, uwierzytelniające, subskrypcyjne, metadane zgód | lit. b) umowa – niezbędne do wykonania umowy i zarządzania kontem | Czas trwania umowy + 30 dni; zapisy zgód odrębnie zgodnie z punktem 10 |
| 2 | Świadczenie usługi – automatyzacja DM | Wiadomości z Instagrama, metadane rozmów, automatyczne odpowiedzi, dane klasyfikacyjne | lit. b) umowa – podstawowa funkcjonalność subskrybowana przez klienta | Czas trwania umowy + 180 dni |
| 3 | Przetwarzanie przez modele AI (generowanie odpowiedzi) | Treść DM (dane wejściowe), wygenerowane odpowiedzi (dane wyjściowe) | lit. b) umowa – integralny element usługi; lit. f) prawnie uzasadniony interes – poprawa jakości (wyłącznie dane zagregowane/zanonimizowane) | Przetwarzanie przejściowe; zagregowane/zanonimizowane metryki do 36 miesięcy |
| 4 | Integracja konta Instagram | Identyfikatory konta IG, dane profilowe, tokeny dostępu | lit. b) umowa – niezbędne do działania usługi przez Meta API | Czas trwania umowy + 30 dni; tokeny unieważniane po odłączeniu |
| 5 | Integracja usług Google | ID konta Google, tokeny OAuth, dane autoryzowanych usług | lit. b) umowa – niezbędne do funkcji włączonych przez klienta; lit. a) zgoda na pierwotną autoryzację OAuth | Czas trwania połączenia + 30 dni; tokeny unieważniane po odłączeniu |
| 6 | Obsługa płatności | Dane rozliczeniowe (imię i nazwisko/adres), 4 ostatnie cyfry karty, ID transakcji, faktury | lit. b) umowa; lit. c) obowiązek prawny – ustawa o rachunkowości, ustawa o VAT | 5 lat od końca roku obrotowego (art. 74 ustawy o rachunkowości) |
| 7 | Analityka produktowa (PostHog) i nagrywanie sesji | Dane o użyciu, informacje o sesji, metryki wydajności, maskowane nagrania sesji, identyfikatory | lit. a) zgoda – analityka po stronie przeglądarki i nagrywanie sesji ładowane wyłącznie po zgodzie | Zgodnie ze zgodą; co do zasady do 36 miesięcy, następnie usunięcie lub anonimizacja |
| 8 | Atrybucja i optymalizacja reklam (Meta Pixel, Conversions API) | Zachowania podczas przeglądania, zdarzenia konwersji, ID kliknięć, zahaszowane identyfikatory (hash e-maila) | lit. a) zgoda – wyłącznie uprzednia, granularna zgoda (TSUE C-252/21) | Zgodnie z retencją Meta i Twoją zgodą |
| 9 | Łączenie tożsamości i profilowanie marketingowe | UTM, fbclid, ID wyniku quizu, e-mail/hash e-maila, ip_hash (pseudonim powiązany z ID wyniku quizu – surowy adres IP nigdy nie jest przechowywany w analityce), dane CRM, zdarzenia konwersji między urządzeniami | lit. a) zgoda na ad-tech/remarketing; lit. f) prawnie uzasadniony interes wyłącznie dla atrybucji wewnętrznej (bez udostępniania na zewnątrz) | Zapisy atrybucji i ip_hash do 36 miesięcy, następnie usunięcie lub anonimizacja; cookies zgodnie z Polityką cookies |
| 10 | Marketing e-mailowy | Adres e-mail, imię i nazwisko, dane zaangażowania (otwarcia, kliknięcia) | lit. a) zgoda (uprzedni opt-in, art. 398 PKE); również w relacjach B2B | Do wycofania zgody + 30 dni; zapisy zgód 3 lata |
| 11 | Obsługa klienta | Dane kontaktowe, treść komunikacji, metadane | lit. b) umowa; lit. f) prawnie uzasadniony interes – utrzymanie jakości wsparcia | 24 miesiące od rozwiązania sprawy |
| 12 | Monitorowanie bezpieczeństwa, IP i geolokalizacja | Logi dostępu, adresy IP, geolokalizacja po stronie serwera, zdarzenia uwierzytelniania, logi błędów | lit. f) prawnie uzasadniony interes – ochrona systemów, zapobieganie oszustwom, routing (motywy 47 i 49); lit. c) obowiązek prawny, gdy ma zastosowanie | 12 miesięcy |
| 13 | Zgodność z prawem i dokumentacja | Dokumenty finansowe/podatkowe, zapisy zgód, korespondencja prawna | lit. c) obowiązek prawny; lit. f) prawnie uzasadniony interes – dochodzenie roszczeń | Dokumenty podatkowe 5 lat; roszczenia zgodnie z terminami przedawnienia (zwykle 3–6 lat wg Kodeksu cywilnego) |
| 14 | Zapobieganie oszustwom i nadużyciom | Wzorce aktywności na koncie, adresy IP, odciski urządzeń | lit. f) prawnie uzasadniony interes – integralność usługi i ochrona użytkowników | 24 miesiące |
| 15 | Onboarding i kreator konfiguracji | Postęp kreatora, wybrane konfiguracje, status połączenia IG | lit. b) umowa – ułatwienie konfiguracji usługi | Czas trwania umowy |
| 16 | Rozliczenia i pomiar użycia | Metryki użycia, próg cenowy, korekty rozliczeń | lit. b) umowa – ustalenie należnych opłat | Czas trwania umowy + 5 lat (ustawa o rachunkowości) |
Testy równowagi dla prawnie uzasadnionego interesu: dla przetwarzania opartego na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO) przeprowadziliśmy testy równowagi, ważąc nasze interesy względem praw i wolności osób, których dane dotyczą. Oceny te są udokumentowane wewnętrznie i dostępne dla organu nadzorczego na żądanie. W sprawie konkretnych testów równowagi napisz na [email protected].
Cele reklamowe i ad-tech (piksele, Conversions API, nagrywanie sesji, remarketing, łączenie tożsamości na potrzeby reklamy) opierają się wyłącznie na Twojej zgodzie, a nie na prawnie uzasadnionym interesie, zgodnie z wyrokiem TSUE z dnia 4 lipca 2023 r. w sprawie C-252/21 (Meta Platforms przeciwko Bundeskartellamt).
5. Przetwarzanie danych przez AI
5.1 SETOR AI jako narzędzie konfigurowalne
SETOR AI dostarcza konfigurowalne narzędzie AI i uczenia maszynowego. Klient samodzielnie konfiguruje personę AI, w tym sposób, w jaki się ona przedstawia, reguły automatyzacji, szablony odpowiedzi i parametry zachowania. Technologie AI realizują podstawowe funkcje:
- Przetwarzanie języka naturalnego – rozumienie intencji, kontekstu i znaczenia wiadomości na Instagramie
- Automatyczne generowanie odpowiedzi – tworzenie kontekstowo trafnych, spersonalizowanych odpowiedzi
- Klasyfikacja i kierowanie rozmów – kategoryzowanie według tematu, intencji, pilności lub etapu sprzedaży
- Analiza sentymentu – analiza tonu wiadomości w celu ustalenia strategii odpowiedzi
- Kwalifikacja leadów – identyfikowanie i ocenianie potencjalnych klientów na podstawie sygnałów z rozmów
- Moderacja treści i filtrowanie bezpieczeństwa – weryfikacja treści w celu zapobiegania nadużyciom
5.2 Integralny charakter przetwarzania przez AI
Przetwarzanie przez AI stanowi istotny element usługi i jest niezbędne do wykonania umowy. Bez przetwarzania przez AI nie da się dostarczyć podstawowej automatyzacji usługi. Subskrybując usługę i korzystając z niej, klienci przyjmują do wiadomości i akceptują wykorzystanie technologii AI w tych celach zgodnie z Regulaminem.
5.3 Partnerzy technologiczni i poufność
Współpracujemy z wyspecjalizowanymi dostawcami infrastruktury AI i uczenia maszynowego. Konkretni dostawcy, modele i konfiguracje mogą się zmieniać w czasie. Aktualna Lista podprzetwarzających jest prowadzona i dostępna na żądanie klienta pod adresem [email protected], aktualizowana zgodnie z procedurą zmiany podprzetwarzających (punkt 8.3).
5.4 Minimalizacja danych i brak trenowania na danych klientów
- Treść wiadomości jest przekazywana do infrastruktury przetwarzania AI wyłącznie w zakresie niezbędnym do żądanej funkcjonalności
- Brak trenowania na danych klientów: nie wykorzystujemy danych klientów ani treści wiadomości Użytkowników końcowych do ogólnego trenowania, dostrajania ani ulepszania modeli bez odrębnej, wyraźnej zgody. Nasze umowy z podprzetwarzającymi AI umownie zakazują wykorzystywania przetwarzanych danych do trenowania ich ogólnych modeli
- Przetwarzanie przejściowe: dane wejściowe i wyjściowe AI są przetwarzane w czasie rzeczywistym i nie są zatrzymywane przez podprzetwarzających AI po zakończeniu sesji, z wyjątkiem ograniczonego logowania na potrzeby zapobiegania nadużyciom (zwykle 30 dni, automatyczne usuwanie)
- Brak przetwarzania między klientami: dane jednego klienta nigdy nie są wykorzystywane do ulepszania usługi ani wpływania na nią u innego klienta
5.5 Ulepszanie produktu na danych zagregowanych i zanonimizowanych
Aby utrzymywać i poprawiać jakość oraz bezpieczeństwo usługi, możemy przetwarzać dane zagregowane lub nieodwracalnie zanonimizowane (np. statystyki skuteczności, metryki jakości odpowiedzi, wskaźniki błędów). Podstawą prawną jest nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO). Dla takich pochodnych danych zagregowanych administratorem jest SETOR AI; treści klienta pozostają jego własnością i nie są wykorzystywane poza wskazanymi celami. Nie traktujemy danych zagregowanych jako automatycznie wyłączonych spod RODO – dopóki ponowna identyfikacja pozostaje możliwa, stosujemy pełną ochronę.
5.6 Nadzór człowieka
Klienci zachowują rzeczywistą kontrolę nad wynikami AI poprzez: konfigurowanie reguł, szablonów i parametrów persony w panelu; możliwość przeglądania, edytowania, zastępowania lub usuwania każdej odpowiedzi przed wysłaniem lub po nim; wgląd we wszystkie zautomatyzowane rozmowy; możliwość wstrzymania lub wyłączenia automatyzacji AI w każdej chwili. Szczegóły w punkcie 12.
6. Przetwarzanie danych w usługach Google
6.1 Przegląd
SETOR AI może integrować się z usługami Google, gdy klienci autoryzują połączenia. Niniejszy punkt zapewnia przejrzystość przetwarzania danych przez interfejsy API Google zgodnie z Google API Services User Data Policy.
6.2 Usługi Google i zakres dostępu do danych
| Usługa Google | Dane, do których uzyskujemy dostęp | Cel |
|---|---|---|
| Google Calendar | Dostępność kalendarza, metadane wydarzeń | Umawianie spotkań z potencjalnymi klientami z rozmów na Instagramie |
| Google Sheets | Dane arkuszy wskazanych przez klienta | Eksport danych i raportowanie |
| Konto Google (OAuth) | Adres e-mail, identyfikator konta | Uwierzytelnianie i łączenie kont |
6.3 Zasady przetwarzania danych Google
a) Niezbędność i proporcjonalność: żądamy wyłącznie minimalnych zakresów OAuth niezbędnych do włączonych funkcji.
b) Ograniczenie celu: dane użytkowników Google są wykorzystywane wyłącznie do świadczenia autoryzowanej funkcji integracji, nigdy do reklamy, profilowania ani wzbogacania danych między usługami.
c) Brak użycia wtórnego: dane użytkowników Google nigdy nie są wykorzystywane do reklamy, trenowania modeli AI, sprzedaży ani licencjonowania podmiotom trzecim, oceny zdolności kredytowej ani celów niezwiązanych.
d) Retencja danych: tokeny API Google są szyfrowane w spoczynku (AES-256), unieważniane i usuwane w ciągu 30 dni od odłączenia integracji lub zamknięcia konta. Dane z połączonych usług nie są zatrzymywane poza aktywnymi sesjami.
e) Ograniczenia dostępu pracowników: pracownicy uzyskują dostęp do surowych danych Google wyłącznie za wyraźną zgodą klienta, z konieczności związanej z bezpieczeństwem, z wymogu prawnego lub po anonimizacji na potrzeby metryk operacyjnych.
6.4 Bezpieczeństwo tokenów Google OAuth
- Szyfrowanie w spoczynku algorytmem AES-256
- Transmisja wyłącznie szyfrowanymi połączeniami TLS 1.3
- Dostęp do magazynu tokenów ograniczony kontrolą dostępu opartą na rolach
- Klienci mogą w każdej chwili cofnąć dostęp SETOR AI na stronie myaccount.google.com/permissions
6.5 Rola Google
Google przetwarza dane przekazywane przez swoje interfejsy API zgodnie z własną Polityką prywatności Google. SETOR AI nie kontroluje przetwarzania prowadzonego przez Google na jego platformach i nie ponosi za nie odpowiedzialności.
7. Szczegóły przetwarzania danych z Instagrama
7.1 Przegląd
Integracja z Instagramem stanowi podstawową funkcjonalność usługi. Niniejszy punkt zapewnia przejrzystość przetwarzania danych osobowych związanych z Instagramem zarówno dla klientów, jak i Użytkowników końcowych.
7.2 Kategorie danych specyficzne dla Instagrama
| Kategoria danych | Źródło | Rola administratora | Cel |
|---|---|---|---|
| Profil Instagram (nazwa użytkownika, nazwa wyświetlana, zdjęcie, liczba obserwujących) | Meta API | Klient (administrator); SETOR AI (podmiot przetwarzający) | Zarządzanie kontem, wyświetlanie w panelu |
| Tokeny dostępu Instagram | Meta OAuth | SETOR AI (administrator w zakresie zarządzania tokenami) | Uwierzytelnianie API |
| Treść przychodzących DM od Użytkowników końcowych | Webhooki Meta | Klient (administrator); SETOR AI (podmiot przetwarzający) | Generowanie odpowiedzi, zarządzanie rozmowami |
| Treść wychodzących DM (automatycznych i ręcznych) | Generowane przez usługę | Klient (administrator); SETOR AI (podmiot przetwarzający) | Świadczenie usługi |
| Metadane rozmów (znaczniki czasu, ID wątków) | Meta API | Klient (administrator); SETOR AI (podmiot przetwarzający) | Wątkowanie rozmów, analityka |
| Dane profilowe Użytkowników końcowych (nazwa użytkownika IG, zdjęcie profilowe) | Meta API | Klient (administrator); SETOR AI (podmiot przetwarzający) | Identyfikacja rozmów |
| Analiza zdjęcia profilowego (AI vision) | Meta API + model vision | Klient (administrator); SETOR AI (podmiot przetwarzający) | Personalizacja odpowiedzi na podstawie kontekstu (kontrolowana przez klienta) |
| Wyniki kwalifikacji leadów | Generowane przez usługę | Klient (administrator); SETOR AI (podmiot przetwarzający) | Zarządzanie lejkiem sprzedaży |
| Metryki zaangażowania | Meta API / pochodne usługi | Klient (administrator); SETOR AI (podmiot przetwarzający) | Raportowanie wyników |
7.3 Informacje dla Użytkowników końcowych (uczestników rozmów DM)
a) Kto kontroluje Twoje dane: administratorem treści Twoich DM i powiązanych danych jest właściciel konta Instagram, do którego wysłałeś wiadomość. SETOR AI przetwarza je jako podmiot przetwarzający w jego imieniu.
b) Co dzieje się z Twoimi wiadomościami: Twoje wiadomości mogą być przetwarzane przez technologię AI w celu generowania odpowiedzi, klasyfikowania rozmów i/lub kierowania do przedstawiciela. Konkretny sposób przetwarzania zależy od konfiguracji właściciela konta.
c) Twoje prawa: wszelkie żądania z zakresu praw osób, których dane dotyczą, kieruj do właściciela konta Instagram (administratora). Możesz też skontaktować się z SETOR AI pod adresem [email protected]; przekażemy Twoje żądanie właściwemu klientowi lub udzielimy pomocy jako podmiot przetwarzający.
d) Przejrzystość AI: zgodnie z AI Act (art. 50) klient, jako podmiot konfigurujący personę i stosujący narzędzie wobec swoich odbiorców, odpowiada za ujawnienie interakcji z AI. SETOR AI zapewnia funkcję takiego ujawnienia (konfigurowalny komunikat). Szczegóły w punkcie 17.
e) Retencja danych: dane Twoich wiadomości są przechowywane przez czas subskrypcji klienta i usuwane w ciągu 180 dni od zamknięcia konta klienta. Klienci mogą w każdej chwili usuwać pojedyncze rozmowy.
7.4 Zgodność z platformą Meta
- Warunki platformy Meta – dozwolone korzystanie z API
- Warunki platformy Instagram – dostęp do API Instagrama
- Meta Data Use Checkup – okresowa weryfikacja zgodności przez Meta
- Meta App Review – uprawnienia zweryfikowane w procesie przeglądu Meta
SETOR AI jest zweryfikowanym partnerem technologicznym Meta (Meta Verified Technology Partner), co potwierdza zgodność ze standardami technicznymi Meta, wymogami przetwarzania danych i praktykami bezpieczeństwa.
7.5 Ryzyka związane z kontem Instagram
Klienci powinni mieć świadomość, że Meta może samodzielnie ograniczyć, zawiesić lub odebrać dostęp do kont Instagram lub API Instagrama, niezależnie od SETOR AI, w tym z powodu naruszeń warunków, nietypowych wzorców aktywności, egzekwowania zasad społeczności lub zmian na poziomie platformy. Szczegółowe postanowienia zawiera Regulamin.
8. Odbiorcy danych i podprzetwarzający
8.1 Kategorie odbiorców
Możemy udostępniać dane osobowe podprzetwarzającym działającym w naszym imieniu na podstawie umów zgodnych z art. 28 RODO (z odpowiednimi środkami technicznymi i organizacyjnymi), niezależnym administratorom (Stripe, Meta w zakresie ich własnych celów), doradcom zawodowym (prawnikom, księgowym, audytorom związanym obowiązkiem poufności), organom regulacyjnym i ścigania (w zakresie wymaganym prawem) oraz stronom transakcji w scenariuszach fuzji lub przejęcia (z zachowaniem ciągłości ochrony danych). Kategorie podprzetwarzających definiujemy szeroko, co pozwala na zastąpienie dostawcy w ramach kategorii bez aneksu, z zachowaniem procedury zmiany z punktu 8.3.
8.2 Lista podprzetwarzających
Poniższa tabela zawiera aktualnych podprzetwarzających i innych odbiorców. Dla każdego podmiotu z USA wskazano mechanizm transferu (DPF i/lub standardowe klauzule umowne – SCC wraz z oceną skutków transferu – TIA). Kolumna „Trenuje na danych” wskazuje, czy podmiot wykorzystuje przekazane dane do trenowania własnych modeli.
| Podmiot | Cel | Lokalizacja | Mechanizm transferu | Trenuje na danych |
|---|---|---|---|---|
| OpenAI, L.L.C. | Generowanie odpowiedzi AI | USA | DPF + SCC | Nie (API; wyłącznie opt-in) |
| Anthropic, PBC | Zapasowy model AI | USA | SCC / DPF | Nie (zobowiązanie umowne) |
| Google LLC (Gemini) | Analiza zdjęć profilowych (vision) i generowanie odpowiedzi | USA | DPF + SCC | Do weryfikacji umownej |
| OpenRouter, Inc. | Brama API do modeli AI | USA | SCC (najsłabsze ogniwo, zależnie od modelu docelowego) | Zależy od modelu docelowego |
| Groq, Inc. | Transkrypcja audio rozmów | USA | SCC | Nie (zobowiązanie umowne) |
| Changes AI, Inc. / fal.ai | Generowanie obrazów | USA | SCC | Nie (zobowiązanie umowne) |
| ElevenLabs, Inc. | Synteza głosu w rozmowach AI | USA | SCC | Nie (zobowiązanie umowne) |
| Meta Platforms, Inc. | API Instagram/Facebook/WhatsApp, atrybucja reklam | USA | DPF (współadministrator dla własnych celów) | Zgodnie z polityką Meta |
| Twilio Inc. | SMS i połączenia głosowe | USA | DPF + SCC | Nie |
| Slack Technologies / Salesforce | Integracja zespołowa | USA | DPF + SCC | Nie |
| Stripe, Inc. | Płatności i subskrypcje | USA | DPF + SCC | Nie |
| Attio | CRM | USA / UE | SCC (poza EOG) | Nie |
| iClosed | CRM sprzedażowy | USA | SCC | Nie |
| Gleap | Widget wsparcia i zgłaszanie problemów | UE / USA | SCC (poza EOG) | Nie |
| HighLevel (GoHighLevel) | CRM i kalendarze | USA | SCC | Nie |
| Calendly | Rezerwacja spotkań | USA | DPF + SCC | Nie |
| Cal.com | Rezerwacja spotkań | UE / USA | SCC (poza EOG) | Nie |
| RapidAPI | Analiza publicznych profili IG | USA | SCC | Nie |
| Notion | Notatki wewnętrzne | USA | SCC | Nie |
| Resend | Wysyłka e-maili (aktywna) | USA | SCC | Nie |
| Postmark | Wysyłka e-maili (alternatywa) | USA | SCC | Nie |
| SendGrid / Twilio | Wysyłka e-maili (alternatywa) | USA | DPF + SCC | Nie |
| Nodemailer / SMTP | Wysyłka e-maili (alternatywa) | UE / USA | SCC (poza EOG) | Nie |
| PostHog | Analityka produktowa i nagrywanie sesji | UE (Frankfurt – rezydencja danych) | Nie dotyczy (w ramach EOG) | Nie |
| Sentry | Monitorowanie błędów | USA / UE | SCC (poza EOG) | Nie |
| Cloudflare, Inc. | Hosting / CDN / R2 / Workers | USA / globalnie | DPF + SCC | Nie |
| Amazon Web Services (S3) | Kopie zapasowe | UE / USA | DPF + SCC | Nie |
| Hetzner Online GmbH | Samodzielnie hostowany PostgreSQL (główna baza danych) | Niemcy, UE | Nie dotyczy (w ramach EOG) | Nie |
| Neon | Alternatywna baza danych | UE / USA | SCC (poza EOG) | Nie |
| PlanetScale | Alternatywna baza danych | USA | SCC | Nie |
| pg-boss | Kolejka zadań (w ramach PostgreSQL) | Niemcy, UE | Nie dotyczy (w ramach EOG) | Nie |
| Upstash, Inc. | Cache i limitowanie żądań (Redis) | UE / USA | SCC (poza EOG) | Nie |
| Vercel, Inc. | Hosting i dostarczanie frontendu (edge) | USA / globalnie | DPF + SCC | Nie |
OpenRouter, Inc. działa jako brama do wielu modeli AI różnych dostawców; rzeczywisty poziom ochrony danych zależy od modelu docelowego. Traktujemy ten podmiot jako wymagający podwyższonej kontroli (najsłabsze ogniwo) i odpowiednio ograniczamy zakres przekazywanych danych.
8.3 Ogólna zgoda na podprzetwarzających i prawo sprzeciwu
Korzystając z usługi, klienci udzielają SETOR AI ogólnej pisemnej zgody na korzystanie z podprzetwarzających, w tym na ich zmianę i dodawanie, zgodnie z art. 28 ust. 2 i 4 RODO. Procedura zmiany:
- SETOR AI powiadamia klienta o zamiarze dodania lub zmiany podprzetwarzającego z wyprzedzeniem co najmniej czternastu (14) dni
- Klient może wnieść sprzeciw wyłącznie z udokumentowanych, uzasadnionych przyczyn dotyczących ochrony danych w odniesieniu do tego podmiotu
- Brak sprzeciwu w ciągu 14 dni oznacza akceptację
- W razie zasadnego sprzeciwu jedynym środkiem przysługującym klientowi jest wypowiedzenie dotkniętej części usługi, bez innych roszczeń
8.4 Udostępnianie danych zagregowanych – brak handlu danymi osobowymi
SETOR AI nie prowadzi handlu danymi osobowymi ani nie sprzedaje danych osobowych umożliwiających identyfikację konkretnych osób. Zastrzegamy sobie prawo do udostępniania, publikowania lub komercyjnego wykorzystywania zanonimizowanych i zagregowanych statystyk i analiz, które nie umożliwiają identyfikacji żadnej osoby, takich jak branżowe benchmarki i raporty rynkowe.
9. Międzynarodowe transfery danych
9.1 Mechanizmy transferu
Część podprzetwarzających ma siedzibę poza Europejskim Obszarem Gospodarczym (EOG), w tym w Stanach Zjednoczonych. Przekazując dane osobowe poza EOG, stosujemy odpowiednie zabezpieczenia, w tym co najmniej jedno z poniższych:
- Standardowe klauzule umowne (SCC): transfer na podstawie SCC przyjętych decyzją wykonawczą Komisji (UE) 2021/914, wraz ze środkami uzupełniającymi
- EU-US Data Privacy Framework (DPF): transfer do certyfikowanych podmiotów z USA w ramach programu administrowanego przez Departament Handlu USA
- Decyzja stwierdzająca odpowiedni stopień ochrony: transfer do państw uznanych przez Komisję Europejską za zapewniające odpowiedni stopień ochrony danych (art. 45 RODO)
9.2 Oceny skutków transferu (TIA)
Zgodnie z zaleceniami EROD 01/2020 (po wyroku TSUE w sprawie Schrems II, C-311/18) przeprowadzamy oceny skutków transferu (Transfer Impact Assessment, TIA) dla każdego podprzetwarzającego spoza EOG. Oceny uwzględniają ramy prawne państwa docelowego (np. amerykańska FISA sekcja 702, Executive Order 14086), praktyczne doświadczenia podmiotu z żądaniami organów, skuteczność środków uzupełniających oraz wrażliwość danych. Wobec podmiotów pełniących wyłącznie rolę bramy (np. OpenRouter) stosujemy podwyższoną kontrolę i minimalizujemy zakres danych.
9.3 Środki uzupełniające
- Techniczne: szyfrowanie w tranzycie (TLS 1.3) i w spoczynku (AES-256); pseudonimizacja tam, gdzie to wykonalne; minimalizacja danych
- Umowne: umowy powierzenia przetwarzania z SCC oraz dodatkowymi klauzulami ochronnymi; zobowiązania do kwestionowania nieproporcjonalnych żądań organów; obowiązki powiadamiania (o ile prawnie dopuszczalne)
- Organizacyjne: kontrola dostępu ograniczająca krąg personelu; regularne audyty zgodności; szkolenia pracowników
9.4 Prawo do informacji
Osoby, których dane dotyczą, mogą zażądać kopii mających zastosowanie SCC i środków uzupełniających. Żądania należy kierować na [email protected]. Niektóre warunki handlowe mogą zostać utajnione ze względu na poufność, ale zobowiązania z zakresu ochrony danych są ujawniane w całości.
9A. Klienci i transfery poza Unię Europejską (klauzula globalna)
SETOR AI obsługuje klientów na całym świecie, w tym mających siedzibę lub prowadzących działalność poza UE i EOG. Niniejszy punkt określa dodatkowe zasady dla takich klientów oraz dla transferów danych w obu kierunkach – do Unii Europejskiej i z niej.
9A.1 Oświadczenie o zgodności z prawem lokalnym
Klient oświadcza i zapewnia, że jego korzystanie z usługi oraz komunikacja z jego odbiorcami (adresatami, kontaktami, Użytkownikami końcowymi) są zgodne z prawem obowiązującym w jego jurysdykcji i w ich jurysdykcjach, w tym z:
- lokalnym prawem marketingu elektronicznego i komunikacji – w tym w USA z Telephone Consumer Protection Act (TCPA) oraz Controlling the Assault of Non-Solicited Pornography And Marketing Act (CAN-SPAM Act), a także z ich odpowiednikami w innych państwach (np. kanadyjska CASL)
- lokalnym prawem ochrony konsumentów – w tym wymogami uczciwego obrotu i informowania konsumentów
- lokalnymi wymogami ujawniania AI – w tym obowiązkami informowania osób, że kontaktują się z systemem AI (np. art. 50 AI Act; przepisy stanowe USA, takie jak kalifornijska Bolstering Online Transparency Act, „B.O.T. Act”)
- lokalnym prawem ochrony danych – w tym w USA z California Consumer Privacy Act w brzmieniu zmienionym przez California Privacy Rights Act (CCPA/CPRA) oraz innymi stanowymi i krajowymi przepisami o prywatności
Klient ponosi wyłączną odpowiedzialność za uzyskanie wszystkich zgód i podstaw prawnych wymaganych przez prawo właściwe dla klienta i jego odbiorców oraz zwalnia SETOR AI z odpowiedzialności, zobowiązując się naprawić szkodę i pokryć uzasadnione koszty (w tym koszty obsługi prawnej) wynikające z naruszenia przez klienta powyższych postanowień.
9A.2 Transfery dwukierunkowe i mechanizm dla USA
Transfery danych osobowych w ramach usługi odbywają się w obu kierunkach – zarówno do Unii Europejskiej, jak i z Unii Europejskiej do państw trzecich. Dla transferów do Stanów Zjednoczonych podstawowym mechanizmem jest EU-US Data Privacy Framework (DPF) dla podmiotów certyfikowanych, z automatycznym mechanizmem zapasowym w postaci standardowych klauzul umownych (SCC) przyjętych decyzją wykonawczą Komisji (UE) 2021/914, wraz z przeprowadzoną oceną skutków transferu (TIA) i środkami uzupełniającymi zgodnie z punktem 9. Jeżeli certyfikacja DPF któregokolwiek podmiotu wygaśnie, zostanie cofnięta lub utraci ważność, transfer pozostaje chroniony na podstawie mających zastosowanie SCC, bez przerwy w świadczeniu usługi.
9A.3 Prawo właściwe i zgodność lokalna
Niezależnie od lokalizacji klienta prawem właściwym dla niniejszej polityki i relacji z SETOR AI jest prawo polskie oraz bezpośrednio stosowane prawo UE (punkt 21). SETOR AI zapewnia zgodność usługi z prawem polskim i unijnym; klient zapewnia zgodność z prawem lokalnym właściwym dla jego jurysdykcji i jurysdykcji odbiorców.
9A.4 Klauzula eksportowa i sankcyjna
Klient oświadcza i zapewnia, że nie podlega sankcjom (nie figuruje na listach sankcyjnych UE, ONZ, USA, w tym OFAC, ani nie jest kontrolowany przez podmiot objęty sankcjami), nie ma siedziby w jurysdykcji objętej kompleksowymi sankcjami ani nie prowadzi z niej działalności oraz nie będzie wykorzystywać usługi do celów zakazanych, w tym z naruszeniem właściwych przepisów eksportowych i sankcyjnych. Naruszenie uprawnia SETOR AI do natychmiastowego zawieszenia lub zakończenia świadczenia usługi.
10. Okresy retencji danych
Przechowujemy dane osobowe wyłącznie przez czas niezbędny do osiągnięcia celów zbierania, wypełnienia obowiązków prawnych, rozstrzygnięcia sporów i egzekwowania umów, zgodnie z zasadą ograniczenia przechowywania z RODO (art. 5 ust. 1 lit. e). Okresy retencji:
| Kategoria danych | Okres retencji | Podstawa retencji |
|---|---|---|
| Dane konta | Czas trwania umowy + 30 dni | Umowa; następnie usunięcie/anonimizacja |
| Treść wiadomości z Instagrama | Czas trwania umowy + 180 dni | Umowa; klient może zażądać wcześniejszego usunięcia |
| Tokeny dostępu Instagram | Czas trwania połączenia; unieważniane po odłączeniu | Umowa |
| Tokeny Google OAuth | Czas trwania połączenia + 30 dni | Umowa; szyfrowane w spoczynku |
| Dane z połączonych usług Google | Wyłącznie w czasie rzeczywistym; nie są zatrzymywane | Umowa |
| Dane wejściowe/wyjściowe AI | Przejściowe (niezatrzymywane po sesji) | Umowa |
| Dokumenty płatnicze i finansowe | 5 lat od końca roku obrotowego | Obowiązek prawny (art. 74 ustawy o rachunkowości; ustawa o VAT) |
| Analityka produktowa i nagrania sesji | Do 36 miesięcy, następnie usunięcie/anonimizacja | Zgoda |
| Dane atrybucji reklam i analityki | Do 36 miesięcy | Zgoda; prawnie uzasadniony interes (atrybucja wewnętrzna) |
| Hash IP (łączenie tożsamości w analityce) | Do 36 miesięcy, następnie usunięcie/anonimizacja | Zgoda (surowy adres IP nie jest przechowywany w analityce) |
| Zapisy zgód marketingowych | Czas trwania relacji + 3 lata | Prawnie uzasadniony interes (wykazanie zgodności) |
| Korespondencja wsparcia | 24 miesiące od rozwiązania sprawy | Prawnie uzasadniony interes |
| Logi bezpieczeństwa, IP, geolokalizacja | 12 miesięcy | Prawnie uzasadniony interes |
| Dane z plików cookie | Zgodnie z Polityką cookies | Zgoda / niezbędność |
| Zapisy zgód (akceptacja Regulaminu/Polityki prywatności) | Czas trwania umowy + 6 lat | Obowiązek prawny (rozliczalność RODO, terminy przedawnienia) |
Procedury usuwania: po upływie okresu retencji dane osobowe są bezpiecznie i trwale usuwane lub nieodwracalnie anonimizowane w ciągu 30 dni, metodami właściwymi dla nośnika.
Żądania wcześniejszego usunięcia: osoby, których dane dotyczą, mogą żądać wcześniejszego usunięcia w ramach prawa do usunięcia danych (punkt 11), z zastrzeżeniem wskazanych wyjątków.
11. Prawa osób, których dane dotyczą
Jeżeli przebywasz w EOG lub innej jurysdykcji z prawem ochrony danych, przysługują Ci następujące prawa w odniesieniu do danych osobowych przetwarzanych przez SETOR AI jako administratora:
11.1 Prawo dostępu (art. 15 RODO)
Możesz zażądać potwierdzenia, czy przetwarzamy Twoje dane osobowe, a jeżeli tak, uzyskać ich kopię wraz z informacjami uzupełniającymi, w tym o celach, kategoriach danych, odbiorcach, okresach retencji i istnieniu zautomatyzowanego podejmowania decyzji.
11.2 Prawo do sprostowania (art. 16 RODO)
Możesz zażądać poprawienia nieprawidłowych danych osobowych oraz uzupełnienia danych niekompletnych, które posiadamy.
11.3 Prawo do usunięcia danych – prawo do bycia zapomnianym (art. 17 RODO)
Możesz zażądać usunięcia danych, gdy: (a) dane nie są już niezbędne do celów, dla których je zebrano; (b) wycofasz zgodę i nie istnieje inna podstawa; (c) skorzystasz z prawa sprzeciwu i nie występują nadrzędne prawnie uzasadnione podstawy; (d) dane były przetwarzane niezgodnie z prawem; lub (e) usunięcia wymaga prawo.
Wyjątki: prawo to podlega wyjątkom, m.in. gdy przetwarzanie jest niezbędne do wypełnienia obowiązków prawnych (np. dokumenty finansowe), do ustalenia, dochodzenia lub obrony roszczeń albo do korzystania z wolności wypowiedzi i informacji.
11.4 Prawo do ograniczenia przetwarzania (art. 18 RODO)
Możesz zażądać ograniczenia przetwarzania, gdy kwestionujesz prawidłowość danych, przetwarzanie jest niezgodne z prawem, a sprzeciwiasz się usunięciu, gdy nie potrzebujemy już danych, ale Ty potrzebujesz ich do dochodzenia roszczeń, lub gdy wniosłeś sprzeciw i trwa jego weryfikacja.
11.5 Prawo do przenoszenia danych (art. 20 RODO)
Jeżeli przetwarzanie opiera się na zgodzie lub umowie i odbywa się w sposób zautomatyzowany, możesz otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (JSON lub CSV) i przekazać je innemu administratorowi, o ile jest to technicznie wykonalne.
11.6 Prawo sprzeciwu (art. 21 RODO)
W dowolnym momencie możesz wnieść sprzeciw – z przyczyn związanych z Twoją szczególną sytuacją – wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO), w tym wobec przetwarzania adresu IP i geolokalizacji po stronie serwera w celach bezpieczeństwa, zapobiegania oszustwom i routingu (art. 21 ust. 1 RODO). Zaprzestaniemy przetwarzania, chyba że wykażemy nadrzędne prawnie uzasadnione podstawy albo przetwarzanie będzie niezbędne do ustalenia, dochodzenia lub obrony roszczeń.
Bezwarunkowe prawo sprzeciwu wobec marketingu bezpośredniego (art. 21 ust. 2 RODO): przysługuje Ci bezwarunkowe prawo sprzeciwu wobec przetwarzania na potrzeby marketingu bezpośredniego, w tym profilowania marketingowego i reklamowego łączenia tożsamości. Po skorzystaniu z tego prawa natychmiast i trwale zaprzestajemy przetwarzania Twoich danych w tych celach.
11.7 Prawa związane ze zautomatyzowanym podejmowaniem decyzji (art. 22 RODO)
Masz prawo nie podlegać decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, które wywołują skutki prawne lub w podobny sposób istotnie na Ciebie wpływają. Jak wyjaśniono w punkcie 12, nasza usługa nie obejmuje takich decyzji, ponieważ istotne decyzje biznesowe podejmują ludzie – handlowcy lub klienci – dysponujący rzeczywistą swobodą oceny, a nie jedynie zatwierdzający wyniki systemu.
11.8 Prawo do wycofania zgody
Jeżeli przetwarzanie opiera się na zgodzie, możesz ją wycofać w każdej chwili, bez wpływu na zgodność z prawem przetwarzania sprzed wycofania. Aby wycofać zgodę:
- E-maile marketingowe: użyj linku rezygnacji w dowolnym e-mailu marketingowym
- Zgoda na cookies, analitykę i reklamy: użyj linku „Ustawienia cookies” w stopce strony
- Integracja Google: odłącz w panelu lub cofnij dostęp w ustawieniach konta Google
- Pozostałe zgody: napisz na [email protected]
11.9 Realizacja Twoich praw
Aby skorzystać z któregokolwiek prawa, wyślij żądanie na [email protected]. Możemy zweryfikować Twoją tożsamość możliwie najmniej inwazyjną metodą. Odpowiemy w ciągu trzydziestu (30) dni kalendarzowych, z możliwością przedłużenia o sześćdziesiąt (60) dni w przypadku żądań złożonych lub licznych. Odpowiedzi są bezpłatne; za żądania ewidentnie nieuzasadnione lub nadmierne możemy pobrać rozsądną opłatę. Jeżeli SETOR AI przetwarza Twoje dane jako podmiot przetwarzający w imieniu klienta, kieruj żądania do klienta (administratora).
12. Zautomatyzowane podejmowanie decyzji, profilowanie i łączenie tożsamości
12.1 Charakter zautomatyzowanego przetwarzania
Usługa wykorzystuje AI i uczenie maszynowe do automatyzacji elementów zarządzania DM na Instagramie, w tym generowania odpowiedzi, klasyfikacji rozmów, oceny leadów, analizy sentymentu oraz decyzji o kierowaniu do właściwych przedstawicieli lub procesów.
12.2 Profilowanie marketingowe i łączenie tożsamości (cross-device)
W naszych działaniach marketingowych prowadzimy łączenie tożsamości (identity stitching) między urządzeniami i systemami (cross-device i cross-system) oraz profilowanie marketingowe. Polega to na łączeniu zdarzeń na ścieżce: udział w quizie na stronie, adres e-mail (i jego hash), rekord w CRM, zdarzenia konwersji w narzędziach reklamowych Meta oraz dane rozliczeniowe w Stripe. Celem jest pomiar skuteczności reklam, atrybucja konwersji i dostarczanie trafniejszego marketingu.
Jednym z używanych identyfikatorów jest ip_hash – pseudonim obliczany funkcją skrótu z adresu IP oraz identyfikatora wyniku quizu. Używamy go wyłącznie do łączenia zdarzeń tego samego leada między urządzeniami w naszej własnej analityce. Surowy adres IP nie jest przechowywany w analityce, a ip_hash nigdy nie służy jako klucz tożsamości i nie łączy różnych osób korzystających z tego samego IP (np. za NAT-em dostawcy internetu). ip_hash jest generowany dopiero po kwalifikowanym wyniku quizu i wyłącznie za zgodą na analitykę. Przechowujemy go do 36 miesięcy, a następnie usuwamy lub anonimizujemy.
Zahaszowane identyfikatory, w tym hash e-maila i ip_hash, pozostają danymi osobowymi zgodnie z wyrokiem TSUE w sprawie C-604/22 IAB Europe i stosujemy wobec nich pełną ochronę. Łączenie tożsamości i profilowanie marketingowe w celach reklamowych opierają się na zgodzie (punkty 4 i 15). W każdej chwili możesz skorzystać z bezwarunkowego prawa sprzeciwu wobec marketingu bezpośredniego (art. 21 ust. 2 RODO).
12.3 Ocena na gruncie art. 22 RODO
Ani automatyzacja DM, ani profilowanie marketingowe nie stanowią decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, wywołującej skutki prawne lub w podobny sposób istotnie wpływającej na osobę w rozumieniu art. 22 RODO, ponieważ:
- Człowiek w pętli: istotne decyzje biznesowe (kontakt, oferta, sprzedaż) podejmują ludzie – handlowcy lub klienci – dysponujący rzeczywistą swobodą oceny, a nie sam system
- Brak wyłącznie automatycznego skutku prawnego: SETOR AI nie podejmuje decyzji wywołujących skutki prawne lub podobnie istotne wyłącznie w sposób zautomatyzowany; istotne decyzje wymagają osądu człowieka, a nie mechanicznego zatwierdzania wyników systemu
- Nadzór klienta: klienci konfigurują reguły, szablony i parametry oraz mogą przeglądać, edytować, zastępować lub usuwać automatyczne wyniki
- Brak wiążących skutków dla osób: usługa nie podejmuje decyzji kredytowych, zatrudnieniowych ani dotyczących dostępu do usług podstawowych; profilowanie marketingowe służy kierowaniu komunikacji, a nie wykluczaniu
- Dostępny kontakt z człowiekiem: Użytkownicy końcowi zawsze mogą poprosić o kontakt z człowiekiem
12.4 Twoje prawa informacyjne
Niezależnie od powyższej oceny zapewniamy przejrzystość: na żądanie wyjaśnimy w zrozumiały sposób logikę naszego profilowania marketingowego oraz jego znaczenie i przewidywalne konsekwencje. Możesz zakwestionować każdą klasyfikację lub ocenę, pisząc na [email protected].
12.5 Przejrzystość wobec Użytkowników końcowych
Klienci stosujący usługę wobec swoich odbiorców na Instagramie, jako administratorzy, odpowiadają za odpowiednią przejrzystość wobec Użytkowników końcowych, w tym za poinformowanie ich o możliwej interakcji z AI (art. 50 AI Act), zapewnienie kontaktu z człowiekiem oraz zgodność z prawem ochrony konsumentów. SETOR AI dostarcza narzędzia konfiguracyjne wspierające te obowiązki (punkt 17).
13. Bezpieczeństwo danych
13.1 Środki techniczne i organizacyjne
Wdrażamy i utrzymujemy odpowiednie środki techniczne i organizacyjne chroniące dane osobowe przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem. Kluczowe środki obejmują:
- Szyfrowanie w tranzycie: TLS 1.3 dla wszystkich danych między użytkownikami, naszą infrastrukturą i partnerami zewnętrznymi
- Szyfrowanie w spoczynku: AES-256 dla danych wrażliwych, w tym tokenów dostępu, danych uwierzytelniających, danych osobowych
- Kontrola dostępu: RBAC, zasada najmniejszych uprawnień, uwierzytelnianie wieloskładnikowe (MFA), kwartalne przeglądy dostępów
- Standardy uwierzytelniania: hasła o długości co najmniej 16 znaków, rotacja poświadczeń kont serwisowych
- Bezpieczeństwo sieci: Cloudflare WAF, ochrona przed DDoS, wykrywanie/zapobieganie włamaniom, segmentacja sieci
- Logowanie audytowe: niezmienialne logi audytowe z 12-miesięczną retencją
- Zarządzanie podatnościami: SAST w pipeline CI/CD, automatyczne skanowanie zależności
- Szkolenia pracowników: regularne szkolenia z zakresu świadomości bezpieczeństwa
- Ciągłość działania: RPO 24 godziny, RTO 48 godzin
- Ocena dostawców: ocena bezpieczeństwa przed nawiązaniem współpracy i coroczny przegląd wszystkich podprzetwarzających
- Reagowanie na incydenty: udokumentowany plan z corocznymi ćwiczeniami symulacyjnymi
- Maskowanie nagrań sesji: nagrania sesji maskują wszystkie pola tekstowe i dane wejściowe, aby nie rejestrować treści osobistych
13.2 Pełna specyfikacja bezpieczeństwa
Kompleksowe środki techniczne i organizacyjne opisano szczegółowo w Załączniku 1 do Umowy Powierzenia Przetwarzania Danych (Załącznik A do Regulaminu). Klienci mogą uzyskać podsumowanie aktualnych środków bezpieczeństwa pod adresem [email protected].
13.3 Ograniczenie odpowiedzialności
Chociaż stosujemy zabezpieczenia zgodne ze standardami branżowymi i stale je wzmacniamy, żadna transmisja internetowa ani metoda przechowywania elektronicznego nie jest w pełni bezpieczna. Zobowiązujemy się do handlowo uzasadnionych środków ochrony danych osobowych i niezwłocznego reagowania na wykryte podatności.
14. Zgłaszanie naruszeń
14.1 Zgłoszenie do organu nadzorczego
Po wykryciu naruszenia ochrony danych osobowych, które może powodować ryzyko naruszenia praw lub wolności, SETOR AI zgłosi je Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od wykrycia naruszenia, zgodnie z art. 33 RODO.
14.2 Zawiadomienie osób, których dane dotyczą
Jeżeli naruszenie powoduje wysokie ryzyko naruszenia praw lub wolności, SETOR AI zawiadomi dotknięte osoby bez zbędnej zwłoki zgodnie z art. 34 RODO, e-mailem na zarejestrowany adres konta, powiadomieniem w aplikacji i/lub komunikatem na stronie, jeżeli indywidualne zawiadomienie byłoby nieproporcjonalne. Zawiadomienie obejmie charakter naruszenia, dane kontaktowe, prawdopodobne konsekwencje oraz środki zaradcze.
14.3 Powiadomienie o naruszeniu w roli podmiotu przetwarzającego
Jeżeli SETOR AI wykryje naruszenie dotyczące danych przetwarzanych w imieniu klienta (rola podmiotu przetwarzającego), powiadomi dotkniętego klienta bez zbędnej zwłoki, w ciągu 24 godzin od wykrycia, zgodnie z Umową Powierzenia Przetwarzania Danych. Klient (administrator) zachowuje wyłączną decyzję co do zawiadomienia organu nadzorczego i osób, których dane dotyczą.
14.4 Dokumentacja naruszeń
Wszystkie naruszenia są dokumentowane (okoliczności, skutki, działania zaradcze) i przechowywane do wglądu organu nadzorczego zgodnie z art. 33 ust. 5 RODO.
15. Pliki cookie i technologie śledzące
15.1 Przegląd i kategorie
Na naszej stronie (setor.ai) i w aplikacji (app.setor.ai) stosujemy pliki cookie, piksele, local storage i podobne technologie w trzech kategoriach:
- Ściśle niezbędne: konieczne do działania usługi (zarządzanie sesją, uwierzytelnianie, ochrona CSRF, przechowywanie zgód) – zgoda nie jest wymagana
- Analityczne i wydajnościowe: do zrozumienia sposobu korzystania ze strony i aplikacji (w tym PostHog, nagrywanie sesji) – wymagają Twojej uprzedniej zgody
- Marketingowe i reklamowe: do mierzenia skuteczności kampanii, atrybucji konwersji i remarketingu (w tym Meta Pixel, Conversions API) – wymagają Twojej uprzedniej zgody
15.2 Wymóg uprzedniej aktywnej zgody
Pliki analityczne, marketingowe i reklamowe oraz nagrywanie sesji nie są ładowane, dopóki nie wyrazisz uprzedniej aktywnej zgody w banerze zgód. Zgoda jest granularna (możesz zaakceptować lub odrzucić każdą kategorię); nie stosujemy domyślnie zaznaczonych pól (zgodnie z wyrokiem TSUE C-673/17 Planet49) ani „cookie walls”. Ujawniamy okres ważności plików cookie i dostęp podmiotów trzecich.
Podstawą prawną dostępu do informacji na Twoim urządzeniu jest art. 5 ust. 3 dyrektywy 2002/58/WE (e-Privacy) oraz art. 399 polskiej ustawy Prawo komunikacji elektronicznej (uprzednia zgoda na cookies), a w zakresie dalszego przetwarzania danych osobowych art. 400 tej ustawy w związku z RODO. Egzekwowanie należy do Prezesa Urzędu Komunikacji Elektronicznej (UKE) i Prezesa UODO.
15.3 Polityka cookies
Pełne informacje o wszystkich plikach cookie, celach, retencji, dostawcach i sposobach zarządzania znajdują się w naszej Polityce cookies pod adresem setor.ai/cookies. Preferencjami możesz zarządzać w każdej chwili, klikając „Ustawienia cookies” w stopce strony.
16. Marketing elektroniczny
Marketing elektroniczny (e-mail, SMS, inne kanały) prowadzimy wyłącznie na podstawie Twojej uprzedniej zgody (opt-in) zgodnie z art. 398 polskiej ustawy Prawo komunikacji elektronicznej. Wymóg ten stosujemy również w relacjach B2B.
Zgoda marketingowa jest dobrowolna i niezależna od jakiejkolwiek innej usługi – w szczególności wynik quizu otrzymasz niezależnie od zgody marketingowej. Zgoda wymuszona lub wiązana byłaby nieważna, dlatego jej nie narzucamy. Zgodę możesz wycofać w każdej chwili, ze skutkiem na przyszłość, przez link rezygnacji w dowolnej wiadomości lub pisząc na [email protected].
17. Przejrzystość na gruncie AI Act
17.1 Zakres i harmonogram
AI Act (rozporządzenie 2024/1689) ustanawia ramy regulacyjne dla systemów AI. Obowiązki przejrzystości z art. 50 (systemy AI wchodzące w bezpośrednią interakcję z osobami) obowiązują od 2 sierpnia 2026 r. Traktujemy usługę jako system AI podlegający wymogom przejrzystości z art. 50, a nie jako system wysokiego ryzyka.
17.2 Role: dostawca (SETOR AI) i podmiot stosujący (klient)
Rola SETOR AI (dostawca): SETOR AI wypełnia obowiązek projektowy z art. 50 ust. 1 poprzez zapewnienie funkcji ujawnienia – konfigurowalnego komunikatu informującego rozmówcę, że kontaktuje się z systemem AI. SETOR AI projektuje narzędzie tak, aby umożliwiało takie ujawnienie, i dokumentuje, że usługa wykorzystuje AI do generowania i klasyfikacji wiadomości.
Rola klienta (podmiot stosujący): klient samodzielnie konfiguruje personę AI, w tym sposób, w jaki się ona przedstawia. Jako podmiot konfigurujący personę i stosujący ją wobec swoich odbiorców, klient odpowiada za faktyczne poinformowanie Użytkowników końcowych, że wchodzą w interakcję z AI (zgodnie z art. 50 ust. 1 i z zastrzeżeniem wyjątku, gdy jest to oczywiste z kontekstu, najpóźniej przy pierwszej interakcji – art. 50 ust. 5). Klient zobowiązuje się nie wyłączać ani nie obchodzić funkcji ujawnienia i zwalnia SETOR AI z odpowiedzialności za brak zgodności. Obowiązki klienta dotyczące rozpoznawania emocji, kategoryzacji biometrycznej i treści deepfake (art. 50 ust. 3-4) mają zastosowanie, jeżeli klient korzysta z takich funkcji.
SETOR AI nie twierdzi, że jest zwolniony ze wszystkich obowiązków, ani Użytkownik końcowy nie zrzeka się prawa do wiedzy, że kontaktuje się z AI – takie postanowienia byłyby nieważne. SETOR AI zapewnia funkcję ujawnienia (wypełniając art. 50 ust. 1 przez projekt); klient konfiguruje personę; klient ponosi operacyjną odpowiedzialność za faktyczne ujawnienie i zwolnienie z odpowiedzialności jako podmiot stosujący.
17.3 Organ właściwy
Organem nadzoru rynku dla AI Act w Polsce będzie organ wyznaczony w przepisach wdrażających (planowo nowo utworzona komisja, robocza nazwa: Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji – KRiBSI); prace legislacyjne są w toku. Przepisy wdrażające zaktualizują to postanowienie. Niezależnie od tego Prezes UODO pozostaje organem właściwym w sprawach ochrony danych osobowych.
17.4 Klasyfikacja systemu i praktyki zakazane
Usługa nie jest klasyfikowana jako system AI wysokiego ryzyka w rozumieniu załącznika III, ponieważ nie służy do decyzji o zatrudnieniu, oceny zdolności kredytowej, dostępu do usług podstawowych, egzekwowania prawa ani zarządzania migracją. Klienci nie mogą wykorzystywać usługi do celów skutkujących taką klasyfikacją. Zgodnie z art. 5 AI Act usługa nie stosuje technik podprogowych, manipulacyjnych ani wprowadzających w błąd, nie wykorzystuje słabości grup, nie prowadzi scoringu społecznego, zdalnej identyfikacji biometrycznej w czasie rzeczywistym ani rozpoznawania emocji w kontekście pracy lub edukacji.
17.5 Kary i rozwój regulacji
Naruszenie obowiązków przejrzystości z art. 50 zagrożone jest karami do 15 mln EUR lub 3% globalnego rocznego obrotu (w zależności od tego, która kwota jest wyższa; art. 99 ust. 4 lit. g AI Act), z niższymi progami dla MŚP (art. 99 ust. 6). Jeżeli wytyczne regulacyjne lub działania egzekucyjne doprowadzą do przeklasyfikowania usługi, SETOR AI wdroży wymagane środki w obowiązującym terminie i zaktualizuje niniejszą politykę.
18. Ograniczenie odpowiedzialności (B2B) i zwolnienie z odpowiedzialności
18.1 Ograniczenie odpowiedzialności w relacjach B2B
W relacjach z klientami B2B (niebędącymi konsumentami), w granicach swobody umów (art. 353¹ Kodeksu cywilnego), całkowita łączna odpowiedzialność SETOR AI wynikająca z usługi lub z nią związana jest ograniczona do łącznej kwoty opłat zapłaconych przez klienta w okresie dwunastu (12) miesięcy poprzedzających zdarzenie będące podstawą roszczenia.
W zakresie dozwolonym prawem wyłączamy odpowiedzialność za szkody pośrednie, następcze oraz utracone korzyści (lucrum cessans); na podstawie art. 361 § 2 Kodeksu cywilnego zakres odszkodowania w relacjach B2B może zostać umownie ograniczony do rzeczywistej straty (damnum emergens).
Żadne postanowienie nie ogranicza ani nie wyłącza odpowiedzialności SETOR AI za szkody wyrządzone umyślnie (art. 473 § 2 Kodeksu cywilnego, który zakazuje wyłączenia odpowiedzialności za szkodę wyrządzoną wierzycielowi umyślnie) ani żadnej odpowiedzialności, której nie można wyłączyć ani ograniczyć na podstawie przepisów bezwzględnie obowiązujących.
18.2 Klauzula ochrony konsumenta
Powyższe ograniczenia odpowiedzialności nie mają zastosowania do konsumentów ani osób fizycznych zawierających umowę w sposób niezwiązany głównie z ich działalnością zawodową, do których stosuje się prawo konsumenckie (art. 385¹ i 385⁵ Kodeksu cywilnego). Osoby takie są chronione na zasadach ogólnych odpowiedzialności, a niedozwolone postanowienia umowne ich nie wiążą.
18.3 Zwolnienie SETOR AI z odpowiedzialności przez klienta
Klient zwalnia SETOR AI z odpowiedzialności oraz zobowiązuje się naprawić szkodę i pokryć uzasadnione koszty (w tym koszty obsługi prawnej) z tytułu roszczeń wynikających z:
- Braku po stronie klienta podstawy prawnej lub zgody na kontakt z jego odbiorcami (adresatami, kontaktami, Użytkownikami końcowymi)
- Niepoinformowania Użytkowników końcowych, że kontaktują się z systemem AI, albo wyłączenia/obejścia funkcji ujawnienia SETOR AI
- Naruszenia przez klienta warunków platform Meta, Instagram lub WhatsApp
- Korzystania z usługi niezgodnie z prawem lub do celów AI wysokiego ryzyka w rozumieniu AI Act
19. Dane dzieci
Usługa jest platformą B2B przeznaczoną wyłącznie do profesjonalnego użytku biznesowego. Usługa nie jest skierowana do osób poniżej szesnastego (16) roku życia i nie zbieramy świadomie danych osobowych takich osób (próg wiekowy z art. 8 ust. 1 RODO obowiązujący w Polsce).
Jeżeli odkryjemy, że nieumyślnie zebraliśmy dane dziecka poniżej 16 lat bez ważnej zgody rodzica/opiekuna, natychmiast je usuniemy. Jeżeli uważasz, że mogliśmy zebrać takie dane, napisz na [email protected].
Klienci korzystający z usługi do interakcji ze swoimi odbiorcami odpowiadają za zapewnienie, że usługa nie jest wykorzystywana do przetwarzania danych osobowych osób poniżej obowiązującego progu wiekowego bez ważnej zgody rodzica/opiekuna, zgodnie z RODO i warunkami platformy Meta.
20. Prawo wniesienia skargi
Bez uszczerbku dla innych środków prawnych masz prawo wnieść skargę do właściwego organu nadzorczego ds. ochrony danych, w szczególności w państwie członkowskim UE Twojego zwykłego pobytu, miejsca pracy lub miejsca domniemanego naruszenia (art. 77 RODO).
Właściwym organem nadzorczym w Polsce (jurysdykcja siedziby SETOR AI) jest Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, Polska; strona: uodo.gov.pl; telefon: +48 22 531 03 00; e-mail: [email protected].
Zachęcamy do wcześniejszego kontaktu pod adresem [email protected] przed złożeniem formalnej skargi, ponieważ staramy się rozwiązywać kwestie prywatności bezpośrednio i szybko.
21. Prawo właściwe i sąd właściwy
Niniejsza polityka i sprawy z nią związane podlegają prawu polskiemu oraz bezpośrednio stosowanemu prawu UE, w tym RODO. Wybór ten nie pozbawia konsumentów ochrony przyznanej im przez przepisy bezwzględnie obowiązujące w państwie ich zwykłego pobytu.
Dla sporów B2B (klienci niebędący konsumentami) właściwy jest sąd siedziby SETOR AI: Sąd Rejonowy Lublin-Wschód w Lublinie z siedzibą w Świdniku, a dla roszczeń przekraczających jego właściwość rzeczową Sąd Okręgowy w Lublinie. W sprawach konsumenckich właściwość sądu określają przepisy bezwzględnie obowiązujące.
22. Zmiany polityki
Możemy aktualizować niniejszą politykę, aby odzwierciedlić zmiany praktyk, rozwój prawa, wytyczne regulacyjne lub wymogi operacyjne. Data ostatniej aktualizacji znajduje się w nagłówku.
O istotnych zmianach – znacząco wpływających na Twoje prawa lub przetwarzanie danych – powiadomimy Cię z wyprzedzeniem co najmniej trzydziestu (30) dni e-mailem na główny adres konta, powiadomieniem w aplikacji oraz komunikatem na stronie setor.ai/privacy.
Zmiany cen wymagają wyraźnej akceptacji; dalsze korzystanie z usługi nie stanowi akceptacji podwyżki. Jeżeli obowiązujące prawo wymaga wyraźnej ponownej zgody po istotnych zmianach, wdrożymy mechanizm ponownej zgody i nie będziemy opierać się na dalszym korzystaniu. Aktualna wersja jest zawsze dostępna pod adresem setor.ai/privacy; wcześniejsze wersje udostępniamy na żądanie pod adresem [email protected].
23. Kontakt
W razie pytań, wątpliwości lub żądań dotyczących niniejszej polityki prywatności lub naszych praktyk przetwarzania danych napisz na: [email protected]
Adres korespondencyjny: SETOR AI Spółka z ograniczoną odpowiedzialnością, ul. Tomasza Zana 1, 20-601 Lublin, Polska.
Potwierdzamy otrzymanie w ciągu pięciu (5) dni roboczych i udzielamy merytorycznej odpowiedzi w ciągu trzydziestu (30) dni kalendarzowych. W przypadku podejrzenia naruszenia ochrony danych lub pilnych kwestii bezpieczeństwa umieść w temacie „SECURITY - URGENT” i wyślij na [email protected].
Niniejsza Polityka prywatności została przygotowana z najwyższą starannością i w oparciu o zweryfikowane podstawy prawne. Jako dokument prawny może podlegać końcowej weryfikacji i korekcie przez prawnika, w szczególności w miarę rozwoju orzecznictwa i krajowych przepisów wdrażających AI Act.
Data wejścia w życie: 1 lipca 2026 r.
Wersja: 4.0
© 2026. Wszelkie prawa zastrzeżone.
