Polityka Prywatności
Obowiązuje od: 19 marca 2026 r.
1. Administrator danych osobowych
Administratorem Twoich danych osobowych jest Anna Szałach, zamieszkała pod adresem ul. Radosna 36, 82-200 Grobelno (dalej: „Administrator").
Kontakt z Administratorem: kontakt@marketplace-ai.pl
Ostatnia aktualizacja: 23 marca 2026 r.
2. Jakie dane zbieramy?
2.1. Użytkownicy zarejestrowani (logowanie przez Google)
Podczas logowania przez Google OAuth pobieramy:
- Imię i nazwisko — wyświetlanie w profilu
- Adres e-mail — identyfikacja konta, kontakt
- Zdjęcie profilowe — wyświetlanie w interfejsie (opcjonalne)
Dodatkowo przechowujemy:
- Plan taryfowy i liczbę kredytów — obsługa subskrypcji
- Identyfikator klienta Stripe — powiązanie konta z płatnościami
- Wygenerowane ogłoszenia — tytuły, opisy, zdjęcia produktów, parametry generacji
- Szablony ogłoszeń — predefiniowane szablony przechowywane na koncie użytkownika (dostępne w planie RESELER)
- Historia aktywności — rejestr działań użytkownika (generowanie, zapisywanie, publikowanie, sprzedaż, archiwizacja, usuwanie ogłoszeń)
2.2. Goście (niezarejestrowani)
Dla niezarejestrowanych użytkowników przechowujemy:
- Anonimowy identyfikator (UUID) — generowany losowo, przechowywany w przeglądarce (localStorage). Nie jest to dana osobowa — nie pozwala na identyfikację osoby.
- Zahaszowany adres IP (SHA-256) — jednokierunkowy hash algorytmem SHA-256, służący do rate-limitingu. Nie przechowujemy surowych adresów IP.
2.3. Dane płatnicze
Dane płatnicze (numer karty, dane BLIK) są przetwarzane wyłącznie przez Stripe, Inc. i nie są przechowywane w naszym Serwisie.
2.4. Zdjęcia produktów
Zdjęcia przesłane przez Użytkownika:
- Są przesyłane do OpenAI API w celu analizy przez AI (chwilowo, nie są przechowywane przez OpenAI do trenowania modeli)
- Po zapisaniu ogłoszenia: thumbnails (zmniejszone kopie) przechowywane w Supabase Storage
- Użytkownik może je usunąć w dowolnym momencie (usunięcie ogłoszenia kasuje też zdjęcia)
3. W jakim celu przetwarzamy dane?
| Cel | Dane | Podstawa prawna (RODO) |
|---|---|---|
| Świadczenie usługi (generowanie ogłoszeń) | Imię, email, zdjęcia produktów | Art. 6 ust. 1 lit. b — wykonanie umowy |
| Obsługa konta użytkownika | Imię, email, avatar | Art. 6 ust. 1 lit. b — wykonanie umowy |
| Obsługa płatności i subskrypcji | Email, identyfikator klienta Stripe | Art. 6 ust. 1 lit. b — wykonanie umowy |
| Rate-limiting gości | UUID, hash IP | Art. 6 ust. 1 lit. f — uzasadniony interes: ochrona przed nadużyciami |
| Rozpatrywanie reklamacji | Email, dane konta | Art. 6 ust. 1 lit. b — wykonanie umowy |
| Wystawianie faktur | Dane do faktury (jeśli podane) | Art. 6 ust. 1 lit. c — obowiązek prawny |
| Powiadomienia transakcyjne (email potwierdzający rejestrację, aktywację planu, zakup doładowania) oraz powiadomienia o stanie konta (np. niski stan kredytów) | Art. 6 ust. 1 lit. b — wykonanie umowy / Art. 6 ust. 1 lit. f — uzasadniony interes Administratora | |
| Prowadzenie historii aktywności | Typ akcji, ID ogłoszenia, data | Art. 6 ust. 1 lit. f — uzasadniony interes: zapewnienie ciągłości usługi i audytowalności |
Administrator informuje, że nie stosuje profilowania w rozumieniu art. 22 RODO, to jest zautomatyzowanego podejmowania decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na osobę fizyczną.
4. Komu udostępniamy dane?
Twoje dane mogą być przekazywane następującym podmiotom przetwarzającym, z którymi Administrator zawarł umowy powierzenia przetwarzania danych osobowych:
| Podmiot | Cel | Lokalizacja | Zabezpieczenia |
|---|---|---|---|
| Google (OAuth) | Uwierzytelnianie | USA | Standardowe klauzule umowne (SCCs) |
| OpenAI | Generowanie treści AI | USA | SCCs, Data Processing Agreement |
| Supabase | Baza danych, storage | EU/USA | SCCs, szyfrowanie |
| Stripe (za pośrednictwem F.H.U. Krzysztof Szałach, NIP: 579-209-58-51) | Płatności | EU | Certyfikat PCI DSS Level 1 |
| Vercel | Hosting aplikacji | EU/USA | SCCs, Edge Functions |
| Resend (Resend Inc.) | Wysyłka emaili transakcyjnych (rejestracja, zakup planu, stan kredytów) | USA | SCCs, Data Processing Agreement |
| Sentry (Functional Software, Inc.) | Monitoring błędów aplikacji | USA | SCCs |
| Google LLC (Google Analytics 4) | Analityka ruchu i zachowania użytkowników (za zgodą) | USA | Standardowe klauzule umowne (SCCs) |
| Vercel Analytics | Anonimowe statystyki odwiedzin (brak danych osobowych) | EU/USA | Dane anonimowe, brak wymogu zgody |
Nie sprzedajemy Twoich danych osobowych osobom trzecim.
Nie wykorzystujemy treści Twoich ogłoszeń do trenowania modeli AI ani w celach marketingowych.
5. Jak długo przechowujemy dane?
| Dane | Okres przechowywania |
|---|---|
| Dane konta (imię, email) | Do momentu usunięcia konta |
| Ogłoszenia i zdjęcia | Do momentu usunięcia przez Użytkownika lub usunięcia konta |
| Szablony ogłoszeń | Do momentu usunięcia przez Użytkownika lub usunięcia konta |
| Historia aktywności | Ostatnie 50 zdarzeń per użytkownik |
| Dane do faktur | 5 lat (obowiązek podatkowy) |
| Logi rate-limitingu (hash IP) | 30 dni |
| UUID gości | Do czyszczenia localStorage przez Użytkownika |
Tymczasowe ogłoszenie gościa (pending_ad) | IndexedDB w przeglądarce — do zalogowania lub ręcznego usunięcia |
Po usunięciu konta: dane osobowe usuwane w ciągu 30 dni. Dane wymagane prawnie (faktury) przechowywane przez wymagany okres.
6. Twoje prawa
Na podstawie RODO przysługują Ci następujące prawa:
6.1. Prawo dostępu (art. 15 RODO)
Masz prawo uzyskać potwierdzenie, czy przetwarzamy Twoje dane, oraz dostęp do nich.
6.2. Prawo do sprostowania (art. 16 RODO)
Masz prawo żądać poprawienia nieprawidłowych danych. W Serwisie dane profilu (imię, avatar) są pobierane z Google — zmiany dokonujesz w koncie Google.
6.3. Prawo do usunięcia (art. 17 RODO)
Masz prawo żądać usunięcia swoich danych. Możesz:
- Usunąć pojedyncze ogłoszenia w Dashboardzie
- Usunąć konto (usuwa wszystkie dane: profil, ogłoszenia, zdjęcia)
- Skontaktować się z nami emailowo w celu usunięcia danych
6.4. Prawo do ograniczenia przetwarzania (art. 18 RODO)
Masz prawo żądać ograniczenia przetwarzania danych w określonych sytuacjach.
6.5. Prawo do przenoszenia danych (art. 20 RODO)
Masz prawo otrzymać swoje dane w ustrukturyzowanym formacie. Serwis udostępnia:
- Eksport ogłoszeń do CSV (dostępny w Dashboardzie)
- Na życzenie: eksport pełnych danych konta w formacie JSON
6.6. Prawo do sprzeciwu (art. 21 RODO)
Masz prawo sprzeciwić się przetwarzaniu danych opartemu na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO), w tym przetwarzaniu na potrzeby rate-limitingu i historii aktywności.
6.7. Prawo do wycofania zgody
Jeśli przetwarzanie oparte jest na zgodzie, możesz ją wycofać w dowolnym momencie. W sprawach dotyczących rezygnacji z powiadomień lub realizacji praw RODO skontaktuj się pod adresem: privacy@marketplace-ai.pl. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem.
6.8. Prawo do skargi
Masz prawo złożyć skargę do organu nadzorczego:
Prezes Urzędu Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
www.uodo.gov.pl
7. Pliki cookies i technologie śledzące
7.1. Cookies niezbędne
| Cookie | Cel | Czas |
|---|---|---|
__Secure-authjs.session-token | Sesja logowania (JWT, 7 dni) | 7 dni |
__Host-authjs.csrf-token | Ochrona CSRF | Sesja |
__Secure-authjs.callback-url | URL powrotny po logowaniu | Sesja |
7.2. Local Storage / IndexedDB
| Klucz | Technologia | Cel | Czas |
|---|---|---|---|
guest_uuid | Local Storage | Identyfikacja gościa (rate-limiting) | Do ręcznego usunięcia |
pending_ad | IndexedDB | Tymczasowe ogłoszenie (soft-wall) | Do zalogowania lub ręcznego usunięcia |
cookie_analytics_consent | Local Storage | Zapamiętanie wyboru plików cookie analitycznych (GA4) | Do ręcznego usunięcia |
7.3. Cookies analityczne (wymagają zgody)
Serwis korzysta z Google Analytics 4 (GA4) — narzędzia analitycznego Google LLC. GA4 ustawia pliki cookie wyłącznie po wyrażeniu przez Użytkownika zgody na cookies analityczne w banerze cookie.
| Cookie | Cel | Czas | Dostawca |
|---|---|---|---|
_ga | Unikalny identyfikator przeglądarki (pseudonimowy) | 2 lata | Google LLC |
_gid | Identyfikator sesji | 24 godziny | Google LLC |
_ga_NER153CSFW | Stan sesji GA4 dla tej właściwości | 2 lata | Google LLC |
Dane zbierane przez GA4 obejmują: pseudonimowy identyfikator klienta, odwiedzone strony, interakcje z formularzem i ścieżkę rejestracji. Dane przekazywane są na serwery Google w USA na podstawie Standardowych Klauzul Umownych (SCCs). Podstawa prawna: art. 6 ust. 1 lit. a RODO — zgoda.
Możesz wycofać zgodę w dowolnym momencie, usuwając klucz cookie_analytics_consent z localStorage przeglądarki (DevTools → Application → Local Storage) oraz cookies _ga, _gid, _ga_NER153CSFW (DevTools → Application → Cookies). Możesz też skontaktować się z nami pod adresem privacy@marketplace-ai.pl.
7.4. Anonimowe statystyki odwiedzin (bez zgody)
Serwis korzysta z Vercel Web Analytics — narzędzia analitycznego, które:
- Nie używa plików cookie ani localStorage
- Nie gromadzi danych osobowych ani adresów IP
- Mierzy wyłącznie anonimowe metryki (liczba odwiedzin, strony, kraj — na poziomie zagregowanym)
- Nie wymaga zgody użytkownika (nie jest narzędziem śledzącym w rozumieniu dyrektywy ePrivacy)
8. Bezpieczeństwo danych
Stosujemy następujące środki bezpieczeństwa:
- Szyfrowanie w transmisji: HTTPS (TLS 1.3) dla całej komunikacji
- Szyfrowanie w spoczynku: Baza danych Supabase z szyfrowaniem na poziomie dysku
- Uwierzytelnianie: Google OAuth 2.0 (nie przechowujemy haseł)
- Tokeny JWT: Bezstanowa sesja, podpisana kluczem AUTH_SECRET, ważna 7 dni
- Row Level Security (RLS): Supabase Storage — użytkownik ma dostęp tylko do swoich plików
- Hashowanie IP: Przechowujemy jedynie jednokierunkowy hash SHA-256, nie surowy adres IP
- Minimalizacja danych: Zbieramy tylko niezbędne minimum
9. Transfer danych poza EOG
Niektórzy nasi dostawcy usług mają siedziby w USA (OpenAI, Google OAuth, Google Analytics, Vercel, Resend, Sentry). Transfer danych odbywa się na podstawie:
- Standardowych klauzul umownych (SCCs) zatwierdzonych przez Komisję Europejską
- Data Processing Agreements (DPA) z każdym dostawcą
Zapewniamy, że transfer danych odbywa się z zachowaniem odpowiedniego poziomu ochrony wymaganego przez RODO.
10. Dane dzieci
Serwis nie jest przeznaczony dla osób poniżej 16 roku życia. Nie zbieramy świadomie danych od dzieci. Jeśli odkryjemy, że zebrano dane osoby niepełnoletniej, niezwłocznie je usuniemy.
11. Zmiany w Polityce Prywatności
11.1. Zastrzegamy sobie prawo do aktualizacji niniejszej Polityki Prywatności.
11.2. O istotnych zmianach poinformujemy Użytkowników drogą elektroniczną (email) co najmniej 14 dni przed wejściem zmian w życie.
11.3. Aktualna wersja Polityki Prywatności jest zawsze dostępna w Serwisie.
12. Kontakt
W sprawach związanych z ochroną danych osobowych, realizacją praw RODO oraz rezygnacją z powiadomień:
Email: privacy@marketplace-ai.pl
W pozostałych sprawach dotyczących Serwisu:
Email: kontakt@marketplace-ai.pl
Adres: Anna Szałach, ul. Radosna 36, 82-200 Grobelno