Spreenity
Polityka prywatności – Spreenity
Ostatnia aktualizacja: 25-05-2026
1. Administrator danych
Administratorem danych osobowych jest:
- JMSOFT Jarosław Maladyn
- Jednoosobowa działalność gospodarcza
- NIP: 6443323082
- Adres: 41-200 Sosnowiec, ul. Sielecka 24/48, Polska
- E-mail kontaktowy: support@spreenity.pl
Administrator nie powołał Inspektora Ochrony Danych (IOD).
We wszelkich sprawach związanych z ochroną danych osobowych prosimy o kontakt mailowy.
2. Zakres zastosowania
Niniejsza Polityka prywatności dotyczy przetwarzania danych osobowych użytkowników korzystających z platformy SaaS "Spreenity", dostępnej pod domeną spreenity.pl, w tym kont użytkowników, panelu aplikacji oraz publicznych stron informacyjnych.
W przypadku rozbieżności między wersjami językowymi Polityki prywatności, wiążąca jest wersja polska (PL).
3. Kategorie przetwarzanych danych osobowych
W zależności od sposobu korzystania z platformy, możemy przetwarzać następujące kategorie danych:
3.1. Dane konta użytkownika
- adres e-mail
- hasło (przechowywane wyłącznie w postaci skrótu kryptograficznego)
- identyfikatory konta
- ustawienia konta i preferencje
- historia wyrażonych zgód (wersja zgody, data akceptacji, źródło zmiany)
3.2. Dane rozliczeniowe
- imię i nazwisko lub nazwa firmy
- adres rozliczeniowy
- numer NIP (jeżeli dotyczy)
- informacje o subskrypcji, planie i fakturach
- identyfikatory płatności (bez danych kart płatniczych – dane kart są przetwarzane wyłącznie przez operatora płatności Stripe)
3.3. Dane techniczne i eksploatacyjne
- adres IP
- identyfikatory sesji
- logi systemowe i bezpieczeństwa
- dane o urządzeniu i przeglądarce
- znaczniki czasu zdarzeń
- dane kontroli bezpieczeństwa i ochrony przed atakami brute-force (zanonimizowane adresy IP oraz liczniki nieudanych prób logowania powiązane z adresem e-mail i adresem IP; dane te są przechowywane w formie skrótów kryptograficznych i służą wyłącznie ochronie konta)
- logi audytu bezpieczeństwa (zdarzenia krytyczne zapisywane z zahaszowanymi identyfikatorami użytkownika oraz odciskiem user-agent albo wartością null, bez przechowywania treści żądań ani danych uwierzytelniających)
3.4. Treści użytkownika
- treści publikowane przez użytkownika (np. posty, opisy)
- pliki multimedialne przesyłane do platformy
- metadane związane z publikacją treści
- metadane harmonogramu publikacji (np. termin publikacji, anulowanie lub zmiana terminu)
- zapisane linki w funkcji Link Memo („Zapisz link”), obejmujące zapisany adres URL, opcjonalny opis intencji posta, metadane bezpieczeństwa URL oraz status usunięcia/retencji
3.5. Dane związane z integracjami
- identyfikatory kont w serwisach zewnętrznych (np. Facebook, Google, TikTok, OLX)
- tokeny dostępu (przechowywane w postaci zaszyfrowanej)
- informacje o połączonych kontach
- metadane lokalizacji Google Business Profile powiązanych z połączonym kontem Google (np. identyfikatory zasobów lokalizacji i konta nadrzędnego, nazwa lokalizacji, kategoria, strona WWW, zdjęcie profilowe, język, region oraz status wyboru/publikowania)
- minimalny zakres danych importu OLX: identyfikator ogłoszenia, link źródłowy, wybrane pola opisu, metadane techniczne i dowód akceptacji oświadczenia o prawach do treści
4. Cele i podstawy prawne przetwarzania
Dane osobowe są przetwarzane w następujących celach:
4.1. Wykonanie umowy
Przetwarzanie danych jest niezbędne do:
- założenia i prowadzenia konta użytkownika,
- świadczenia usług platformy,
- realizacji subskrypcji i rozliczeń.
Podstawa prawna: art. 6 ust. 1 lit. b RODO.
4.2. Obowiązki prawne
Dane są przetwarzane w celu realizacji obowiązków wynikających z przepisów prawa, w szczególności:
- przepisów podatkowych i rachunkowych,
- przepisów dotyczących fakturowania (w tym wymogów Krajowego Systemu e-Faktur).
Podstawa prawna: art. 6 ust. 1 lit. c RODO.
4.3. Prawnie uzasadniony interes administratora
Przetwarzanie danych odbywa się w celu:
- zapewnienia bezpieczeństwa platformy,
- zapobiegania nadużyciom i atakom (w tym przechowywania danych kontroli brute-force),
- prowadzenia logów i audytu bezpieczeństwa,
- dochodzenia lub obrony roszczeń.
Podstawa prawna: art. 6 ust. 1 lit. f RODO.
4.4. Zgoda użytkownika
W przypadku przetwarzania danych w celach marketingowych lub analitycznych dane są przetwarzane wyłącznie na podstawie zgody użytkownika.
Podstawa prawna: art. 6 ust. 1 lit. a RODO.
Zgoda może zostać wycofana w dowolnym momencie.
Dane związane z integracją OLX są przetwarzane wyłącznie na potrzeby inicjowanego przez użytkownika importu ogłoszenia do kreatora treści. W ramach importu OLX przetwarzamy minimalny zakres danych (identyfikator ogłoszenia, link źródłowy, wybrane pola opisu, metadane techniczne i dowód akceptacji oświadczenia o prawach do treści).
Dane Link Memo są przetwarzane wyłącznie po zapisaniu linku przez użytkownika i na potrzeby późniejszego przygotowania edytowalnej propozycji posta w Kompozytorze. Przy generowaniu z Link Memo przetwarzamy zapisany adres URL, opcjonalną intencję posta gdy została podana, wybrane platformy publikacji oraz ustawienia kampanii AI Marketing (branża, ton, emoji, grupa docelowa, cel i CTA, jeżeli dotyczy). Aplikacja nie pobiera stron internetowych po stronie Aplikacji ani automatycznie nie pobiera obrazów lub załączników z zapisanego linku.
5. Obowiązek podania danych
Podanie danych osobowych jest:
- wymogiem umownym – w zakresie niezbędnym do utworzenia konta i korzystania z platformy,
- wymogiem prawnym – w zakresie danych rozliczeniowych.
Niepodanie danych może skutkować brakiem możliwości korzystania z usług.
6. Odbiorcy danych i przekazywanie danych
6.1. Procesorzy (podmioty przetwarzające)
Administrator korzysta z usług zewnętrznych dostawców, którzy przetwarzają dane osobowe w jego imieniu na podstawie umów powierzenia przetwarzania danych (DPA) zgodnych z art. 28 RODO. Aktualni procesorzy:
Google LLC / Google Cloud Platform (USA)
- Cel przetwarzania: infrastruktura hostingowa, przechowywanie mediów i plików, wykonywanie zadań asynchronicznych
- Kategorie danych: dane konta, treści użytkownika, logi systemowe, pliki multimedialne
- Mechanizm transferu: Standardowe Klauzule Umowne UE (SCC)
- Główny region przetwarzania: Unia Europejska (Frankfurt/Warszawa)
Stripe, Inc. (USA)
- Cel przetwarzania: obsługa płatności, zarządzanie subskrypcjami, wystawianie faktur
- Kategorie danych: dane rozliczeniowe (imię/nazwa, adres, NIP), identyfikatory subskrypcji; dane kart płatniczych przetwarzane są wyłącznie przez Stripe i nie są przechowywane przez Administratora
- Mechanizm transferu: Standardowe Klauzule Umowne UE (SCC)
Mailjet SAS (Sinch) (Francja, UE)
- Cel przetwarzania: wysyłka wiadomości transakcyjnych (weryfikacja konta, powiadomienia, faktury)
- Kategorie danych: adres e-mail, treść wiadomości transakcyjnej
- Mechanizm transferu: przetwarzanie w EOG (siedziba w UE)
OpenAI OpCo, LLC (USA) – wyłącznie dla funkcji AI Marketing (plan Starter/Growth/Pro/Premium)
- Cel przetwarzania: generowanie treści marketingowych przy użyciu AI (propozycje opisów i hashtagów)
- Kategorie danych: wybrane przez użytkownika zdjęcie (poprzez podpisany link), zapisany adres URL Link Memo, opcjonalna intencja posta gdy została podana, wybrane platformy publikacji, ustawienia kampanii AI Marketing, instrukcja generacji treści oraz metadane źródeł z wyszukiwania; wygenerowane treści nie są przechowywane przez Administratora po zakończeniu żądania
- Mechanizm transferu: Standardowe Klauzule Umowne UE (SCC)
- Główny region przetwarzania: Stany Zjednoczone
6.2. Odrębni administratorzy
W przypadku integracji z serwisami zewnętrznymi (np. platformy społecznościowe) dane mogą być przekazywane do podmiotów działających jako odrębni administratorzy danych, zgodnie z ich własnymi politykami prywatności. Dotyczy to w szczególności: Meta Platforms (Facebook, Instagram), Google LLC (Google Business Profile), TikTok oraz OLX jako źródła importu treści.
6.3. Przekazywanie danych poza UE/EOG
Co do zasady dane są przetwarzane na terenie Unii Europejskiej. Dostawcy wymienieni w §6.1, którzy mają siedzibę w Stanach Zjednoczonych (Google LLC, Stripe, OpenAI), mogą przetwarzać dane poza EOG. W każdym takim przypadku stosujemy Standardowe Klauzule Umowne UE zatwierdzone przez Komisję Europejską (art. 46 ust. 2 lit. c RODO) jako odpowiedni mechanizm ochrony transferu. Informacje o zastosowanych zabezpieczeniach mogą zostać udostępnione na żądanie.
6.4. Generowanie treści z wykorzystaniem AI (szczegóły)
W ramach funkcji AI Marketing przekazujemy do OpenAI wyłącznie dane niezbędne do realizacji danego żądania: wybrane przez użytkownika zdjęcie, wskazane platformy publikacji oraz instrukcję generowania treści. Administrator nie prowadzi odrębnej historii zapytań AI. Przetwarzanie ma charakter chwilowy i jest ograniczone wyłącznie do realizacji danej funkcji. Zapytania i wygenerowane sugestie nie są przechowywane niezależnie przez Administratora, chyba że użytkownik zdecyduje się wykorzystać wygenerowaną treść w ramach publikacji posta w systemie.
Dla generowania z Link Memo Administrator korzysta z hostowanego przez OpenAI wyszukiwania web_search. Do OpenAI nie są wysyłane linki zawierające dane uwierzytelniające, fragmenty URL ani tokenopodobne parametry zapytania; takie linki są blokowane przed zapisem lub generowaniem. Metadane źródeł z wyszukiwania są przetwarzane przejściowo na potrzeby walidacji, nie są wyświetlane w interfejsie Kompozytora, nie są dodawane do treści posta i nie są utrwalane przez Administratora.
7. Okres przechowywania danych
Dane osobowe są przechowywane przez następujące okresy:
- dane konta użytkownika – przez czas trwania umowy oraz do 30 dni od jej zakończenia (po tym czasie konto jest anonimizowane i trwale usuwane)
- historia wyrażonych zgód (consent_history) – przez czas trwania umowy oraz przez 5 lat po jej zakończeniu, na potrzeby audytu zgodności z RODO
- dane rozliczeniowe i faktury VAT – przez okres wymagany przepisami prawa podatkowego i rachunkowego (co do zasady 5 lat od końca roku podatkowego)
- dane techniczne i logi systemowe – do 12 miesięcy
- dane kontroli bezpieczeństwa i brute-force (user_security_state) – do 12 miesięcy lub do czasu odblokowania konta, w zależności od tego, który termin nastąpi wcześniej
- logi audytu bezpieczeństwa (zahaszowane zdarzenia, w tym odciski user-agent jeśli dostępne) – do 12 miesięcy
- pliki multimedialne do publikacji – zgodnie z polityką retencji obiektów w chmurze – co do zasady usuwane w ciągu 24 godzin od upłynięcia znacznika retencji (customTime)
- dane wejściowe i wyjściowe funkcji AI Marketing – nie są przechowywane jako historia AI; przetwarzanie ma charakter chwilowy
- zapisane linki Link Memo oraz opcjonalne intencje posta – do 30 dni; po tym okresie albo przy usunięciu konta są anonimizowane lub usuwane zgodnie z retencją
- metadane harmonogramu publikacji – przez okres utrzymania danych konta oraz obowiązujące okresy retencji historii publikacji i audytu
- dane przetwarzane na podstawie zgody – do momentu cofnięcia zgody lub zakończenia umowy
Przetwarzanie przez podmioty przetwarzające odbywa się wyłącznie na podstawie umów powierzenia przetwarzania danych (DPA) zgodnych z art. 28 RODO oraz wyłącznie na polecenie Administratora i zgodnie z jego instrukcjami.
8. Prawa osób, których dane dotyczą
Użytkownikowi przysługuje prawo do:
- dostępu do danych,
- ich sprostowania,
- usunięcia (prawo do bycia zapomnianym),
- ograniczenia przetwarzania,
- przenoszenia danych,
- wniesienia sprzeciwu wobec przetwarzania,
- cofnięcia zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem).
Żądania można zgłaszać drogą mailową na adres: support@spreenity.pl. Administrator odpowiada bez zbędnej zwłoki, nie później niż w terminie 1 miesiąca od otrzymania żądania.
Użytkownik ma prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).
Zakres eksportu danych: eksport danych osobowych dostępny przez API (POST /api/account/export) po zalogowaniu i świeżym potwierdzeniu MFA obejmuje dane konta, metadane połączonych kont, metadane lokalizacji Google Business Profile powiązanych z kontami Google użytkownika, historię zgód, historię publikacji, metadane szablonów oraz zapisane linki Link Memo wraz z opcjonalną intencją posta, o ile nie zostały wcześniej usunięte lub zanonimizowane w ramach retencji. Eksport danych obejmuje zapisane linki Link Memo wraz z opcjonalną intencją posta, o ile pozostają w okresie retencji. Eksport lokalizacji Google obejmuje tylko zminimalizowane pola potrzebne do przenoszenia i weryfikacji danych; nie obejmuje wewnętrznego identyfikatora google_location.id, tokenów, surowych odpowiedzi dostawcy, diagnostyki ani lokalizacji niepowiązanych z kontami Google użytkownika. Eksport nie obejmuje faktur VAT – są one dostępne wyłącznie w historii rozliczeń w panelu /billing po zalogowaniu, ze względu na obowiązki prawne dotyczące przechowywania dokumentacji podatkowej. Usunięcie konta oraz retencja po 30 dniach powodują anonimizację lub usunięcie zapisanych linków i opcjonalnych intencji.
9. Zautomatyzowane podejmowanie decyzji i profilowanie
Administrator nie podejmuje decyzji wywołujących skutki prawne wobec użytkownika w sposób wyłącznie zautomatyzowany w rozumieniu art. 22 RODO.
Platforma może wykorzystywać ograniczone mechanizmy statystyczne w celu poprawy jakości usług (np. anonimowe dane o użyciu funkcji). Mechanizmy te nie prowadzą do profilowania wywołującego skutki prawne ani podobnie istotne dla użytkownika.
10. Pliki cookies i technologie śledzące
Platforma wykorzystuje pliki cookies w następujących kategoriach:
Cookies niezbędne (zawsze aktywne, nie wymagają zgody):
Służą prawidłowemu działaniu platformy, w tym zarządzaniu sesją użytkownika (uwierzytelnienie NextAuth), ochronie CSRF oraz zapamiętaniu ustawień językowych. Są to pliki sesyjne lub o ograniczonym czasie życia i są usuwane po wylogowaniu lub zamknięciu przeglądarki.
Cookies analityczne i funkcjonalne (wymagają zgody):
Służą analizie sposobu korzystania z platformy w celu jej ulepszania. Używane wyłącznie po udzieleniu przez użytkownika wyraźnej zgody. Własna analityka produktowa może zapisywać pseudonimowy identyfikator sesji, nazwę zdarzenia, identyfikator ekranu, opcjonalny identyfikator komponentu lub kroku oraz czas zdarzenia, aby mierzyć ścieżkę użytkownika i miejsca przerwania procesu. Nie zapisujemy w analityce treści postów, wartości formularzy, adresów e-mail, tokenów, pełnych adresów URL ani parametrów zapytania. Surowe zdarzenia analityczne są usuwane po 30 dniach. Platforma nie stosuje w ramach tej analityki cookies reklamowych stron trzecich ani nie udostępnia danych użytkownika platformom reklamowym.
Użytkownik może w każdej chwili zmienić ustawienia cookies za pośrednictwem banera cookies dostępnego w aplikacji lub ustawień przeglądarki. Zmiana preferencji jest możliwa poprzez ponowne otwarcie ustawień cookies z poziomu panelu użytkownika.
11. Zmiany polityki prywatności
Polityka prywatności może być aktualizowana w szczególności w przypadku zmian przepisów prawa, zmian organizacyjnych lub technicznych, zmian funkcjonalności platformy, zmian w sposobie korzystania z Serwisów Zewnętrznych, zmian w katalogu odbiorców lub podmiotów przetwarzających oraz potrzeby doprecyzowania informacji dotyczących przetwarzania danych.
Zmiany o charakterze redakcyjnym, porządkowym, technicznym lub bezpieczeństwa, które nie wpływają istotnie na zakres danych, cele lub podstawy prawne przetwarzania, kategorie odbiorców lub procesorów albo prawa użytkowników, mogą obowiązywać od chwili ich opublikowania albo od daty wskazanej w Polityce prywatności.
Jeżeli zmiany istotnie wpływają na zakres przetwarzanych danych, cele lub podstawy prawne przetwarzania, kategorie danych, kategorie odbiorców lub procesorów, transfery poza EOG albo prawa użytkowników, Administrator poinformuje o nich w Aplikacji lub drogą mailową przed ich wejściem w życie, o ile wymagają tego przepisy lub charakter zmiany. W zakresie, w jakim jest to wymagane do dalszego korzystania z Aplikacji, użytkownik może zostać poproszony przy logowaniu o zaakceptowanie aktualnej wersji Polityki prywatności przed dalszym korzystaniem z Konta.
Aktualna wersja polityki jest zawsze dostępna pod adresem: spreenity.pl/privacy-policy
12. Kontakt
E-mail: support@spreenity.pl