Przejdź do głównej treści

Spreenity

Polityka prywatności – Spreenity

Ostatnia aktualizacja: 24-03-2026

1. Administrator danych

Administratorem danych osobowych jest:

  • JMSOFT Jarosław Maladyn
  • Jednoosobowa działalność gospodarcza
  • NIP: 6443323082
  • Adres: 41-200 Sosnowiec, ul. Sielecka 24/48, Polska
  • E-mail kontaktowy: support@spreenity.pl

Administrator nie powołał Inspektora Ochrony Danych (IOD).

We wszelkich sprawach związanych z ochroną danych osobowych prosimy o kontakt mailowy.

Powrót na górę

2. Zakres zastosowania

Niniejsza Polityka prywatności dotyczy przetwarzania danych osobowych użytkowników korzystających z platformy SaaS "Spreenity", dostępnej pod domeną spreenity.pl, w tym kont użytkowników, panelu aplikacji oraz publicznych stron informacyjnych.

Powrót na górę

3. Kategorie przetwarzanych danych osobowych

W zależności od sposobu korzystania z platformy, możemy przetwarzać następujące kategorie danych:

3.1. Dane konta użytkownika

  • adres e-mail
  • hasło (przechowywane wyłącznie w postaci skrótu kryptograficznego)
  • identyfikatory konta
  • ustawienia konta i preferencje
  • historia wyrażonych zgód (wersja zgody, data akceptacji, źródło zmiany)

3.2. Dane rozliczeniowe

  • imię i nazwisko lub nazwa firmy
  • adres rozliczeniowy
  • numer NIP (jeżeli dotyczy)
  • informacje o subskrypcji, planie i fakturach
  • identyfikatory płatności (bez danych kart płatniczych – dane kart są przetwarzane wyłącznie przez operatora płatności Stripe)

3.3. Dane techniczne i eksploatacyjne

  • adres IP
  • identyfikatory sesji
  • logi systemowe i bezpieczeństwa
  • dane o urządzeniu i przeglądarce
  • znaczniki czasu zdarzeń
  • dane kontroli bezpieczeństwa i ochrony przed atakami brute-force (zanonimizowane adresy IP oraz liczniki nieudanych prób logowania powiązane z adresem e-mail i adresem IP; dane te są przechowywane w formie skrótów kryptograficznych i służą wyłącznie ochronie konta)
  • logi audytu bezpieczeństwa (zdarzenia krytyczne zapisywane z zahaszowanymi identyfikatorami użytkownika, bez przechowywania treści żądań ani danych uwierzytelniających)

3.4. Treści użytkownika

  • treści publikowane przez użytkownika (np. posty, opisy)
  • pliki multimedialne przesyłane do platformy
  • metadane związane z publikacją treści
  • metadane harmonogramu publikacji (np. termin publikacji, anulowanie lub zmiana terminu)

3.5. Dane związane z integracjami

  • identyfikatory kont w serwisach zewnętrznych (np. Facebook, Google, TikTok, OLX)
  • tokeny dostępu (przechowywane w postaci zaszyfrowanej)
  • informacje o połączonych kontach
  • minimalny zakres danych importu OLX: identyfikator ogłoszenia, link źródłowy, wybrane pola opisu, metadane techniczne i dowód akceptacji oświadczenia o prawach do treści
Powrót na górę

4. Cele i podstawy prawne przetwarzania

Dane osobowe są przetwarzane w następujących celach:

4.1. Wykonanie umowy

Przetwarzanie danych jest niezbędne do:

  • założenia i prowadzenia konta użytkownika,
  • świadczenia usług platformy,
  • realizacji subskrypcji i rozliczeń.

Podstawa prawna: art. 6 ust. 1 lit. b RODO.

4.2. Obowiązki prawne

Dane są przetwarzane w celu realizacji obowiązków wynikających z przepisów prawa, w szczególności:

  • przepisów podatkowych i rachunkowych,
  • przepisów dotyczących fakturowania (w tym wymogów Krajowego Systemu e-Faktur).

Podstawa prawna: art. 6 ust. 1 lit. c RODO.

4.3. Prawnie uzasadniony interes administratora

Przetwarzanie danych odbywa się w celu:

  • zapewnienia bezpieczeństwa platformy,
  • zapobiegania nadużyciom i atakom (w tym przechowywania danych kontroli brute-force),
  • prowadzenia logów i audytu bezpieczeństwa,
  • dochodzenia lub obrony roszczeń.

Podstawa prawna: art. 6 ust. 1 lit. f RODO.

4.4. Zgoda użytkownika

W przypadku przetwarzania danych w celach marketingowych lub analitycznych dane są przetwarzane wyłącznie na podstawie zgody użytkownika.

Podstawa prawna: art. 6 ust. 1 lit. a RODO.

Zgoda może zostać wycofana w dowolnym momencie.

Dane związane z integracją OLX są przetwarzane wyłącznie na potrzeby inicjowanego przez użytkownika importu ogłoszenia do kreatora treści. W ramach importu OLX przetwarzamy minimalny zakres danych (identyfikator ogłoszenia, link źródłowy, wybrane pola opisu, metadane techniczne i dowód akceptacji oświadczenia o prawach do treści).

Powrót na górę

5. Obowiązek podania danych

Podanie danych osobowych jest:

  • wymogiem umownym – w zakresie niezbędnym do utworzenia konta i korzystania z platformy,
  • wymogiem prawnym – w zakresie danych rozliczeniowych.

Niepodanie danych może skutkować brakiem możliwości korzystania z usług.

Powrót na górę

6. Odbiorcy danych i przekazywanie danych

6.1. Procesorzy (podmioty przetwarzające)

Administrator korzysta z usług zewnętrznych dostawców, którzy przetwarzają dane osobowe w jego imieniu na podstawie umów powierzenia przetwarzania danych (DPA) zgodnych z art. 28 RODO. Aktualni procesorzy:

Google LLC / Google Cloud Platform (USA)

  • Cel przetwarzania: infrastruktura hostingowa, przechowywanie mediów i plików, wykonywanie zadań asynchronicznych
  • Kategorie danych: dane konta, treści użytkownika, logi systemowe, pliki multimedialne
  • Mechanizm transferu: Standardowe Klauzule Umowne UE (SCC)
  • Główny region przetwarzania: Unia Europejska (Frankfurt/Warszawa)

Stripe, Inc. (USA)

  • Cel przetwarzania: obsługa płatności, zarządzanie subskrypcjami, wystawianie faktur
  • Kategorie danych: dane rozliczeniowe (imię/nazwa, adres, NIP), identyfikatory subskrypcji; dane kart płatniczych przetwarzane są wyłącznie przez Stripe i nie są przechowywane przez Administratora
  • Mechanizm transferu: Standardowe Klauzule Umowne UE (SCC)

Mailjet SAS (Sinch) (Francja, UE)

  • Cel przetwarzania: wysyłka wiadomości transakcyjnych (weryfikacja konta, powiadomienia, faktury)
  • Kategorie danych: adres e-mail, treść wiadomości transakcyjnej
  • Mechanizm transferu: przetwarzanie w EOG (siedziba w UE)

OpenAI OpCo, LLC (USA) – wyłącznie dla funkcji AI Marketing (plan Starter/Growth/Pro/Premium)

  • Cel przetwarzania: generowanie treści marketingowych przy użyciu AI (propozycje opisów i hashtagów)
  • Kategorie danych: wybrane przez użytkownika zdjęcie (poprzez podpisany link), wybrane platformy publikacji, instrukcja generacji treści; wygenerowane treści nie są przechowywane przez Administratora po zakończeniu żądania
  • Mechanizm transferu: Standardowe Klauzule Umowne UE (SCC)
  • Główny region przetwarzania: Stany Zjednoczone

6.2. Odrębni administratorzy

W przypadku integracji z serwisami zewnętrznymi (np. platformy społecznościowe) dane mogą być przekazywane do podmiotów działających jako odrębni administratorzy danych, zgodnie z ich własnymi politykami prywatności. Dotyczy to w szczególności: Meta Platforms (Facebook, Instagram), Google LLC (Google Business Profile), TikTok oraz OLX jako źródła importu treści.

6.3. Przekazywanie danych poza UE/EOG

Co do zasady dane są przetwarzane na terenie Unii Europejskiej. Dostawcy wymienieni w §6.1, którzy mają siedzibę w Stanach Zjednoczonych (Google LLC, Stripe, OpenAI), mogą przetwarzać dane poza EOG. W każdym takim przypadku stosujemy Standardowe Klauzule Umowne UE zatwierdzone przez Komisję Europejską (art. 46 ust. 2 lit. c RODO) jako odpowiedni mechanizm ochrony transferu. Informacje o zastosowanych zabezpieczeniach mogą zostać udostępnione na żądanie.

6.4. Generowanie treści z wykorzystaniem AI (szczegóły)

W ramach funkcji AI Marketing przekazujemy do OpenAI wyłącznie dane niezbędne do realizacji danego żądania: wybrane przez użytkownika zdjęcie, wskazane platformy publikacji oraz instrukcję generowania treści. Administrator nie prowadzi odrębnej historii zapytań AI. Przetwarzanie ma charakter chwilowy i jest ograniczone wyłącznie do realizacji danej funkcji. Zapytania i wygenerowane sugestie nie są przechowywane niezależnie przez Administratora, chyba że użytkownik zdecyduje się wykorzystać wygenerowaną treść w ramach publikacji posta w systemie.

Powrót na górę

7. Okres przechowywania danych

Dane osobowe są przechowywane przez następujące okresy:

  • dane konta użytkownika – przez czas trwania umowy oraz do 30 dni od jej zakończenia (po tym czasie konto jest anonimizowane i trwale usuwane)
  • historia wyrażonych zgód (consent_history) – przez czas trwania umowy oraz przez 5 lat po jej zakończeniu, na potrzeby audytu zgodności z RODO
  • dane rozliczeniowe i faktury VAT – przez okres wymagany przepisami prawa podatkowego i rachunkowego (co do zasady 5 lat od końca roku podatkowego)
  • dane techniczne i logi systemowe – do 12 miesięcy
  • dane kontroli bezpieczeństwa i brute-force (user_security_state) – do 12 miesięcy lub do czasu odblokowania konta, w zależności od tego, który termin nastąpi wcześniej
  • logi audytu bezpieczeństwa (zahaszowane zdarzenia) – do 12 miesięcy
  • pliki multimedialne do publikacji – zgodnie z polityką retencji obiektów w chmurze – co do zasady usuwane w ciągu 24 godzin od upłynięcia znacznika retencji (customTime)
  • dane wejściowe i wyjściowe funkcji AI Marketing – nie są przechowywane jako historia AI; przetwarzanie ma charakter chwilowy
  • metadane harmonogramu publikacji – przez okres utrzymania danych konta oraz obowiązujące okresy retencji historii publikacji i audytu
  • dane przetwarzane na podstawie zgody – do momentu cofnięcia zgody lub zakończenia umowy

Przetwarzanie przez podmioty przetwarzające odbywa się wyłącznie na podstawie umów powierzenia przetwarzania danych (DPA) zgodnych z art. 28 RODO oraz wyłącznie na polecenie Administratora i zgodnie z jego instrukcjami.

Powrót na górę

8. Prawa osób, których dane dotyczą

Użytkownikowi przysługuje prawo do:

  • dostępu do danych,
  • ich sprostowania,
  • usunięcia (prawo do bycia zapomnianym),
  • ograniczenia przetwarzania,
  • przenoszenia danych,
  • wniesienia sprzeciwu wobec przetwarzania,
  • cofnięcia zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem).

Żądania można zgłaszać drogą mailową na adres: support@spreenity.pl. Administrator odpowiada bez zbędnej zwłoki, nie później niż w terminie 1 miesiąca od otrzymania żądania.

Użytkownik ma prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

Zakres eksportu danych: eksport danych osobowych dostępny przez API (POST /api/account/export) obejmuje dane konta, metadane połączonych kont, historię zgód, historię publikacji i metadane szablonów. Eksport nie obejmuje faktur VAT – są one dostępne wyłącznie w historii rozliczeń w panelu /billing po zalogowaniu, ze względu na obowiązki prawne dotyczące przechowywania dokumentacji podatkowej.

Powrót na górę

9. Zautomatyzowane podejmowanie decyzji i profilowanie

Administrator nie podejmuje decyzji wywołujących skutki prawne wobec użytkownika w sposób wyłącznie zautomatyzowany w rozumieniu art. 22 RODO.

Platforma może wykorzystywać ograniczone mechanizmy statystyczne w celu poprawy jakości usług (np. anonimowe dane o użyciu funkcji). Mechanizmy te nie prowadzą do profilowania wywołującego skutki prawne ani podobnie istotne dla użytkownika.

Powrót na górę

10. Pliki cookies i technologie śledzące

Platforma wykorzystuje pliki cookies w następujących kategoriach:

Cookies niezbędne (zawsze aktywne, nie wymagają zgody):

Służą prawidłowemu działaniu platformy, w tym zarządzaniu sesją użytkownika (uwierzytelnienie NextAuth), ochronie CSRF oraz zapamiętaniu ustawień językowych. Są to pliki sesyjne lub o ograniczonym czasie życia i są usuwane po wylogowaniu lub zamknięciu przeglądarki.

Cookies analityczne i funkcjonalne (wymagają zgody):

Służą analizie sposobu korzystania z platformy w celu jej ulepszania. Używane wyłącznie po udzieleniu przez użytkownika wyraźnej zgody. Dane analityczne są przetwarzane w formie zanonimizowanej lub pseudoanonimizowanej. Platforma nie stosuje cookies reklamowych stron trzecich ani nie udostępnia danych użytkownika platformom reklamowym.

Użytkownik może w każdej chwili zmienić ustawienia cookies za pośrednictwem banera cookies dostępnego w aplikacji lub ustawień przeglądarki. Zmiana preferencji jest możliwa poprzez ponowne otwarcie ustawień cookies z poziomu panelu użytkownika.

Powrót na górę

11. Zmiany polityki prywatności

Polityka prywatności może być aktualizowana w przypadku zmian przepisów prawa, zmian w funkcjonalności platformy lub zmian w katalogu podmiotów przetwarzających. O zmianach wpływających na zakres przetwarzanych danych, cele przetwarzania lub katalog procesorów użytkownicy zostaną poinformowani w aplikacji lub drogą mailową przed datą ich wejścia w życie. Dalsze korzystanie z platformy po dacie wejścia w życie zmian oznacza ich akceptację, z zastrzeżeniem przepisów dotyczących praw konsumentów.

Aktualna wersja polityki jest zawsze dostępna pod adresem: spreenity.pl/privacy-policy

Powrót na górę

12. Kontakt

E-mail: support@spreenity.pl

Powrót na górę