Przejdź do treści

Polityka prywatności

Data wejścia w życie: 24 lutego 2026

1. Administrator danych

Administratorem danych osobowych jest Tomasz Sawko, prowadzący działalność jako Clarife, z siedzibą w Warszawie. We wszystkich sprawach dotyczących ochrony danych prosimy o kontakt pod adresem privacy@clarife.app.

2. Dane zbierane przy rejestracji

Podczas tworzenia konta zbieramy następujące dane osobowe:

  • Adres e-mail (wymagany do uwierzytelniania i komunikacji)
  • Nazwa wyświetlana (opcjonalna, widoczna na udostępnionych poradnikach)
  • Hasło (przechowywane jako hash bcrypt; nigdy nie przechowujemy haseł w postaci jawnej)
  • Awatar profilu (opcjonalny, synchronizowany z dostawcą OAuth lub przesłany)
  • Identyfikator dostawcy OAuth (jeśli logujesz się przez Google, Apple lub GitHub)

3. Dane z dokumentów

Podczas tworzenia i edycji poradników przetwarzamy:

  • Treść dokumentów (bloki tekstowe, nagłówki, wyróżnienia, opisy kroków)
  • Zrzuty ekranu i obrazy przesłane z aplikacji macOS lub edytora webowego
  • Adnotacje dodane do zrzutów ekranu (strzałki, podświetlenia, etykiety tekstowe, rozmycia)

4. Dane z generacji AI

Jeśli korzystasz z funkcji generowania wideo AI, dodatkowo przetwarzamy:

  • Scenariusze poradników generowane przez AI (tworzone na podstawie treści dokumentów przez OpenRouter)
  • Narrację audio text-to-speech (generowaną przez Google Cloud TTS i przechowywaną tymczasowo)
  • Śledzenie kosztów generacji (liczba tokenów, liczba znaków, szacowany koszt na generację)

5. Dane z udostępniania

Gdy udostępniasz poradnik publicznie lub wybranym odbiorcom, przetwarzamy:

  • Slug udostępnienia (unikalny identyfikator URL Twojego udostępnionego poradnika)
  • Lista e-maili z bramką dostępu (adresy e-mail użytkowników uprawnionych do wyświetlenia chronionego udostępnienia)
  • Statystyki wyświetleń (liczba wyświetleń, liczba unikalnych widzów; adresy IP są hashowane i nie są przechowywane w surowej formie)

6. Dane z płatności

Przetwarzanie płatności jest w całości obsługiwane przez Paddle.com Market Ltd. Nie przechowujemy numerów kart kredytowych, danych kont bankowych ani żadnych innych danych instrumentów płatniczych. Od Paddle otrzymujemy i przechowujemy: status subskrypcji, typ planu (Free, Pro, Business), interwał rozliczeniowy (miesięczny lub roczny), status dodatku AI oraz identyfikatory transakcji. Paddle działa jako Merchant of Record i niezależnie przetwarza dane płatnicze zgodnie z własną polityką prywatności.

7. Dane techniczne

Zbieramy zanonimizowane dane techniczne za pomocą self-hosted Umami (bez ciasteczek, bez śledzenia między stronami):

  • Adres IP (używany wyłącznie do geolokalizacji, nigdy nie przechowywany w surowej formie)
  • User agent (typ przeglądarki, wersja systemu operacyjnego)
  • Odwiedzane strony i używane funkcje w aplikacji
  • Czas trwania sesji i źródło odesłania

8. Komunikacja techniczna

Wysyłamy e-maile transakcyjne niezbędne do działania Usługi: potwierdzenie konta, resetowanie hasła, powiadomienia o udostępnieniach, alerty o konfliktach synchronizacji oraz krytyczne powiadomienia bezpieczeństwa. E-maile te są wysyłane przez Amazon SES (region Frankfurt) i nie można z nich zrezygnować, gdy konto jest aktywne, ponieważ są niezbędne do świadczenia usługi na podstawie art. 6 ust. 1 lit. b RODO.

9. Newsletter opcjonalny

Możesz osobno zapisać się na nasz newsletter produktowy. Subskrypcja wykorzystuje mechanizm double opt-in: po zapisaniu się musisz potwierdzić klikając link wysłany na Twój e-mail. Każdy newsletter zawiera link umożliwiający natychmiastowy wypis. Lista mailingowa jest zarządzana przez self-hosted instancję Mailwizz. Twoja zgoda na newsletter jest niezależna od konta — wypisanie się nie wpływa na korzystanie z Usługi.

10. Podstawy prawne przetwarzania

Przetwarzamy Twoje dane osobowe na następujących podstawach prawnych określonych w art. 6 ust. 1 RODO:

  • Art. 6 ust. 1 lit. b — Wykonanie umowy: Przetwarzanie danych rejestracyjnych, dokumentów, danych płatniczych i komunikacji technicznej jest niezbędne do świadczenia Usługi, na którą się zarejestrowałeś.
  • Art. 6 ust. 1 lit. a — Zgoda: Subskrypcja newslettera, opcjonalne generowanie wideo AI i opcjonalne funkcje udostępniania opierają się na Twojej wyraźnej zgodzie, którą możesz wycofać w dowolnym momencie.
  • Art. 6 ust. 1 lit. f — Uzasadniony interes: Zbieranie zanonimizowanych danych analitycznych, logowanie bezpieczeństwa i zapobieganie nadużyciom służą naszemu uzasadnionemu interesowi w utrzymaniu i ulepszaniu Usługi. Możesz sprzeciwić się temu przetwarzaniu w dowolnym momencie.

11. Okres przechowywania danych

Przechowujemy Twoje dane osobowe przez następujące okresy:

  • Dane konta: Przechowywane, gdy konto jest aktywne. Konta nieaktywne przez ponad 12 kolejnych miesięcy mogą zostać oznaczone do usunięcia z 30-dniowym wyprzedzeniem powiadomionym e-mailem.
  • Dokumenty i media: Przechowywane, gdy konto istnieje. Po usunięciu konta wszystkie dokumenty, zrzuty ekranu i adnotacje są trwale usuwane w ciągu 30 dni.
  • Generacje AI: Przechowywane, gdy konto istnieje. Pliki wideo, pliki audio i dane scenariuszy są usuwane razem z kontem.
  • Statystyki wyświetleń udostępnień: Hashe IP w logach wyświetleń są przechowywane przez 90 dni, a następnie trwale usuwane. Zagregowane liczniki wyświetleń są przechowywane bezterminowo.
  • Dane analityczne: Zanonimizowane dane analityczne Umami są przechowywane przez 26 miesięcy, a następnie automatycznie usuwane.
  • Logi systemowe: Logi serwera zawierające metadane żądań są przechowywane przez 90 dni na potrzeby debugowania i bezpieczeństwa.
  • Dane rozliczeniowe: Rejestry transakcji i faktury są przechowywane przez 5 lat od zakończenia subskrypcji, zgodnie z wymogami polskiego prawa podatkowego (Ordynacja podatkowa, art. 86 § 1).

12. Podmioty przetwarzające dane

Udostępniamy Twoje dane następującym podmiotom przetwarzającym, z których każdy jest związany Umową o przetwarzanie danych (DPA):

  • Vercel Inc. (USA): Hosting aplikacji webowej i dostarczanie przez sieć edge. Transfer danych do USA objęty Standardowymi Klauzulami Umownymi UE (SCC).
  • Supabase Inc. (AWS Frankfurt, eu-central-1): Hosting bazy danych PostgreSQL, usługa uwierzytelniania i synchronizacja w czasie rzeczywistym. Dane pozostają w UE.
  • Backblaze Inc. (USA): Przechowywanie obiektowe dla zrzutów ekranu, plików multimedialnych i eksportów. Transfer danych objęty SCC UE.
  • Google Cloud Platform (USA): API Text-to-Speech do narracji wideo AI. Wysyłany jest wyłącznie tekst pochodzący z dokumentów; żadne identyfikatory osobiste. Transfer objęty SCC UE.
  • Paddle.com Market Ltd (UK): Przetwarzanie płatności jako Merchant of Record. Wielka Brytania posiada decyzję o adekwatności UE (28 czerwca 2021), zapewniającą równoważną ochronę danych.
  • Amazon Web Services (Frankfurt, eu-central-1): Simple Email Service (SES) do e-maili transakcyjnych i Lambda do renderowania wideo. Dane pozostają w UE.
  • OpenRouter (USA): API modeli AI do generowania scenariuszy. Wysyłana jest wyłącznie treść dokumentów (bez danych osobowych). Transfer objęty SCC UE.
  • Umami (self-hosted): Analityka webowa zorientowana na prywatność. Hostowana na naszej własnej infrastrukturze; żadne dane nie opuszczają naszych serwerów. Bez ciasteczek, bez śledzenia między stronami.
  • Mailwizz (self-hosted): Zarządzanie listą mailingową newslettera. Hostowana na naszej własnej infrastrukturze; dane subskrybentów nie opuszczają naszych serwerów.

Nie sprzedajemy, nie wynajmujemy ani nie wymieniamy Twoich danych osobowych z żadną stroną trzecią. Dane są udostępniane wyłącznie podmiotom przetwarzającym wymienionym powyżej, ściśle w celach opisanych w niniejszej polityce.

13. Twoje prawa wynikające z RODO

Na mocy Ogólnego Rozporządzenia o Ochronie Danych przysługują Ci następujące prawa dotyczące Twoich danych osobowych:

  • Prawo dostępu (art. 15): Możesz żądać kopii wszystkich danych osobowych, które posiadamy na Twój temat. Udostępnimy je w ciągu 30 dni w ustrukturyzowanym, powszechnie używanym formacie.
  • Prawo do sprostowania (art. 16): Możesz poprawić nieprawidłowe lub niekompletne dane w dowolnym momencie w ustawieniach konta lub kontaktując się z nami.
  • Prawo do usunięcia (art. 17): Możesz usunąć konto i wszystkie powiązane dane ze strony Ustawień. Usunięcie jest realizowane w ciągu 30 dni, łącznie z kopiami zapasowymi.
  • Prawo do przenoszenia danych (art. 20): Możesz wyeksportować dokumenty i dane w formacie czytelnym maszynowo (JSON) ze strony Ustawień.
  • Prawo do sprzeciwu (art. 21): Możesz sprzeciwić się przetwarzaniu opartemu na uzasadnionym interesie (np. analityka). Zaprzestaniemy takiego przetwarzania, chyba że wykażemy istnienie ważnych prawnie uzasadnionych podstaw.
  • Prawo do ograniczenia przetwarzania (art. 18): Możesz zażądać ograniczenia przetwarzania Twoich danych na czas rozstrzygania sporu.
  • Prawo do wycofania zgody (art. 7 ust. 3): Gdy przetwarzanie opiera się na zgodzie (np. newsletter), możesz ją wycofać w dowolnym momencie bez wpływu na zgodność z prawem wcześniejszego przetwarzania.

Aby skorzystać z któregokolwiek z tych praw, skontaktuj się z nami pod adresem privacy@clarife.app.

14. Eksport danych

Możesz wyeksportować wszystkie swoje dane (dokumenty, adnotacje, informacje profilowe) w formacie JSON bezpośrednio z konta. Przejdź do Ustawień.

15. Zautomatyzowane podejmowanie decyzji

Clarife nie stosuje zautomatyzowanego podejmowania decyzji ani profilowania, które wywołuje skutki prawne lub w podobny sposób istotnie wpływa na Ciebie, w rozumieniu art. 22 RODO. Funkcja generowania wideo AI tworzy treści na podstawie Twoich dokumentów, ale nie podejmuje żadnych decyzji dotyczących Ciebie ani Twojego dostępu do Usługi.

16. Bezpieczeństwo

Wdrażamy środki techniczne i organizacyjne w celu ochrony Twoich danych:

  • Wszystkie dane w transmisji są szyfrowane za pomocą HTTPS/TLS 1.3
  • Hasła są hashowane algorytmem bcrypt (koszt 10+); nigdy nie przechowujemy haseł w postaci jawnej
  • Polityki Row-Level Security (RLS) wymuszają izolację danych na poziomie bazy danych
  • Uwierzytelnianie dwuskładnikowe (TOTP) jest dostępne dla wszystkich kont
  • Nocne szyfrowane kopie zapasowe z 30-dniowym okresem przechowywania
  • Przeprowadzony kompleksowy audyt bezpieczeństwa (321 zidentyfikowanych i naprawionych problemów)

17. Organ nadzorczy

Jeśli uważasz, że Twoje prawa do ochrony danych zostały naruszone, masz prawo złożyć skargę do polskiego organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa. Strona internetowa: uodo.gov.pl. Możesz również skontaktować się z lokalnym organem ochrony danych w UE/EOG.

18. Zmiany w polityce

Możemy od czasu do czasu aktualizować niniejszą Politykę prywatności. O istotnych zmianach poinformujemy za pośrednictwem ogłoszenia na naszej stronie internetowej oraz, dla zarejestrowanych użytkowników, e-mailem. Zaktualizowana polityka wchodzi w życie w dniu wskazanym na górze tej strony. Dalsze korzystanie z Usługi po dacie wejścia w życie oznacza akceptację zaktualizowanej polityki.

Polityka prywatności | Clarife