Przejdź do treści

Polityka prywatności

Twoje dane są dla nas priorytetem — tak jak dobry tutorial jest priorytetem dla Ciebie.

Data wejścia w życie: 4 kwietnia 2026

1. Administrator danych

Administratorem danych osobowych jest Tomasz Sawko, osoba fizyczna z siedzibą w Warszawie, Polska, prowadząca platformę clarife. We wszystkich sprawach dotyczących ochrony danych prosimy o kontakt pod adresem support@clarife.app.

2. Dane zbierane przy rejestracji

Podczas tworzenia Konta zbieramy następujące dane osobowe:

  • Adres e-mail (wymagany do uwierzytelniania i komunikacji)
  • Nazwa wyświetlana (opcjonalna, widoczna na udostępnionych poradnikach)
  • Hasło (przechowywane jako hash bcrypt; nigdy nie przechowujemy haseł w postaci jawnej)
  • Awatar profilu (opcjonalny, synchronizowany z dostawcą OAuth lub przesłany)
  • Identyfikator dostawcy OAuth (jeśli logujesz się przez Google, Apple lub GitHub)

3. Dane z dokumentów

Podczas tworzenia i edycji poradników przetwarzamy:

  • Treść dokumentów (bloki tekstowe, nagłówki, wyróżnienia, opisy kroków, bloki kodu, tabele)
  • Zrzuty ekranu i obrazy przesłane przez edytor webowy lub aplikację clarife capture
  • Adnotacje dodane do zrzutów ekranu (strzałki, podświetlenia, etykiety tekstowe, rozmycia, numeracja)
  • Ulepszenia zrzutów (ramki urządzeń, tła, backdrops)

4. Dane z generacji AI

Jeśli korzystasz z funkcji generowania wideo AI, dodatkowo przetwarzamy:

  • Scenariusze poradników generowane przez model AI (tworzone na podstawie treści dokumentów za pośrednictwem OpenRouter)
  • Narrację audio text-to-speech (generowaną przez Google Cloud TTS i przechowywaną na potrzeby renderowania wideo)
  • Metadane generacji (liczba tokenów, liczba znaków, szacowany koszt, status renderowania)

5. Dane z udostępniania

Gdy udostępniasz poradnik publicznie lub wybranym odbiorcom, przetwarzamy:

  • Slug udostępnienia (unikalny identyfikator URL Twojego udostępnionego poradnika)
  • Lista adresów e-mail lub domen z bramką dostępu (adresy e-mail lub domeny użytkowników uprawnionych do wyświetlenia chronionego udostępnienia)
  • Kody weryfikacyjne e-mail (hashowane jednorazowe kody OTP do weryfikacji tożsamości odbiorcy)
  • Statystyki wyświetleń (liczba wyświetleń, liczba unikalnych widzów; adresy IP są hashowane i nie są przechowywane w surowej formie)

6. Dane z płatności

Przetwarzanie płatności jest w całości obsługiwane przez Paddle.com Market Ltd. Nie przechowujemy numerów kart kredytowych, danych kont bankowych ani żadnych innych danych instrumentów płatniczych. Od Paddle otrzymujemy i przechowujemy: identyfikator klienta Paddle, status subskrypcji, typ planu (Free, Pro, Business), interwał rozliczeniowy (miesięczny lub roczny), status pakietów AI credits oraz identyfikatory transakcji. Paddle działa jako Merchant of Record i niezależnie przetwarza dane płatnicze zgodnie z własną polityką prywatności.

7. Dane z dostępu API

Jeśli korzystasz z dostępu API, przetwarzamy:

  • Klucze API (przechowywane jako hash; wyświetlane w formie skróconej po wygenerowaniu)
  • Konfiguracje webhooks (adresy URL, sekrety podpisu — szyfrowane AES-256-GCM)
  • Logi użycia API (identyfikator klucza, endpoint, metoda, kod odpowiedzi, znacznik czasu)

8. Dane techniczne

Zbieramy zanonimizowane dane techniczne za pomocą self-hosted Umami (bez ciasteczek, bez śledzenia między stronami):

  • Adres IP (używany wyłącznie do geolokalizacji, nigdy nie przechowywany w surowej formie)
  • User agent (typ przeglądarki, wersja systemu operacyjnego)
  • Odwiedzane strony i używane funkcje w aplikacji
  • Czas trwania sesji i źródło odesłania

9. Dane z monitoringu błędów

W celu wykrywania i naprawiania błędów korzystamy z Sentry (Functional Software Inc.). Sentry zbiera: stack traces błędów (bez danych osobowych), metadane sesji (przeglądarka, system operacyjny, rozdzielczość ekranu), ścieżki nawigacji użytkownika prowadzące do błędu (breadcrumbs) oraz dane o wydajności (czasy ładowania stron, metryki Web Vitals). Sentry nie zbiera treści dokumentów ani danych osobowych identyfikujących użytkownika. Dane w Sentry są przechowywane przez 90 dni.

10. Dane z weryfikacji bezpieczeństwa

Serwis wykorzystuje Cloudflare Turnstile do ochrony formularzy logowania i rejestracji przed botami. Turnstile zbiera minimalny zestaw danych sesyjnych niezbędnych do weryfikacji (bez plików cookie śledzących) oraz wynik weryfikacji (pozytywny/negatywny). Turnstile nie wymaga rozwiązywania CAPTCHA przez użytkownika i jest zaprojektowany z poszanowaniem prywatności.

11. Dane z powiadomień o logowaniu

W celu ochrony bezpieczeństwa Konta wykrywamy logowania z nowych urządzeń i wysyłamy powiadomienia e-mail. W tym celu przetwarzamy: fingerprint urządzenia (hash SHA-256 na podstawie User Agent i adresu IP; nie przechowujemy surowych wartości), datę i godzinę logowania oraz przybliżoną lokalizację (na podstawie IP).

12. Komunikacja techniczna

Wysyłamy e-maile transakcyjne niezbędne do działania Usługi: potwierdzenie konta, resetowanie hasła, powiadomienia o udostępnieniach, powiadomienia o logowaniu z nowego urządzenia, alerty o płatnościach (dunning) oraz krytyczne powiadomienia bezpieczeństwa. E-maile te są wysyłane przez Amazon SES (region Dublin, eu-west-1) i nie można z nich zrezygnować, gdy Konto jest aktywne, ponieważ są niezbędne do świadczenia usługi na podstawie art. 6 ust. 1 lit. b RODO.

13. Komunikacja marketingowa

Podczas rejestracji Konta Klient może wyrazić zgodę na otrzymywanie komunikacji marketingowej (poradniki, aktualizacje produktu, oferty). Zgoda jest dobrowolna i nie wpływa na możliwość korzystania z Serwisu. Klient może wycofać zgodę w dowolnym momencie za pomocą linku rezygnacji z subskrypcji zawartego w każdej wiadomości marketingowej lub w ustawieniach Konta. Lista mailingowa jest zarządzana przez self-hosted instancję Mailwizz. Wycofanie zgody na komunikację marketingową nie wpływa na otrzymywanie e-maili transakcyjnych (§12), które są niezbędne do świadczenia Usługi.

14. Podstawy prawne przetwarzania

Przetwarzamy Twoje dane osobowe na następujących podstawach prawnych określonych w art. 6 ust. 1 RODO:

  • Art. 6 ust. 1 lit. b — Wykonanie umowy: Przetwarzanie danych rejestracyjnych, dokumentów, danych płatniczych, danych API i komunikacji technicznej jest niezbędne do świadczenia Usługi, na którą się zarejestrowałeś.
  • Art. 6 ust. 1 lit. a — Zgoda: Komunikacja marketingowa opiera się na Twojej wyraźnej zgodzie, którą możesz wycofać w dowolnym momencie.
  • Art. 6 ust. 1 lit. f — Uzasadniony interes: Zbieranie zanonimizowanych danych analitycznych, monitoring błędów (Sentry), logowanie bezpieczeństwa, wykrywanie nowych urządzeń i zapobieganie nadużyciom służą naszemu uzasadnionemu interesowi w utrzymaniu bezpieczeństwa i ulepszaniu Usługi. Możesz sprzeciwić się temu przetwarzaniu w dowolnym momencie.

15. Okres przechowywania danych

Przechowujemy Twoje dane osobowe przez następujące okresy:

  • Dane konta: Przechowywane, gdy Konto jest aktywne. Konta nieaktywne przez ponad 12 kolejnych miesięcy mogą zostać usunięte po powiadomieniu z 30-dniowym wyprzedzeniem.
  • Dokumenty i media: Przechowywane, gdy Konto istnieje. Usunięte dokumenty trafiają do kosza na 30 dni, po czym są trwale usuwane. Po usunięciu Konta wszystkie dane są trwale usuwane w ciągu 30 dni.
  • Generacje AI: Przechowywane, gdy Konto istnieje. Pliki wideo, audio i dane scenariuszy są usuwane razem z Kontem.
  • Klucze API i konfiguracje webhooks: Usuwane natychmiast po odwołaniu przez Klienta lub usunięciu Konta.
  • Statystyki wyświetleń: Hashe IP w logach wyświetleń są przechowywane przez 90 dni, a następnie trwale usuwane. Zagregowane liczniki wyświetleń są przechowywane bezterminowo.
  • Dane analityczne: Zanonimizowane dane Umami są przechowywane przez 26 miesięcy.
  • Dane monitoringu błędów: Dane w Sentry są przechowywane przez 90 dni.
  • Logi systemowe: Logi serwera są przechowywane przez 90 dni na potrzeby debugowania i bezpieczeństwa.
  • Dane rozliczeniowe: Metadane subskrypcji (status, typ planu, interwał) są przechowywane, gdy Konto istnieje, i usuwane razem z Kontem. Rejestry transakcji, faktury i dane płatnicze są zarządzane i przechowywane przez Paddle.com zgodnie z ich polityką retencji danych i obowiązującymi przepisami podatkowymi.

16. Podmioty przetwarzające dane

Twoje dane są przetwarzane z udziałem następujących podmiotów trzecich (podwykonawców przetwarzania). Korzystamy wyłącznie z dostawców, którzy oferują odpowiednie gwarancje ochrony danych osobowych zgodnie z RODO, w tym standardowe warunki przetwarzania danych (DPA) dostępne w ramach ich warunków świadczenia usług:

  • Vercel Inc. (AWS Frankfurt eu-central-1, Paryż eu-west-3, Dublin eu-west-1): Hosting aplikacji webowej i dostarczanie przez sieć edge. Funkcje serwerowe działają wyłącznie w regionach UE (Frankfurt, Paryż, Dublin). Dane pozostają w UE.
  • Supabase Inc. (AWS Frankfurt, eu-central-1): Hosting bazy danych PostgreSQL, usługa uwierzytelniania. Dane pozostają w UE.
  • Backblaze Inc. (UE, eu-central-003): Przechowywanie obiektowe dla zrzutów ekranu i plików multimedialnych. Dane są przechowywane w UE.
  • Google Cloud Platform: API Text-to-Speech do narracji wideo AI. Wysyłany jest wyłącznie tekst pochodzący z dokumentów; żadne identyfikatory osobiste. Przetwarzanie objęte jest Aneksem o przetwarzaniu danych Google ze Standardowymi Klauzulami Umownymi UE (SCC).
  • Paddle.com Market Ltd (UK): Przetwarzanie płatności jako Merchant of Record. Wielka Brytania posiada decyzję o adekwatności UE (28 czerwca 2021), zapewniającą równoważną ochronę danych.
  • Amazon Web Services (Dublin, eu-west-1): Simple Email Service (SES) do e-maili transakcyjnych, Lambda do renderowania wideo oraz S3 do przechowywania wygenerowanych plików wideo. Dane pozostają w UE.
  • OpenRouter (USA): API modeli AI do generowania scenariuszy. Wysyłana jest wyłącznie treść dokumentów (bez danych osobowych). Transfer objęty SCC UE.
  • Functional Software Inc. / Sentry (USA): Monitoring błędów i wydajności aplikacji. Zbierane są wyłącznie dane techniczne (stack traces, metryki wydajności) — bez treści dokumentów ani danych osobowych. Transfer objęty SCC UE.
  • Cloudflare Inc. (USA): Turnstile — weryfikacja bezpieczeństwa formularzy (ochrona przed botami). Minimalny zestaw danych sesyjnych, bez śledzenia użytkowników. Transfer objęty SCC UE.
  • Umami (self-hosted, Hetzner Helsinki): Analityka webowa zorientowana na prywatność. Hostowana na naszej własnej infrastrukturze w UE; żadne dane nie opuszczają naszych serwerów. Bez ciasteczek, bez śledzenia między stronami.
  • Mailwizz (self-hosted, Hetzner Helsinki): Zarządzanie listami mailingowymi (techniczna i marketingowa). Hostowana na naszej własnej infrastrukturze w UE; dane subskrybentów nie opuszczają naszych serwerów.

Nie sprzedajemy, nie wynajmujemy ani nie wymieniamy Twoich danych osobowych z żadną stroną trzecią. Dane są udostępniane wyłącznie podmiotom przetwarzającym wymienionym powyżej, ściśle w celach opisanych w niniejszej polityce.

17. Twoje prawa wynikające z RODO

Na mocy Ogólnego Rozporządzenia o Ochronie Danych przysługują Ci następujące prawa:

  • Prawo dostępu (art. 15): Możesz żądać kopii wszystkich danych osobowych, które posiadamy na Twój temat. Udostępnimy je w ciągu 30 dni w ustrukturyzowanym, powszechnie używanym formacie.
  • Prawo do sprostowania (art. 16): Możesz poprawić nieprawidłowe lub niekompletne dane w dowolnym momencie w ustawieniach Konta lub kontaktując się z nami.
  • Prawo do usunięcia (art. 17): Możesz usunąć Konto i wszystkie powiązane dane ze strony Ustawień. Usunięcie jest realizowane w ciągu 30 dni, łącznie z kopiami zapasowymi.
  • Prawo do przenoszenia danych (art. 20): Możesz wyeksportować dokumenty i dane w formacie czytelnym maszynowo (JSON) ze strony Ustawień.
  • Prawo do sprzeciwu (art. 21): Możesz sprzeciwić się przetwarzaniu opartemu na uzasadnionym interesie (np. analityka, monitoring błędów). Zaprzestaniemy takiego przetwarzania, chyba że wykażemy istnienie ważnych prawnie uzasadnionych podstaw.
  • Prawo do ograniczenia przetwarzania (art. 18): Możesz zażądać ograniczenia przetwarzania Twoich danych na czas rozstrzygania sporu.
  • Prawo do wycofania zgody (art. 7 ust. 3): Gdy przetwarzanie opiera się na zgodzie (np. komunikacja marketingowa), możesz ją wycofać w dowolnym momencie bez wpływu na zgodność z prawem wcześniejszego przetwarzania.

Aby skorzystać z któregokolwiek z tych praw, skontaktuj się z nami pod adresem support@clarife.app. Odpowiemy w ciągu 30 dni.

18. Eksport danych

Możesz wyeksportować wszystkie swoje dane (dokumenty, adnotacje, informacje profilowe) w formacie JSON bezpośrednio ze strony Ustawień w Serwisie. Przejdź do Ustawień.

19. Zautomatyzowane podejmowanie decyzji

clarife nie stosuje zautomatyzowanego podejmowania decyzji ani profilowania, które wywołuje skutki prawne lub w podobny sposób istotnie wpływa na Ciebie, w rozumieniu art. 22 RODO. Funkcja generowania wideo AI tworzy treści na podstawie Twoich dokumentów, ale nie podejmuje żadnych decyzji dotyczących Ciebie ani Twojego dostępu do Usługi.

20. Bezpieczeństwo

Wdrażamy środki techniczne i organizacyjne w celu ochrony Twoich danych:

  • Wszystkie dane w transmisji są szyfrowane za pomocą HTTPS/TLS 1.3
  • Hasła są hashowane algorytmem bcrypt (koszt 10+); nigdy nie przechowujemy haseł w postaci jawnej
  • Klucze API przechowywane jako hash; sekrety webhooks szyfrowane AES-256-GCM
  • Polityki Row-Level Security (RLS) wymuszają izolację danych na poziomie bazy danych
  • Uwierzytelnianie dwuskładnikowe (TOTP) jest dostępne dla wszystkich kont
  • Regularne szyfrowane kopie zapasowe z 30-dniowym okresem przechowywania
  • Przeprowadzone kompleksowe audyty bezpieczeństwa (wewnętrzny i niezależny)

21. Organ nadzorczy

Jeśli uważasz, że Twoje prawa do ochrony danych zostały naruszone, masz prawo złożyć skargę do polskiego organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, Polska. Strona internetowa: uodo.gov.pl. Możesz również skontaktować się z lokalnym organem ochrony danych w UE/EOG.

22. Zmiany w polityce

Możemy od czasu do czasu aktualizować niniejszą Politykę Prywatności. O istotnych zmianach poinformujemy za pośrednictwem ogłoszenia na stronie Serwisu oraz, dla zarejestrowanych Klientów, e-mailem co najmniej 14 dni przed wejściem zmian w życie. Zaktualizowana polityka wchodzi w życie w dniu wskazanym na górze tej strony.