Insighteo App

Dokument prawny

Polityka prywatności i klauzula informacyjna RODO

Zasady przetwarzania danych osobowych w aplikacji Insighteo. Wersja robocza do weryfikacji prawnej.

§1. Administrator danych

  1. Administratorem danych osobowych jest Insighteo Tomasz Łabędzki, NIP: 8951863348.
  2. Kontakt z administratorem jest możliwy pod adresem e-mail: [email protected].
  3. Jeżeli administrator wyznaczy inspektora ochrony danych, jego dane kontaktowe powinny zostać dodane do tej polityki.
  4. Polityka opisuje przetwarzanie danych w związku z korzystaniem z Insighteo App, w szczególności konta, importów CSV, rankingu produktów, szablonów mapowania, płatności Stripe i logowania Google.

§2. Kategorie przetwarzanych danych

  1. Dane konta: adres e-mail, hasło w formie zahashowanej, identyfikator Google przy logowaniu Google, informacja o weryfikacji e-maila, status subskrypcji lub planu, data utworzenia konta i data ostatniego logowania.
  2. Dane profilu i fakturowe: imię i nazwisko albo nazwa firmy, adres, miasto, kod pocztowy, kraj, numer podatkowy i typ faktury. Dane te są zbierane i przechowywane w aplikacji na potrzeby rozliczeń i wystawiania faktur.
  3. Dane importów: nazwa przesłanego pliku, plik CSV, zmapowany CSV, wynikowy CSV, status importu, liczba produktów w pliku, koszt importu w tokenach, liczba przetworzonych wierszy, komunikaty błędów, daty utworzenia i aktualizacji, czas rozpoczęcia przetwarzania.
  4. Dane szablonów mapowania: nazwa szablonu, układ nagłówków CSV i zapisane dopasowanie kolumn.
  5. Dane techniczne: identyfikatory sesji, cookies, preferencje języka i motywu, logi techniczne, informacje bezpieczeństwa i dane diagnostyczne.
  6. Dane płatności, subskrypcji i tokenów: saldo tokenów, historia operacji tokenowych, pobrania tokenów za importy, zwroty tokenów, korekty administracyjne, identyfikatory klienta i subskrypcji Stripe, status płatności, status subskrypcji oraz informacje potrzebne do rozliczeń. Pełne dane kart płatniczych są obsługiwane przez Stripe, a nie przez aplikację.

§3. Cele i podstawy prawne przetwarzania

  1. Utworzenie i obsługa konta, logowanie, utrzymanie sesji, udostępnienie panelu użytkownika - art. 6 ust. 1 lit. b RODO.
  2. Import CSV, mapowanie kolumn, zapis szablonów, przetwarzanie plików, generowanie rankingu i pobieranie wyniku - art. 6 ust. 1 lit. b RODO.
  3. Obsługa płatności, subskrypcji Premium, tokenów/import credits, salda tokenów, historii operacji tokenowych, faktur i rozliczeń - art. 6 ust. 1 lit. b i c RODO.
  4. Wypełnianie obowiązków księgowych, podatkowych i prawnych - art. 6 ust. 1 lit. c RODO.
  5. Bezpieczeństwo aplikacji, diagnostyka błędów, zapobieganie nadużyciom, dochodzenie lub obrona roszczeń - art. 6 ust. 1 lit. f RODO.
  6. Komunikacja z użytkownikiem, obsługa zgłoszeń i reklamacji - art. 6 ust. 1 lit. b lub f RODO.
  7. Analityka techniczna i rozwój usługi, o ile nie wymaga zgody - art. 6 ust. 1 lit. f RODO.
  8. Cookies analityczne lub marketingowe, jeżeli zostaną wdrożone i wymagają zgody - art. 6 ust. 1 lit. a RODO.

§4. Pliki CSV i dane przesyłane przez użytkownika

  1. Aplikacja jest przeznaczona do danych produktowych e-commerce, takich jak product_id, product_name, category, sold, views, sales_value i cogs.
  2. Aplikacja nie wymaga świadomego przesyłania danych osobowych w plikach CSV.
  3. Jeżeli użytkownik umieści dane osobowe w pliku CSV, odpowiada za legalność, zakres i podstawę prawną ich przetwarzania oraz przekazania do aplikacji.
  4. Administrator przetwarza pliki CSV w celu wykonania usługi wybranej przez użytkownika: mapowania kolumn, obliczenia rankingu, zapisania historii importów i udostępnienia wyniku.
  5. Użytkownik może usunąć import z historii. Usunięcie importu powinno usuwać powiązane pliki, z zastrzeżeniem kopii zapasowych, logów technicznych i obowiązków prawnych.

§5. Logowanie Google

  1. Jeżeli użytkownik korzysta z Google OAuth, aplikacja może przetwarzać adres e-mail z konta Google, identyfikator konta Google i informację o weryfikacji e-maila.
  2. Google działa jako niezależny dostawca usługi logowania i może przetwarzać dane zgodnie ze swoimi zasadami prywatności.

§6. Stripe i płatności

  1. Aplikacja korzysta ze Stripe do obsługi płatności, metody płatności, subskrypcji Premium, portalu klienta i webhooków płatniczych.
  2. Stripe może przetwarzać dane płatnicze jako niezależny administrator albo podmiot przetwarzający, zależnie od zakresu usługi i konfiguracji.
  3. Aplikacja nie przechowuje pełnych danych kart płatniczych. Dane kart są obsługiwane przez Stripe.
  4. Administrator przechowuje dane fakturowe w aplikacji i może wykorzystywać je do wystawienia faktury poza Stripe albo w odrębnym procesie księgowo-fakturowym.
  5. Administrator może przechowywać identyfikatory Stripe, status płatności, status subskrypcji, saldo tokenów, historię operacji tokenowych i informacje potrzebne do rozliczeń.

§7. Odbiorcy danych i dostawcy

  1. Dane mogą być przetwarzane przez DigitalOcean jako dostawcę hostingu, App Platform, bazy PostgreSQL i storage plików kompatybilnego z S3, np. DigitalOcean Spaces.
  2. Dane mogą być przetwarzane przez Google w zakresie logowania OAuth oraz przez Stripe w zakresie płatności.
  3. Dane mogą być przetwarzane przez dostawców domeny, DNS, poczty e-mail, księgowości, fakturowania, kopii zapasowych, monitoringu, analityki technicznej i bezpieczeństwa, jeśli są wykorzystywani.
  4. Dane mogą zostać udostępnione organom publicznym, jeżeli wymagają tego przepisy prawa.

§8. Transfer danych poza EOG

  1. Niektórzy dostawcy, w szczególności Google, Stripe lub dostawcy infrastruktury, mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym.
  2. Jeżeli dochodzi do transferu poza EOG, powinien on odbywać się z zastosowaniem odpowiednich mechanizmów prawnych, np. decyzji stwierdzającej odpowiedni stopień ochrony albo standardowych klauzul umownych.
  3. Dokładna lista transferów i dostawców wymaga potwierdzenia przed uruchomieniem produkcyjnych płatności i pełnej listy narzędzi.

§9. Okres przechowywania danych

  1. Dane konta są przechowywane przez okres korzystania z aplikacji, a następnie przez czas wymagany przepisami prawa albo potrzebny do dochodzenia lub obrony roszczeń.
  2. Pliki importów i wyników są przechowywane przez ustawiony okres retencji. Domyślnie planowany okres retencji wynosi 7 dni, chyba że administrator ustawi inaczej.
  3. Szablony mapowania są przechowywane do czasu usunięcia ich przez użytkownika albo usunięcia konta, z zastrzeżeniem obowiązków prawnych i technicznych kopii zapasowych.
  4. Dane rozliczeniowe, fakturowe i historia operacji tokenowych są przechowywane przez okres wymagany przepisami księgowo-podatkowymi albo potrzebny do obsługi reklamacji, rozliczeń i ochrony przed roszczeniami.
  5. Logi techniczne i bezpieczeństwa są przechowywane przez okres potrzebny do zapewnienia bezpieczeństwa, diagnostyki i ochrony przed roszczeniami.

§10. Prawa osoby, której dane dotyczą

  1. Użytkownik ma prawo dostępu do danych, otrzymania kopii danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu.
  2. Jeżeli dane są przetwarzane na podstawie zgody, użytkownik może cofnąć zgodę w dowolnym momencie bez wpływu na zgodność przetwarzania sprzed cofnięcia zgody.
  3. Użytkownik ma prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.
  4. W celu realizacji praw można skontaktować się z administratorem pod adresem [email protected].

§11. Dobrowolność danych i konsekwencje ich niepodania

  1. Podanie danych konta jest dobrowolne, ale konieczne do korzystania z funkcji wymagających logowania.
  2. Podanie danych fakturowych może być konieczne do korzystania z płatnych funkcji, otrzymania faktury lub spełnienia obowiązków podatkowych.
  3. Przesłanie pliku CSV jest dobrowolne, ale konieczne do wygenerowania rankingu produktów.

§12. Zautomatyzowane decyzje i profilowanie

  1. Aplikacja automatycznie oblicza ranking produktów na podstawie danych przesłanych przez użytkownika.
  2. Ranking ma charakter analityczny i pomocniczy. Aplikacja nie podejmuje wobec użytkownika decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby skutki prawne lub podobnie istotnie wpływały na użytkownika w rozumieniu RODO.

§13. Bezpieczeństwo

  1. Hasła są przechowywane w formie zahashowanej.
  2. Sesje są obsługiwane przez cookies HTTP-only, a produkcyjna aplikacja powinna działać przez HTTPS.
  3. Dane użytkowników i importy są rozdzielane według kont użytkowników.
  4. Dostęp administracyjny jest ograniczony do upoważnionych osób.
  5. Pliki i baza są przechowywane u zewnętrznych dostawców infrastruktury z zastosowaniem środków bezpieczeństwa właściwych dla tego rodzaju usług.