Dokumenty prawne
Polityka prywatności
Ostatnia aktualizacja: 29 kwietnia 2026
§1. Administrator danych osobowych
Administratorem Twoich danych osobowych jest [FIRMA] z siedzibą w [ADRES], NIP: [NIP], REGON: [REGON], prowadzący serwis dostępny pod adresem postujto.com (dalej: „Administrator").
Kontakt z Administratorem w sprawach dotyczących danych osobowych: hello@postujto.com
§2. Jakie dane zbieramy i w jakim celu
| Dane | Cel | Podstawa prawna | Odbiorcy | Okres przechowywania |
|---|---|---|---|---|
| Adres email, imię | Rejestracja i obsługa konta | Art. 6 ust. 1 lit. b RODO (umowa) | Clerk, Supabase | 30 dni po usunięciu konta |
| Dane płatnicze (obsługuje Stripe) | Przetwarzanie płatności | Art. 6 ust. 1 lit. b RODO (umowa) | Stripe | Zgodnie z polityką Stripe |
| Dane do faktury (NIP, nazwa firmy, adres) | Wystawianie faktur | Art. 6 ust. 1 lit. c RODO (obowiązek prawny) | inFakt | 5 lat (obowiązki podatkowe) |
| Historia generowań, Profil Mojej Firmy, prompty AI | Świadczenie usługi | Art. 6 ust. 1 lit. b RODO (umowa) | Supabase, Anthropic, Recraft | 30 dni po usunięciu konta |
| Tokeny social media (Facebook, Instagram, TikTok) | Publikacja postów | Art. 6 ust. 1 lit. b RODO (umowa) | bundle.social | Do odłączenia integracji |
| Logi serwera, adres IP | Bezpieczeństwo i diagnostyka | Art. 6 ust. 1 lit. f RODO (uzasadniony interes) | Vercel, Cloudflare, Sentry | 90 dni (Vercel/Cloudflare), 30 dni (Sentry) |
| Cookies analityczne | Analiza ruchu | Art. 6 ust. 1 lit. a RODO (zgoda) | Cloudflare Analytics | Do wycofania zgody |
| Sesje użytkownika (session replays na błędy) | Debug błędów | Art. 6 ust. 1 lit. a RODO (zgoda) | Sentry | 30 dni, tylko sesje z błędami |
| Konwersacje z chatbotem (Lyro AI) | Wsparcie klienta | Art. 6 ust. 1 lit. f RODO (uzasadniony interes) | Tidio | 12 miesięcy |
| Email do drip campaign (po rejestracji) | Onboarding i informacje o produkcie | Art. 6 ust. 1 lit. f RODO (uzasadniony interes) | Loops | Do wycofania zgody |
Nie sprzedajemy, nie wynajmujemy ani nie udostępniamy Twoich danych osobom trzecim w celach marketingowych.
§3. Podmioty przetwarzające dane (procesorzy)
W celu świadczenia usługi korzystamy z następujących podwykonawców:
Procesorzy hostujący w Unii Europejskiej:
- Supabase — przechowywanie danych użytkowników i generowań (Frankfurt, UE)
- Sentry — monitoring błędów aplikacji (Frankfurt, UE)
- bundle.social — publikacja postów w social media (UE)
- inFakt — fakturowanie i księgowość (Polska)
- Tidio — chatbot wsparcia klienta (UE)
Procesorzy hostujący poza UE (Standardowe Klauzule Umowne):
- Clerk — uwierzytelnianie i zarządzanie kontami (USA)
- Stripe — obsługa płatności (USA + UE)
- Anthropic — generowanie treści AI przez model Claude (USA). Zapytania nie są wykorzystywane do trenowania modeli AI (Zero Data Retention Agreement).
- Recraft — generowanie obrazów AI (USA)
- Resend — wysyłka emaili transakcyjnych (USA, hosting AWS SES eu-west-1)
- Vercel — hosting aplikacji (USA + UE)
- Cloudflare — CDN, ochrona DDoS, email routing (USA)
- Loops — drip emails marketingowych (USA, jeśli dotyczy)
Wszystkie podmioty przetwarzające dane poza UE stosują Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską jako odpowiedni środek zabezpieczający transfer danych zgodnie z Art. 46 RODO.
§4. Twoje prawa
Zgodnie z RODO przysługują Ci następujące prawa:
- Prawo dostępu — możesz poprosić o kopię swoich danych (Art. 15 RODO).
- Prawo do sprostowania — możesz poprosić o korektę nieprawidłowych danych (Art. 16 RODO).
- Prawo do usunięcia („prawo do bycia zapomnianym") — możesz poprosić o usunięcie swoich danych (Art. 17 RODO).
- Prawo do ograniczenia przetwarzania — możesz poprosić o ograniczenie przetwarzania w określonych przypadkach (Art. 18 RODO).
- Prawo do przenoszenia danych — możesz otrzymać swoje dane w formacie CSV/JSON (Art. 20 RODO).
- Prawo do sprzeciwu — możesz sprzeciwić się przetwarzaniu opartemu na uzasadnionym interesie (Art. 21 RODO).
- Prawo do wycofania zgody — możesz wycofać zgodę na cookies analityczne, session replays i drip emails w dowolnym momencie (Art. 7 ust. 3 RODO).
Aby skorzystać z powyższych praw, skontaktuj się z nami: hello@postujto.com. Odpowiadamy w ciągu 30 dni.
Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa.
§5. Cookies i technologie śledzące
Używamy następujących kategorii cookies:
- Niezbędne — wymagane do działania serwisu (sesja, uwierzytelnianie, zapamiętywanie zgody na cookies). Nie wymagają zgody.
- Analityczne — Cloudflare Analytics (anonimowe statystyki ruchu, brak fingerprinting). Wymagają zgody.
- Diagnostyczne — Sentry session replays uruchamiane wyłącznie w przypadku błędu aplikacji. Treść formularzy i wrażliwe pola są maskowane. Wymagają zgody.
Możesz zarządzać cookies przez banner cookies wyświetlany przy pierwszej wizycie lub poprzez ustawienia przeglądarki. Wycofanie zgody na cookies analityczne i diagnostyczne nie wpływa na funkcjonowanie serwisu.
Nie używamy cookies reklamowych ani śledzących profil użytkownika na potrzeby reklam.
§6. Bezpieczeństwo danych
Stosujemy następujące środki techniczne i organizacyjne w celu ochrony Twoich danych:
- Szyfrowanie połączeń HTTPS (TLS 1.3) — Cloudflare SSL Full Strict
- Dane przechowywane w szyfrowanych bazach danych (Supabase, Frankfurt) z włączonym Row Level Security
- Dane kart płatniczych nie są przechowywane przez PostujTo — obsługuje je wyłącznie Stripe (PCI DSS Level 1)
- Monitoring błędów i incydentów bezpieczeństwa przez Sentry z automatyczną redakcją wrażliwych danych (tokenów uwierzytelniania, kluczy API)
- Ochrona przed atakami DDoS i botami — Cloudflare WAF + Bot Fight Mode
- Dostęp do danych produkcyjnych ograniczony do niezbędnego minimum (zasada najmniejszych uprawnień)
- Regularne kopie zapasowe danych (Supabase backup 7 dni)
- Uwierzytelnianie dwuskładnikowe (2FA) na wszystkich systemach administracyjnych
§7. Naruszenia ochrony danych
W przypadku naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności użytkowników, zgodnie z Art. 33 i 34 RODO:
- Zgłosimy naruszenie do PUODO w ciągu 72 godzin od jego stwierdzenia.
- Powiadomimy dotkniętych użytkowników bez zbędnej zwłoki drogą mailową na adres przypisany do konta.
- Opublikujemy informację o naruszeniu na stronie statusu status.postujto.com (gdy dostępna).
§8. Treści generowane przez AI
PostujTo wykorzystuje sztuczną inteligencję (model Claude od Anthropic) do generowania treści postów, hashtagów i opisów. Zgodnie z Aktem o Sztucznej Inteligencji UE (AI Act, Art. 50, obowiązujący od 2 sierpnia 2026):
- Treści generowane przez AI są oznaczone w interfejsie generatora przed publikacją.
- Użytkownik potwierdza świadomość użycia AI poprzez zaznaczenie checkbox w generatorze przy każdym pierwszym logowaniu w sesji.
- W planie Free do każdej wygenerowanej treści dodawane jest oznaczenie „✨ via PostujTo" w ostatniej linii posta.
- Decyzja o publikacji wygenerowanej treści należy do użytkownika — Administrator nie weryfikuje treści przed publikacją.
§9. Zmiany polityki prywatności
Zastrzegamy sobie prawo do zmiany niniejszej Polityki prywatności. O istotnych zmianach poinformujemy Cię drogą mailową z co najmniej 14-dniowym wyprzedzeniem.
Aktualna wersja Polityki prywatności jest zawsze dostępna pod adresem postujto.com/privacy.