Polityka Prywatności

1. Administrator danych

Administratorem danych osobowych jest Workin'Flows Adrian Krawczyk, NIP 9721365392, e-mail: adi@workinflows.pl.

2. Jakie dane przetwarzamy

1. Adres e-mail: rejestracja konta, korespondencja, powiadomienia transakcyjne.
2. Adres IP: rate limiting (1 darmowa próbka / 24h), bezpieczeństwo, logi serwera.
3. Dane OAuth: identyfikator konta Google lub Allegro (do logowania). Nie przechowujemy haseł.
4. Dane transakcyjne: identyfikator sesji Stripe, kwota, pakiet. Dane kart płatniczych przetwarza wyłącznie Stripe Inc.
5. Materiały produktowe: zdjęcia i opisy produktów przesłane w celu generowania ofert. Przechowywane 24h (darmowa próbka) lub do usunięcia konta.
6. Materiały do generowania AI: zdjęcia produktów oraz (opcjonalnie) zdjęcia modelek przesłane przez Użytkownika, przetwarzane przez Google Vertex AI (modele Gemini) w celu wygenerowania zdjęć produktowych. Dane te przekazywane są do Google LLC (USA) na podstawie standardowych klauzul umownych (SCC).

2a. Zdjęcia modelek przesłane przez Użytkownika

Jeśli Użytkownik wgrywa zdjęcie osoby (modelki) w celu wygenerowania try-on, oświadcza tym samym, że posiada prawo do komercyjnego wykorzystania tego wizerunku oraz wymaganą zgodę osoby przedstawionej na zdjęciu (art. 81 ustawy o prawie autorskim i prawach pokrewnych). Wizerunek stanowi dane osobowe w rozumieniu art. 4 pkt 1 RODO i jest przetwarzany wyłącznie w celu wykonania usługi na podstawie art. 6 ust. 1 lit. b RODO (umowa). Zdjęcie przekazywane jest do Google Vertex AI (USA) na podstawie standardowych klauzul umownych (SCC) i nie jest przechowywane dłużej niż niezbędne do wygenerowania wyników.

3. Podstawa prawna

• Art. 6 ust. 1 lit. b RODO: wykonanie umowy (realizacja usługi generowania ofert).
• Art. 6 ust. 1 lit. f RODO: prawnie uzasadniony interes (bezpieczeństwo, zapobieganie nadużyciom, analityka).
• Art. 6 ust. 1 lit. c RODO: obowiązek prawny (rachunkowość, fakturowanie, Ordynacja podatkowa).

4. Odbiorcy danych

• Google Cloud Platform (Google LLC, USA): hosting, Cloud SQL, Vertex AI. Podstawa transferu: Standard Contractual Clauses.
• Stripe Inc. (USA): obsługa płatności. Certyfikat PCI DSS Level 1.
• Resend Inc. (USA): transakcyjne wiadomości e-mail.
• Cloudflare Inc. (USA): CDN, ochrona DDoS.
• Allegro.pl sp. z o.o. (Polska): marketplace; dane przekazywane gdy Użytkownik autoryzuje konto Allegro i publikuje oferty. Allegro jest odrębnym administratorem danych w zakresie własnych celów i procesów.

Każdy podmiot przetwarzający posiada umowę powierzenia przetwarzania danych (DPA) lub stosuje Standard Contractual Clauses.

5. Okres przechowywania

• Dane konta: do momentu usunięcia konta przez Użytkownika.
• Dane transakcyjne (faktury, ledger): 5 lat od końca roku podatkowego (Ordynacja podatkowa).
• Materiały produktowe (darmowa próbka): 24 godziny.
• Logi serwera (IP, user-agent): 90 dni.

6. Prawa Użytkownika

Przysługuje Ci prawo do:

• dostępu do swoich danych (art. 15 RODO),
• sprostowania danych (art. 16 RODO),
• usunięcia danych: "prawo do bycia zapomnianym" (art. 17 RODO),
• ograniczenia przetwarzania (art. 18 RODO),
• przenoszenia danych (art. 20 RODO),
• sprzeciwu wobec przetwarzania (art. 21 RODO),
• wniesienia skargi do Prezesa UODO (ul. Stawki 2, 00-193 Warszawa).

Żądania kieruj na adi@workinflows.pl. Odpowiedź w ciągu 30 dni.

7. Pliki cookies

1. postik_sess: cookie sesyjne (httpOnly, Secure, SameSite=Lax). Niezbędne do działania zalogowanego konta. Czas życia: 30-90 dni w zależności od metody logowania.

Serwis nie używa cookies reklamowych ani analitycznych firm trzecich. Nie profilujemy Użytkowników.

8. Bezpieczeństwo

Stosujemy szyfrowanie TLS, szyfrowanie danych w spoczynku (Cloud SQL, KMS envelope encryption), haszowanie tokenów sesyjnych (sha256), ograniczenie dostępu do infrastruktury (Tailscale VPN, IAM).

9. Zmiany polityki

O istotnych zmianach informujemy e-mailem z 14-dniowym wyprzedzeniem. Aktualna wersja dostępna pod adresem postik.pl/prywatnosc.