Polityka Prywatności

1. Administrator Danych Osobowych i Kontakt

Administratorem Twoich danych osobowych w rozumieniu art. 4 pkt 7 RODO jest:

Inspektor Ochrony Danych (IOD): Administrator na dzień wejścia w życie niniejszego dokumentu nie wyznaczył IOD. Wszelkie zapytania dotyczące ochrony danych kieruj bezpośrednio na adres privacy@mycliqy.com. Termin odpowiedzi: do 30 dni kalendarzowych od daty otrzymania żądania.

2. Definicje

Na potrzeby niniejszej Polityki Prywatności stosuje się następujące definicje:

• RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.
• Dane osobowe — Wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 1 RODO).
• Przetwarzanie — Każda operacja lub zestaw operacji wykonywanych na danych osobowych (art. 4 pkt 2 RODO).
• Administrator — BMP SOFTWARE SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ — podmiot decydujący o celach i sposobach przetwarzania danych.
• Podmiot przetwarzający (Procesor) — Podmiot, który przetwarza dane osobowe w imieniu Administratora na podstawie pisemnej umowy (art. 28 RODO).
• Użytkownik — Osoba fizyczna korzystająca z Platformy mycliqy.com, posiadająca pełną zdolność do czynności prawnych (min. 16 lat).
• Platforma — Serwis internetowy mycliqy.com wraz ze wszystkimi subdomenami i aplikacjami mobilnymi.
• EOG — Europejski Obszar Gospodarczy — kraje UE plus Islandia, Liechtenstein, Norwegia.
• SCC — Standardowe Klauzule Umowne (Standard Contractual Clauses) zatwierdzone decyzją Komisji Europejskiej 2021/914/UE.
• DPF — Ramy Ochrony Danych UE–USA (EU-US Data Privacy Framework) — decyzja KE z 10 lipca 2023 r. (C(2023) 4745).
• UODO — Urząd Ochrony Danych Osobowych — polski organ nadzorczy ds. ochrony danych.
• DSAR — Data Subject Access Request — wniosek osoby, której dane dotyczą, o realizację jej praw (art. 15–22 RODO).

3. Podstawy Prawne Przetwarzania

Przetwarzamy Twoje dane wyłącznie na następujących podstawach prawnych wynikających z art. 6 i art. 9 RODO:

4. Kategorie Zbieranych Danych Osobowych

4.1. Dane rejestracyjne i konta

• Adres e-mail — wymagany do rejestracji i komunikacji (Supabase Auth)
• Hasło — przechowywane wyłącznie w postaci bezpiecznego hasha (bcrypt) w Supabase
• Imię / pseudonim — podawany opcjonalnie w profilu
• Zdjęcie profilowe / awatar — opcjonalne, przechowywane w Supabase Storage (UE, Dublin)
• Numer telefonu — opcjonalny, na potrzeby weryfikacji 2FA lub kontaktu
• Token Google OAuth i ID konta Google — przy logowaniu przez Google
• Data i godzina rejestracji, data ostatniego logowania
• Adres IP i user-agent przeglądarki — rejestrowane przez Supabase Auth przy logowaniu (bezpieczeństwo)

4.2. Dane marki (Brand Wizard)

• URL strony internetowej marki — pobierany i analizowany przez OpenAI GPT-4o w celu ekstrakcji danych marki
• Treść publiczna strony internetowej marki (HTML) — tymczasowo przetwarzana przez OpenAI, nie przechowywana
• Nazwa marki, opis, branża, ton komunikacji, grupa docelowa, USP
• Paleta kolorów marki, czcionki, zasoby wizualne (logo URL, OG image URL, favicon URL)
• Linki do profili społecznościowych marki (Instagram, LinkedIn, Facebook, TikTok, Twitter/X)

4.3. Treści AI i dane kreatywe

• Prompty (polecenia tekstowe) wpisywane do generatorów obrazów i wideo — przesyłane do KieAI lub WaveSpeed
• Obrazy wejściowe przesyłane przez użytkownika do obróbki AI (image-to-image, inpainting, upscaling, motion control)
• Wideo referencyjne przesyłane przez użytkownika do motion control oraz extend
• Wygenerowane obrazy, wideo i copywriting — zapisywane w bibliotece konta (Supabase Storage, UE)
• Historia konwersacji z Asystentem AI Studio (GPT-4o) — zapisywana w Supabase DB
• Historia rozmów Pomysłomatu Pro i panelu agentów, w tym wykonane playbooki, synthetic task logs i odpowiedzi agentów — zapisywana w Supabase DB jako trwały log konwersacji
• Summary-first pamięć rozmów Pomysłomatu i agentów: summary, highlights, open loops oraz vector embeddings służące do odtwarzania kontekstu w kolejnych rozmowach tego samego agenta (z limitami retencji i throttlingiem odświeżania pamięci)
• Komentarze i wiadomości prywatne (DM) z Facebooka, Instagrama, TikToka i LinkedIna: zapisujemy platformowy identyfikator nadawcy, treść pytania/komentarza, finalną odpowiedź oraz summary-first memory exact-match dla tego samego użytkownika na tej samej platformie; nie łączymy tożsamości między kanałami
• Wiadomości głosowe wysłane do bota Telegram — tymczasowo pobierane z Telegram Bot API i przesyłane do OpenAI wyłącznie w celu transkrypcji polecenia; nagranie nie jest przez nas trwale zapisywane
• Skrypty UGC, e-maile reklamowe, posty social media stworzone przez Asystenta AI
• Ustawienia parametrów generowania (model AI, aspekt, jakość, seed, negatywny prompt)

4.4. Dane płatnicze i finansowe

• Adres e-mail powiązany z kontem Stripe (przekazywany przy tworzeniu/aktualizacji Stripe Customer)
• ID klienta Stripe (stripe_customer_id) — przechowywany w naszej bazie, nie dane karty
• ID subskrypcji Stripe, ID płatności (payment_intent_id), ID faktury
• Historia transakcji: kwota (PLN/EUR), waluta, data, status, typ (subskrypcja / doładowanie kredytów / slot wideo)
• Metadane płatności: typ doładowania, liczba kredytów / slotów zakupionych
• UWAGA: Pełne dane kart płatniczych przetwarzane są WYŁĄCZNIE przez Stripe, Inc. — mycliqy nigdy ich nie widzi

4.5. Dane Marketplace (Twórcy i Klienci)

• Twórcy: imię/pseudonim, bio, lokalizacja (kraj, miasto), doświadczenie, stawki, specjalizacje, dostępność
• Twórcy: portfolio — pliki wideo, zdjęcia, przykłady copywritingu (Supabase Storage, UE)
• Twórcy: linki do profili social media (Instagram, TikTok, YouTube, etc.)
• Twórcy: historia zarobków (łączna kwota wypłat)
• Klienci: nazwa firmy, branża, wielkość, e-mail kontaktowy, telefon kontaktowy, URL strony
• Klienci: historia wydatków na marketplace
• Kontrakty: tytuł projektu, opis, kwota, data, kamienie milowe, status
• Wiadomości między klientami a twórcami (nie są szyfrowane E2E — treść dostępna administratorowi)
• Dane escrow: kwota, status, ID transakcji Stripe Connect, prowizja platformy

4.6. Dane zbierane automatycznie

• Adres IP (rejestrowany przez Supabase Auth, Vercel Edge i Google Analytics 4 — z anonimizacją ostatniego oktetu w GA4)
• Typ i wersja przeglądarki, typ urządzenia, system operacyjny (user-agent)
• Dane o sesjach: strony odwiedzone, czas spędzony, interakcje z elementami UI (GA4 — za zgodą), techniczna telemetria Microsoft Clarity w trybie no-consent oraz pełne heatmapy/odtworzenia sesji po wyrażeniu zgody analytics
• Zdarzenia konwersji: klikniecia, rejestracja, zakup subskrypcji, użycie generatora AI (GA4 — za zgodą)
• Dane techniczne żądań HTTP: metoda, ścieżka, kod odpowiedzi, timestamp (logi Vercel)
• Pliki cookies — szczegóły w odrębnej Polityce Cookies: mycliqy.com/cookies

4.7. Dane szczególnych kategorii (Art. 9 RODO)

5. Cele i Sposoby Przetwarzania Danych

6. Sub-procesory — Podmioty Przetwarzające Dane w Naszym Imieniu

Powierzamy przetwarzanie danych wyłącznie podmiotom dającym wystarczające gwarancje zgodności z RODO (art. 28 RODO). Ze wszystkimi podmiotami poniżej mamy lub jesteśmy zobowiązani do zawarcia umowy powierzenia przetwarzania (DPA). Aktualna lista sub-procesorów:

7. Przekazywanie Danych Poza Europejski Obszar Gospodarczy

Część naszych sub-procesorów przetwarza dane poza EOG (głównie USA). Każdy transfer odbywa się na jednej z następujących podstaw prawnych zapewniających odpowiedni poziom ochrony:

• Decyzja adekwatności — Ramy Ochrony Danych UE–USA (Data Privacy Framework, DPF), decyzja KE z 10 lipca 2023 r. (C(2023) 4745), dotyczy podmiotów certyfikowanych: Stripe, Google, Vercel.
• Standardowe Klauzule Umowne (SCC) — decyzja KE 2021/914/UE z 4 czerwca 2021 r. — stosowane w umowach z OpenAI, KieAI, WaveSpeed, Resend.
• Supabase działa na serwerach AWS eu-west-1 (Dublin, Irlandia) — dane NIE opuszczają EOG.

Masz prawo uzyskania kopii zabezpieczeń stosowanych przy transferach danych — wyślij żądanie na privacy@mycliqy.com.

8. Okresy Retencji i Usuwanie Danych

9. Bezpieczeństwo Danych

Stosujemy następujące techniczne i organizacyjne środki ochrony danych (art. 32 RODO):

• Szyfrowanie transmisji: HTTPS z TLS 1.3 dla wszystkich połączeń między przeglądarką a serwerami Vercel i Supabase
• Szyfrowanie danych w spoczynku w bazie PostgreSQL (Supabase) — szyfrowanie na poziomie woluminów AWS
• Row Level Security (RLS) — każdy użytkownik Supabase ma dostęp wyłącznie do własnych danych; polityki RLS na wszystkich tabelach zawierających dane osobowe
• Separacja kluczy API — klucze API zewnętrznych serwisów (OpenAI, KieAI, WaveSpeed, Stripe, Resend) przechowywane wyłącznie w zmiennych środowiskowych serwera (nigdy w kodzie frontendowym)
• Weryfikacja podpisu kryptograficznego webhooków Stripe (Stripe-Signature header) — ochrona przed spoofingiem eventów
• Mechanizm blokady współbieżności generowania — jeden aktywny task AI na konto użytkownika (ochrona przed race conditions i nadużywaniem)
• Hasła przechowywane wyłącznie w postaci skrótów kryptograficznych (bcrypt) — nigdy w postaci jawnej
• Regularne automatyczne kopie zapasowe bazy danych (zarządzane przez Supabase — retencja 7 dni dla planów paid)
• Kontrola dostępu administracyjnego — oddzielny token service_role dla operacji administracyjnych, nieeksponowany klientom

10. Twoje Prawa (Art. 15–22 RODO)

Jako podmiot danych przysługują Ci poniższe prawa. Każde żądanie możesz przesłać na adres privacy@mycliqy.com. Odpowiemy w ciągu 30 dni (termin może zostać przedłużony o kolejne 2 miesiące w przypadkach złożonych żądań — o przedłużeniu poinformujemy).

11. Profilowanie i Zautomatyzowane Podejmowanie Decyzji

Platforma mycliqy nie stosuje profilowania w rozumieniu art. 22 RODO prowadzącego do zautomatyzowanego podejmowania decyzji wywołujących skutki prawne lub w podobny sposób znacząco wpływających na Użytkownika.

Google Analytics 4 (za Twoją zgodą) przetwarza zagregowane dane behawioralne w celach analitycznych i ulepszania Platformy. Dane te nie są wykorzystywane do podejmowania indywidualnych decyzji wobec Użytkownika.

Microsoft Clarity działa wyłącznie na publicznych stronach marketingowych. Przed zgodą analytics pozostaje w technicznym trybie no-consent bez zapisu _clck/_clsk; po zgodzie może przetwarzać anonimowe heatmapy i odtworzenia sesji. Nie używamy Clarity do identyfikowania Użytkowników, podejmowania decyzji wobec konkretnych osób ani śledzenia aktywności w panelu, checkout, marketplace lub strefach auth.

Silniki AI (OpenAI, KieAI, WaveSpeed) przetwarzają wprowadzane przez Ciebie dane (prompty, obrazy) wyłącznie w celu generowania treści na Twoje zlecenie — nie w celu oceny, klasyfikacji ani profilowania Ciebie jako osoby.

12. Zmiany Polityki Prywatności i Powiadomienia

Administrator zastrzega sobie prawo do aktualizacji niniejszej Polityki Prywatności. Zmiany mogą wynikać z: nowych integracji z sub-procesorami, zmian w przepisach prawa, wytycznych UODO lub EROD, nowych funkcji Platformy.

O istotnych zmianach (nowy sub-procesor, nowy cel przetwarzania, zmiana podstawy prawnej) poinformujemy:

• Drogą e-mailową na adres przypisany do Konta — co najmniej 30 dni przed wejściem zmian w życie
• Poprzez komunikat w Panelu użytkownika
• Poprzez widoczne oznaczenie nowej wersji i daty na tej stronie

Wersja i data dokumentu widoczne są na górze strony. Historia wersji dostępna na żądanie pod adresem privacy@mycliqy.com.

13. Właściwy Organ Nadzorczy

Masz prawo wniesienia skargi do organu nadzorczego właściwego dla Twojego miejsca zamieszkania lub miejsca przetwarzania danych. Dla Polski jest to:

Obywatele UE zamieszkali poza Polską mogą wnieść skargę do organu nadzorczego właściwego dla ich kraju zamieszkania lub skorzystać z platformy ODR Komisji Europejskiej: ec.europa.eu/consumers/odr.

14. Postanowienia Końcowe

Niniejsza Polityka Prywatności podlega prawu polskiemu. W sprawach nieuregulowanych stosuje się przepisy RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.) oraz ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.

Jeżeli którekolwiek z postanowień niniejszej Polityki okaże się nieważne lub bezskuteczne, pozostałe postanowienia pozostają w mocy.

Polityka Prywatności jest dokumentem powiązanym z: Regulaminem Świadczenia Usług i Polityką Cookies. W przypadku sprzeczności między dokumentami, pierwszeństwo ma Regulamin, a następnie niniejsza Polityka Prywatności.