Polityka prywatności
workinflows.pl · ostatnia aktualizacja: · poprzednia wersja na żądanie
1. Administrator danych
Administratorem Twoich danych osobowych jest:
- Adrian Krawczyk prowadzący działalność pod marką Workin'Flows
- NIP: 9721365392
- Siedziba: Poznań, Polska
- Kontakt: [email protected]
Adres korespondencyjny dostępny na żądanie mailowe.
2. Jakie dane i po co
| Kategoria danych | Cel | Podstawa prawna | Okres retencji |
|---|---|---|---|
| Adres email, imię (jeśli podane), treść wiadomości | Odpowiedź na zapytania kontaktowe | Uzasadniony interes (art. 6 ust. 1 lit. f RODO) | Do zakończenia korespondencji + 12 miesięcy |
| Adres email | Wysyłka newslettera "Pięć Przepływów" | Zgoda (art. 6 ust. 1 lit. a RODO) | Do wycofania zgody |
| Adres email, dane karty, adres rozliczeniowy | Obsługa płatności (pay4.workinflows.pl, bezplatnachmura.pl) | Wykonanie umowy (art. 6 ust. 1 lit. b RODO) | 6 lat (Ordynacja podatkowa) |
| Dane identyfikacyjne, NIP, adres | Fakturowanie, KSeF | Obowiązek prawny (art. 6 ust. 1 lit. c RODO) | 6 lat |
| Hash IP, user-agent, timestamp żądania | Logi bezpieczeństwa, ochrona infrastruktury | Uzasadniony interes (art. 6 ust. 1 lit. f RODO) | 30 dni (rotacja) |
| Treść wiadomości w chacie | Chatbot AI (workinflows.pl) | Uzasadniony interes — pokazanie możliwości narzędzi (art. 6 ust. 1 lit. f RODO) | Sesja przeglądarki; brak stałego zapisu po stronie serwera |
| Preferencje interfejsu (tryb/kolory) | Dostosowanie wyglądu strony | Uzasadniony interes (art. 6 ust. 1 lit. f RODO) | LocalStorage przeglądarki, bez transferu na serwer |
| Identyfikator wizyty (wf_vid / wf-vid) oraz dane o aktywności: odsłony stron, kliknięcia, scroll, otwarcia newslettera, przydzielony wariant cennika A/B | Analityka pierwszej strony (first-party): ocena zainteresowania ofertą (lead intelligence), pomiar skuteczności wariantów cennika (test A/B), atrybucja źródła odwiedzin. Bez Google Analytics i bez narzędzi reklamowych stron trzecich. | Zgoda (art. 6 ust. 1 lit. a RODO), kategoria marketingowa, dobrowolna i odwoływalna w każdej chwili | Do wycofania zgody lub żądania usunięcia |
Nie stosujemy zautomatyzowanego podejmowania decyzji wywierającego prawnie wiążący wpływ na osoby. Za Twoją zgodą prowadzimy pomocniczy scoring zainteresowania (lead intelligence) na podstawie aktywności na stronie. Nie decyduje on o Twoich prawach, cenie ani dostępie do usług, a zgodę możesz wycofać w każdej chwili. Chatbot AI nie decyduje o Twoich prawach ani dostępie do usług.
3. Subprocesorzy (kto jeszcze widzi dane)
Pełna lista z linkami do umów DPA: workinflows.pl/subprocessors.
- Google LLC (Cloud SQL, Cloud Storage, Vertex AI, Cloud Logging) — hosting infrastruktury i AI. Transfer do USA na podstawie EU-US Data Privacy Framework + SCC. Google Cloud DPA.
- Stripe Inc. — obsługa płatności. Transfer do USA na podstawie EU-US DPF + SCC. Stripe DPA.
- Resend Inc. — wysyłka maili i newslettera. Transfer do USA na podstawie EU-US DPF + SCC. Resend DPA.
- OpenRouter.ai — inferencja modeli językowych dla pipeline'u treści. Przetwarza wyłącznie treści tekstowe, bez danych osobowych użytkowników. OpenRouter Privacy Policy.
- Cloudflare Inc. — CDN, ochrona DDoS, DNS. Przetwarza: adres IP, nagłówki HTTP (bez długoterminowego przechowywania). Transfer na podstawie EU-US DPF + SCC. Cloudflare DPA.
Czcionki hostowane lokalnie na serwerze WF (self-hosted WOFF2). Brak transferu danych do zewnętrznych dostawców czcionek. Serwis nie używa Google Analytics, Meta Pixel ani żadnych narzędzi śledzących do celów reklamowych. Nie sprzedajemy danych osobowych podmiotom trzecim.
4. Pliki cookies
Serwis używa minimalnego zestawu plików cookies i mechanizmów przechowywania po stronie klienta. Pełna lista z kategoriami i czasem życia: workinflows.pl/cookies.
- Niezbędne: zapis Twojej decyzji o zgodzie na cookies oraz preferencji interfejsu (localStorage). Nie wymagają zgody, nie zawierają danych osobowych.
- Analityczne i marketingowe (za zgodą): identyfikator wizyty w localStorage (wf_vid / wf-vid), który pozwala nam policzyć zainteresowanie ofertą i porównać warianty cennika (test A/B) w obrębie naszych własnych stron. Uruchamiane dopiero po wyrażeniu zgody w banerze. Bez zgody pozostają wyłączone, a pomiar jest anonimowy. Nie używamy Google Analytics, pikseli reklamowych ani cookies stron trzecich.
Nie stosujemy fingerprinting ani identyfikacji unikalnej bez Twojej zgody. Zgodę możesz wycofać w każdej chwili (link „Ustawienia cookies" w stopce), co zatrzymuje dalszy pomiar; dane zebrane wcześniej usuwamy na żądanie ([email protected]).
5. Chatbot i AI
Chatbot na workinflows.pl to asystent AI, nie człowiek. Działa w oparciu o model językowy (Gemini Flash przez Vertex AI) i bazę wiedzy RAG.
Treści wpisywane w oknie czatu mogą trafiać do modelu językowego przez API Google Vertex AI. Nie są zapisywane w bazie klientów po zakończeniu sesji. Nie są używane do Twojego profilowania. Pełne informacje o tym, jak używamy AI, jakie modele i do czego: workinflows.pl/ai-transparency.
Część treści na blogu i w mediach społecznościowych jest tworzona z udziałem systemu automatyzacji (model językowy + redakcja Adriana Krawczyka). Każda taka treść jest oznaczona w stopce artykułu. Obrazy generowane przez AI zawierają niewidoczny znak wodny SynthID (Google) i są oznaczone w metadanych pliku.
WF nie stosuje AI do automatycznych decyzji wiążących. Chatbot nie inicjuje zakupów, nie tworzy zobowiązań, nie udziela porad prawnych ani medycznych.
Na wyraźną prośbę w czacie (np. „chcę porozmawiać na WhatsApp") asystent może zaproponować przejście na WhatsApp i pokazać przycisk z linkiem. Kliknięcie otwiera aplikację WhatsApp, prowadzoną przez Meta Platforms Ireland Ltd. na jej własnych zasadach; w tej rozmowie Meta jest niezależnym administratorem Twoich danych. To Ty decydujesz, czy i co napiszesz, a sam link nie przekazuje Metie żadnych danych, dopóki nie wyślesz wiadomości.
6. Newsletter "Pięć Przepływów"
Jeśli zapisałeś/aś się na newsletter:
- Zbieramy wyłącznie adres email (imię jeśli podane dobrowolnie)
- Podstawa prawna: zgoda (art. 6 ust. 1 lit. a RODO)
- Możesz wypisać się w każdej chwili: link w stopce każdego maila lub bezpośrednio przez [email protected]
- Po wypisaniu adres email jest usuwany z listy aktywnych w ciągu 5 dni roboczych. Audit log zgody przechowywany 6 lat (obowiązek prawny)
- Maile wysyłamy przez Resend Inc. (USA, EU-US DPF)
7. Twoje prawa
Na podstawie RODO przysługuje Ci prawo do:
- Dostępu (art. 15) — wglądu do danych, które przetwarzamy, i uzyskania kopii
- Sprostowania (art. 16) — poprawienia nieprawidłowych lub niekompletnych danych
- Usunięcia (art. 17) — "prawa do bycia zapomnianym" (z wyjątkiem danych wymaganych przez prawo, np. dane do faktur)
- Ograniczenia przetwarzania (art. 18)
- Przenoszenia danych (art. 20) — w formacie możliwym do odczytu maszynowego (JSON lub CSV)
- Sprzeciwu (art. 21) — wobec przetwarzania opartego na uzasadnionym interesie
- Wycofania zgody — w każdej chwili, bez wpływu na legalność przetwarzania przed wycofaniem
Realizacja praw: [email protected]. Odpowiadamy w ciągu 30 dni od otrzymania wniosku.
Masz też prawo wniesienia skargi do Urzędu Ochrony Danych Osobowych: ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl, [email protected].
DPA dla klientów B2B
W projektach automatyzacji, gdzie przetwarzane są dane osobowe Twoich klientów lub pracowników, podpisujemy Umowę Powierzenia Przetwarzania Danych (DPA/UPD) przed pierwszym warsztatem. Treść dostępna na żądanie mailowe.
8. Bezpieczeństwo
- Dane przechowywane w Google Cloud SQL (Private IP, szyfrowanie w spoczynku i tranzycie)
- PII szyfrowane na poziomie aplikacji (envelope encryption, AES-256-GCM)
- Sekrety wyłącznie w GCP Secret Manager — zero plików .env z hasłami na serwerze
- Logi serwera: hash IP (sha256), nie raw IP — standardowy zapis anonimizujący
- Serwis serwowany przez CDN Cloudflare z HSTS, CSP i pełnym zestawem security headers
- Kopie zapasowe: Cloud Storage z Object Lock (6 lat dla danych wymaganych prawem)
W razie naruszenia ochrony danych osobowych powiadamiamy UODO w ciągu 72 godzin (art. 33 RODO), a gdy naruszenie niesie wysokie ryzyko dla praw osób — powiadamiamy także osoby, których dane dotyczą.
9. Zmiany polityki
O istotnych zmianach informuję przez aktualizację daty powyżej. Subskrybenci newslettera otrzymają powiadomienie email przy zmianach dotyczących ich danych. Archiwalne wersje dostępne na żądanie mailowe.
10. Ocena skutków dla ochrony danych (DPIA)
Zgodnie z art. 35 RODO przeprowadzam oceny skutków dla ochrony danych (DPIA) dla czynności przetwarzania mogących powodować wysokie ryzyko dla praw i wolności osób. Poniżej zestawienie ocenionych procesów:
| Proces przetwarzania | Podstawa prawna | Kategorie danych | Retencja | Ryzyko rezydualne |
|---|---|---|---|---|
| Klonowanie głosu AI (ACG Persona) | Art. 6 ust. 1 lit. f RODO (uzasadniony interes) | Nagrania głosowe, dane biometryczne | Do wycofania zgody | Średnie (po zastosowaniu szyfrowania AES-256-GCM) |
| Profilowanie leadów i śledzenie aktywności (Lead Intelligence) | Art. 6 ust. 1 lit. f RODO (uzasadniony interes) | Dane behawioralne, IP hash, wzorce przeglądania | 90 dni aktywność, 1 rok lead score | Niskie (IP hash, anonimizacja) |
| Indeksowanie w bazie RAG i tworzenie embeddingów | Art. 6 ust. 1 lit. f RODO (uzasadniony interes) | Treści tekstowe, wektory semantyczne | Do usunięcia korpusu lub treści źródłowej | Niskie (wektory — brak odwrócenia do PII) |
| Fakturowanie i integracja KSeF | Art. 6 ust. 1 lit. b/c RODO (umowa + obowiązek prawny) | Dane identyfikacyjne, NIP, adres, dane finansowe | 6 lat (Ordynacja podatkowa) | Niskie (szyfrowanie, KSeF transport TLS) |
| Izolacja danych wielu najemców (multi-tenancy) | Art. 6 ust. 1 lit. b RODO (wykonanie umowy) | Wszystkie dane klientów B2B | Przez czas trwania umowy + 1 rok | Niskie (RLS, tenant_id isolation, CMEK) |
Pełna dokumentacja DPIA dostępna na żądanie kierowane do administratora. Konsultacja z UODO (art. 36 RODO) zostanie przeprowadzona, jeżeli ryzyko rezydualne po zastosowaniu środków minimalizacji pozostanie na poziomie wysokim lub bardzo wysokim.
Pytania dotyczące prywatności:
[email protected] · Adrian Krawczyk · Workin'Flows · NIP 9721365392 · Poznań
Pełna lista subprocesorów z linkami DPA: workinflows.pl/subprocessors
Informacje o AI na tej stronie: workinflows.pl/ai-transparency