Polityka prywatności
workinflows.pl · ostatnia aktualizacja: · poprzednia wersja na żądanie
1. Administrator danych
Administratorem Twoich danych osobowych jest:
- Adrian Krawczyk prowadzący działalność pod marką Workin'Flows
- NIP: 9721365392
- Siedziba: Poznań, Polska
- Kontakt: adi@workinflows.pl
Adres korespondencyjny dostępny na żądanie mailowe.
2. Jakie dane i po co
| Kategoria danych | Cel | Podstawa prawna | Okres retencji |
|---|---|---|---|
| Adres email, imię (jeśli podane), treść wiadomości | Odpowiedź na zapytania kontaktowe | Uzasadniony interes (art. 6 ust. 1 lit. f RODO) | Do zakończenia korespondencji + 12 miesięcy |
| Adres email | Wysyłka newslettera "Pięć Przepływów" | Zgoda (art. 6 ust. 1 lit. a RODO) | Do wycofania zgody |
| Adres email, dane karty, adres rozliczeniowy | Obsługa płatności (pay4.workinflows.pl, bezplatnachmura.pl) | Wykonanie umowy (art. 6 ust. 1 lit. b RODO) | 6 lat (Ordynacja podatkowa) |
| Dane identyfikacyjne, NIP, adres | Fakturowanie, KSeF | Obowiązek prawny (art. 6 ust. 1 lit. c RODO) | 6 lat |
| Hash IP, user-agent, timestamp żądania | Logi bezpieczeństwa, ochrona infrastruktury | Uzasadniony interes (art. 6 ust. 1 lit. f RODO) | 30 dni (rotacja) |
| Treść wiadomości w chacie | Chatbot AI (workinflows.pl) | Uzasadniony interes — pokazanie możliwości narzędzi (art. 6 ust. 1 lit. f RODO) | Sesja przeglądarki; brak stałego zapisu po stronie serwera |
| Preferencje interfejsu (tryb/kolory) | Dostosowanie wyglądu strony | Uzasadniony interes (art. 6 ust. 1 lit. f RODO) | LocalStorage przeglądarki, bez transferu na serwer |
Nie stosujemy profilowania ani zautomatyzowanego podejmowania decyzji wywierającego prawnie wiążący wpływ na osoby. Chatbot AI nie decyduje o Twoich prawach ani dostępie do usług.
3. Subprocesorzy (kto jeszcze widzi dane)
Pełna lista z linkami do umów DPA: workinflows.pl/subprocessors.
- Google LLC (Cloud SQL, Cloud Storage, Vertex AI, Cloud Logging) — hosting infrastruktury i AI. Transfer do USA na podstawie EU-US Data Privacy Framework + SCC. Google Cloud DPA.
- Stripe Inc. — obsługa płatności. Transfer do USA na podstawie EU-US DPF + SCC. Stripe DPA.
- Resend Inc. — wysyłka maili i newslettera. Transfer do USA na podstawie EU-US DPF + SCC. Resend DPA.
- OpenRouter.ai — inferencja modeli językowych dla pipeline'u treści. Przetwarza wyłącznie treści tekstowe, bez danych osobowych użytkowników. OpenRouter Privacy Policy.
- Cloudflare Inc. — CDN, ochrona DDoS, DNS. Przetwarza: adres IP, nagłówki HTTP (bez długoterminowego przechowywania). Transfer na podstawie EU-US DPF + SCC. Cloudflare DPA.
Czcionki hostowane lokalnie na serwerze WF (self-hosted WOFF2). Brak transferu danych do zewnętrznych dostawców czcionek. Serwis nie używa Google Analytics, Meta Pixel ani żadnych narzędzi śledzących do celów reklamowych. Nie sprzedajemy danych osobowych podmiotom trzecim.
4. Pliki cookies
Serwis używa minimalnego zestawu plików cookies i mechanizmów przechowywania po stronie klienta. Pełna lista z kategoriami i czasem życia: workinflows.pl/cookies.
- Cookies niezbędne: przechowywanie preferencji cookie consent (localStorage). Nie wymagają zgody, nie zawierają danych osobowych.
- Cookies opcjonalne (analityczne, marketingowe): aktualnie nie używamy. W razie zmiany — baner zgody pojawi się przed załadowaniem jakiegokolwiek opcjonalnego mechanizmu śledzącego.
Nie używamy fingerprinting, localStorage jako substytutu cookies śledzących ani żadnych mechanizmów identyfikacji unikalnej bez zgody.
5. Chatbot i AI
Chatbot na workinflows.pl to asystent AI, nie człowiek. Działa w oparciu o model językowy (Gemini Flash przez Vertex AI) i bazę wiedzy RAG.
Treści wpisywane w oknie czatu mogą trafiać do modelu językowego przez API Google Vertex AI. Nie są zapisywane w bazie klientów po zakończeniu sesji. Nie są używane do Twojego profilowania. Pełne informacje o tym, jak używamy AI, jakie modele i do czego: workinflows.pl/ai-transparency.
Część treści na blogu i w mediach społecznościowych jest tworzona z udziałem systemu automatyzacji (model językowy + redakcja Adriana Krawczyka). Każda taka treść jest oznaczona w stopce artykułu. Obrazy generowane przez AI zawierają niewidoczny znak wodny SynthID (Google) i są oznaczone w metadanych pliku.
WF nie stosuje AI do automatycznych decyzji wiążących. Chatbot nie inicjuje zakupów, nie tworzy zobowiązań, nie udziela porad prawnych ani medycznych.
6. Newsletter "Pięć Przepływów"
Jeśli zapisałeś/aś się na newsletter:
- Zbieramy wyłącznie adres email (imię jeśli podane dobrowolnie)
- Podstawa prawna: zgoda (art. 6 ust. 1 lit. a RODO)
- Możesz wypisać się w każdej chwili: link w stopce każdego maila lub bezpośrednio przez adi@workinflows.pl
- Po wypisaniu adres email jest usuwany z listy aktywnych w ciągu 5 dni roboczych. Audit log zgody przechowywany 6 lat (obowiązek prawny)
- Maile wysyłamy przez Resend Inc. (USA, EU-US DPF)
7. Twoje prawa
Na podstawie RODO przysługuje Ci prawo do:
- Dostępu (art. 15) — wglądu do danych, które przetwarzamy, i uzyskania kopii
- Sprostowania (art. 16) — poprawienia nieprawidłowych lub niekompletnych danych
- Usunięcia (art. 17) — "prawa do bycia zapomnianym" (z wyjątkiem danych wymaganych przez prawo, np. dane do faktur)
- Ograniczenia przetwarzania (art. 18)
- Przenoszenia danych (art. 20) — w formacie możliwym do odczytu maszynowego (JSON lub CSV)
- Sprzeciwu (art. 21) — wobec przetwarzania opartego na uzasadnionym interesie
- Wycofania zgody — w każdej chwili, bez wpływu na legalność przetwarzania przed wycofaniem
Realizacja praw: adi@workinflows.pl. Odpowiadamy w ciągu 30 dni od otrzymania wniosku.
Masz też prawo wniesienia skargi do Urzędu Ochrony Danych Osobowych: ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl, kancelaria@uodo.gov.pl.
DPA dla klientów B2B
W projektach automatyzacji, gdzie przetwarzane są dane osobowe Twoich klientów lub pracowników, podpisujemy Umowę Powierzenia Przetwarzania Danych (DPA/UPD) przed pierwszym warsztatem. Treść dostępna na żądanie mailowe.
8. Bezpieczeństwo
- Dane przechowywane w Google Cloud SQL (Private IP, szyfrowanie w spoczynku i tranzycie)
- PII szyfrowane na poziomie aplikacji (envelope encryption, AES-256-GCM)
- Sekrety wyłącznie w GCP Secret Manager — zero plików .env z hasłami na serwerze
- Logi serwera: hash IP (sha256), nie raw IP — standardowy zapis anonimizujący
- Serwis serwowany przez CDN Cloudflare z HSTS, CSP i pełnym zestawem security headers
- Kopie zapasowe: Cloud Storage z Object Lock (6 lat dla danych wymaganych prawem)
W razie naruszenia ochrony danych osobowych powiadamiamy UODO w ciągu 72 godzin (art. 33 RODO), a gdy naruszenie niesie wysokie ryzyko dla praw osób — powiadamiamy także osoby, których dane dotyczą.
9. Zmiany polityki
O istotnych zmianach informuję przez aktualizację daty powyżej. Subskrybenci newslettera otrzymają powiadomienie email przy zmianach dotyczących ich danych. Archiwalne wersje dostępne na żądanie mailowe.
10. Ocena skutków dla ochrony danych (DPIA)
Zgodnie z art. 35 RODO przeprowadzam oceny skutków dla ochrony danych (DPIA) dla czynności przetwarzania mogących powodować wysokie ryzyko dla praw i wolności osób. Poniżej zestawienie ocenionych procesów:
| Proces przetwarzania | Podstawa prawna | Kategorie danych | Retencja | Ryzyko rezydualne |
|---|---|---|---|---|
| Klonowanie głosu AI (ACG Persona) | Art. 6 ust. 1 lit. f RODO (uzasadniony interes) | Nagrania głosowe, dane biometryczne | Do wycofania zgody | Średnie (po zastosowaniu szyfrowania AES-256-GCM) |
| Profilowanie leadów i śledzenie aktywności (Lead Intelligence) | Art. 6 ust. 1 lit. f RODO (uzasadniony interes) | Dane behawioralne, IP hash, wzorce przeglądania | 90 dni aktywność, 1 rok lead score | Niskie (IP hash, anonimizacja) |
| Indeksowanie w bazie RAG i tworzenie embeddingów | Art. 6 ust. 1 lit. f RODO (uzasadniony interes) | Treści tekstowe, wektory semantyczne | Do usunięcia korpusu lub treści źródłowej | Niskie (wektory — brak odwrócenia do PII) |
| Fakturowanie i integracja KSeF | Art. 6 ust. 1 lit. b/c RODO (umowa + obowiązek prawny) | Dane identyfikacyjne, NIP, adres, dane finansowe | 6 lat (Ordynacja podatkowa) | Niskie (szyfrowanie, KSeF transport TLS) |
| Izolacja danych wielu najemców (multi-tenancy) | Art. 6 ust. 1 lit. b RODO (wykonanie umowy) | Wszystkie dane klientów B2B | Przez czas trwania umowy + 1 rok | Niskie (RLS, tenant_id isolation, CMEK) |
Pełna dokumentacja DPIA dostępna na żądanie kierowane do administratora. Konsultacja z UODO (art. 36 RODO) zostanie przeprowadzona, jeżeli ryzyko rezydualne po zastosowaniu środków minimalizacji pozostanie na poziomie wysokim lub bardzo wysokim.
Pytania dotyczące prywatności:
adi@workinflows.pl · Adrian Krawczyk · Workin'Flows · NIP 9721365392 · Poznań
Pełna lista subprocesorów z linkami DPA: workinflows.pl/subprocessors
Informacje o AI na tej stronie: workinflows.pl/ai-transparency