Administratorem danych osobowych przetwarzanych w związku z funkcjonowaniem platformy ProseCaptain jest: Squares Radosław Kołacki NIP: 9112022141 REGON: 367864710 Adres siedziby: Wyspa Słodowa 7, 50-078 Wrocław, woj. dolnośląskie Adres e-mail: office@prosecaptain.com Strona internetowa: https://prosecaptain.com Osoba decyzyjna: Radosław Kołacki (dalej: „Administrator” lub „ProseCaptain„)
Administrator nie wyznaczył Inspektora Ochrony Danych. We wszelkich sprawach dotyczących przetwarzania danych osobowych można kontaktować się bezpośrednio z Administratorem pod adresem e-mail: office@prosecaptain.com.
§2. Zakres stosowania
Niniejsza Polityka prywatności ma zastosowanie do: a) Usługobiorców (przedsiębiorców korzystających z platformy ProseCaptain) – w zakresie danych osobowych osób reprezentujących, osób kontaktowych i pracowników Usługobiorcy; b) Użytkowników Końcowych (osób odwiedzających strony internetowe Usługobiorców, na których osadzono Widget EmbeddableChat) – w zakresie danych przetwarzanych w imieniu Usługobiorcy jako podmiotu przetwarzającego; c) osób odwiedzających stronę internetową ProseCaptain (prosecaptain.com, panel.prosecaptain.com, design.prosecaptain.com, status.prosecaptain.com); d) osób kontaktujących się z Administratorem drogą elektroniczną.
Pojęcia pisane wielką literą, niezdefiniowane w niniejszym dokumencie, mają znaczenie nadane im w Regulaminie świadczenia usług drogą elektroniczną platformy ProseCaptain (dostępnym pod adresem: https://prosecaptain.com/regulamin).
§3. Kategorie danych osobowych
Administrator przetwarza następujące kategorie danych osobowych:
3.1. Dane Usługobiorców (konto w Platformie)
Kategoria danych
Przykłady
Źródło
Dane identyfikacyjne
Imię, nazwisko, nazwa firmy, NIP
Formularz rejestracyjny
Dane kontaktowe
Adres e-mail, numer telefonu (opcjonalnie)
Formularz rejestracyjny
Dane organizacyjne
Identyfikator użytkownika, identyfikator Workspace’a, nazwa Workspace’a
Generowane przez system
Dane subskrypcji
Status subskrypcji, plan subskrypcyjny, data zakończenia trialu
Generowane przez system
Dane uwierzytelniające
Hash hasła, tokeny JWT (access i refresh)
Generowane przez system
Dane rozliczeniowe
Dane do faktury, historia płatności
Formularz / system płatności
3.2. Dane Użytkowników Końcowych (Widget EmbeddableChat)
Kategoria danych
Przykłady
Źródło
Dane sesyjne
Identyfikator sesji (session_id), identyfikator wątku (thread_id)
Generowane automatycznie
Dane z formularzy kontaktowych (leady)
Imię, adres e-mail, numer telefonu, preferowana metoda kontaktu
Formularz w Widgecie
Treści rozmów
Pytania Użytkownika Końcowego, odpowiedzi AI, metainformacje o kontekście
Interakcja z Widgetem
Uwaga: W zakresie danych Użytkowników Końcowych administratorem danych jest Usługobiorca, a ProseCaptain pełni rolę podmiotu przetwarzającego na podstawie DPA (Część II niniejszego dokumentu).
3.3. Dane treści generowanych i przekazywanych
Kategoria danych
Przykłady
Źródło
Treści tekstowe
Artykuły, prompty, FAQ, opisy produktów, odpowiedzi AI, quizy
Usługobiorca / system AI
Dane graficzne
Przesyłane obrazy (packshoty, zdjęcia produktów, obrazy referencyjne), wygenerowane obrazy
Usługobiorca / system AI
Metadane plików
UUID pliku, ścieżka URL, metadane EXIF (informacja o źródle generowania)
Generowane przez system
Uwaga: Dane treści generowanych mogą, lecz nie muszą stanowić danych osobowych. W zakresie, w jakim stanowią dane osobowe, przetwarzane są na podstawie DPA (Część II). W zakresie, w jakim nie stanowią danych osobowych, przetwarzane są na podstawie licencji udzielonej przez Usługobiorcę zgodnie z §4.2 Regulaminu.
3.4. Dane techniczne i logi
Kategoria danych
Przykłady
Źródło
Dane sieciowe
Adres IP, nagłówek User-Agent, nagłówek Referer
Automatycznie z żądań HTTP
Dane o aktywności
Znaczniki czasu żądań, liczba żądań na IP/endpoint, kody odpowiedzi HTTP, czas wykonania żądania
Logi serwera
Dane o użyciu funkcji
Liczba generacji obrazów, liczba rozmów w czacie, liczba requestów na minutę
Statystyki systemowe
3.5. Dane z analizy strony (Extract Page Context – Widget EmbeddableChat)
Kategoria danych
Przykłady
Źródło
Kontekst strony
Tytuł strony, URL, meta-tagi (description, keywords, OpenGraph)
Automatycznie ze strony Usługobiorcy
Treść strony
Wyciągnięta treść główna (tekst, linki w formacie markdown, do ok. 5000 znaków)
Automatycznie ze strony Usługobiorcy
Struktura nawigacji
Nagłówki i linki w header/footer
Automatycznie ze strony Usługobiorcy
Uwaga: Dane z analizy strony są pobierane wyłącznie, jeśli Usługobiorca włączył funkcję Extract Page Context w konfiguracji danego Widgetu.
§4. Cele i podstawy prawne przetwarzania danych
4.1. Dane Usługobiorców
Cel przetwarzania
Podstawa prawna (RODO)
Okres retencji
Zawarcie i wykonanie umowy (rejestracja konta, świadczenie Usługi, rozliczenia)
Do czasu przedawnienia roszczeń (zasadniczo 3 lata, maks. 6 lat)
Komunikacja z Usługobiorcą (wsparcie techniczne, informacje o zmianach)
Art. 6 ust. 1 lit. b) – wykonanie umowy / Art. 6 ust. 1 lit. f) – prawnie uzasadniony interes
Czas trwania umowy
Analiza UX (Hotjar – o ile włączony)
Art. 6 ust. 1 lit. a) – zgoda
Do czasu wycofania zgody lub maks. 365 dni
4.2. Dane Użytkowników Końcowych
Dane Użytkowników Końcowych są przetwarzane przez ProseCaptain wyłącznie jako podmiot przetwarzający w imieniu Usługobiorcy (administratora danych). Cele i podstawy prawne przetwarzania określa Usługobiorca w swojej polityce prywatności. Typowe cele obejmują:
Cel przetwarzania
Uwagi
Świadczenie usługi czatu AI na stronie Usługobiorcy
Odpowiadanie na pytania, prezentowanie produktów, nawigacja
Zbieranie leadów (formularze kontaktowe)
Dane kontaktowe przekazywane Usługobiorcy
Utrzymanie sesji i historii rozmowy
Identyfikatory sesji, cookies
Analiza kontekstu strony (Extract Page Context)
Jeśli włączone przez Usługobiorcę
Zasady przetwarzania danych Użytkowników Końcowych przez ProseCaptain jako podmiot przetwarzający reguluje DPA (Część II niniejszego dokumentu).
4.3. Dane osób odwiedzających strony ProseCaptain
Cel przetwarzania
Podstawa prawna (RODO)
Okres retencji
Zapewnienie prawidłowego działania strony (cookies techniczne)
Dane osobowe mogą być przekazywane następującym kategoriom odbiorców:
5.1. Zewnętrzni Dostawcy AI
Dostawca
Zakres przekazywanych danych
Cel
Google LLC / Google Cloud (Gemini API)
Prompty, parametry generacji, fragmenty treści, kontekst strony (jeśli włączony Extract Page Context)
Generowanie tekstu i obrazów
OpenAI LLC
Prompty, historia rozmowy, wyniki analizy strony, metadane sesji
Generowanie odpowiedzi czatu (EmbeddableChat)
Uwaga: Zasady przetwarzania danych przez Zewnętrznych Dostawców AI regulują ich własne polityki prywatności i regulaminy. Administrator nie ma wpływu na sposób dalszego przetwarzania danych przez te podmioty (w tym na ewentualne wykorzystanie danych do trenowania modeli AI). Szczegóły – patrz §3.6 Regulaminu.
5.3. Dostawcy bezpieczeństwa, analityki i zarządzania zgodami
Dostawca
Zakres
Cel
Cloudflare Inc. (Turnstile)
Token Turnstile, adres IP, dane przeglądarki
Weryfikacja anty-botowa
CookieYes Limited
Identyfikator zgody, preferencje cookies użytkownika
Zarządzanie zgodami na cookies (cookie banner)
Hotjar Ltd. (opcjonalnie, jeśli włączony)
Dane o zachowaniu na stronie (heatmapy, nagrania sesji)
Analiza UX studia generowania obrazów
5.4. Inne kategorie odbiorców
Odbiorca
Okoliczności
Organy administracji publicznej
Na podstawie prawnie wiążącego żądania (np. sąd, prokuratura, UODO)
Doradcy prawni, podatkowi, księgowi
W zakresie niezbędnym do świadczenia usług na rzecz Administratora
Podmiot przejmujący działalność
W przypadku zbycia przedsiębiorstwa lub jego zorganizowanej części
Aktualna lista podprocesorów (podmiotów, którym Administrator powierza przetwarzanie danych w imieniu Usługobiorcy) jest udostępniana w Panelu ProseCaptain lub na żądanie Usługobiorcy drogą elektroniczną (office@prosecaptain.com). Zmiany listy podprocesorów dokonywane są zgodnie z procedurą opisaną w DPA (Część II, §8).
§6. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)
Główna Infrastruktura Platformy jest zlokalizowana na terytorium Unii Europejskiej: a) Amazon Web Services (AWS) – Amazon Lightsail we Frankfurcie nad Menem, Niemcy (region eu-central-1); b) dhosting.pl (H88 S.A.) na terytorium Rzeczypospolitej Polskiej.
W ramach korzystania z usług Zewnętrznych Dostawców AI, dane mogą być przekazywane poza Europejski Obszar Gospodarczy, w szczególności do Stanów Zjednoczonych Ameryki. Dotyczy to w szczególności danych przesyłanych do Google LLC i OpenAI LLC.
Dane mogą być również przekazywane poza EOG w związku z korzystaniem z usług: a) Cloudflare Inc. (USA) – weryfikacja anty-botowa, CDN; b) CookieYes Limited (Wielka Brytania) – zarządzanie zgodami cookies.
Transfer danych poza EOG odbywa się na podstawie: a) decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony danych osobowych – w przypadku USA: decyzja wykonawcza Komisji (UE) 2023/1795 z dnia 10 lipca 2023 r. w sprawie odpowiedniego stopnia ochrony danych osobowych zapewnionego w ramach EU-US Data Privacy Framework (DPF), o ile dany dostawca jest uczestnikiem DPF; w przypadku Wielkiej Brytanii: decyzja Komisji Europejskiej z dnia 28 czerwca 2021 r.; lub b) standardowych klauzul umownych (SCC) przyjętych decyzją wykonawczą Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r.; lub c) innych mechanizmów prawnych przewidzianych w rozdziale V RODO.
Usługobiorca może uzyskać informację o konkretnym mechanizmie legalizacji transferu stosowanym wobec danego dostawcy, kontaktując się z Administratorem pod adresem e-mail: office@prosecaptain.com.
§7. Prawa osób, których dane dotyczą
Osobom, których dane osobowe przetwarza Administrator (tj. w zakresie, w jakim ProseCaptain jest administratorem danych), przysługują następujące prawa: a) prawo dostępu do danych (art. 15 RODO) – prawo do uzyskania informacji, czy dane osobowe są przetwarzane, a jeśli tak – do uzyskania dostępu do nich i informacji o przetwarzaniu; b) prawo do sprostowania (art. 16 RODO) – prawo do żądania poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych; c) prawo do usunięcia (art. 17 RODO, „prawo do bycia zapomnianym”) – prawo do żądania usunięcia danych, gdy m.in. dane nie są już niezbędne do celów, dla których zostały zebrane, lub cofnięto zgodę; d) prawo do ograniczenia przetwarzania (art. 18 RODO) – prawo do żądania ograniczenia przetwarzania w określonych przypadkach; e) prawo do przenoszenia danych (art. 20 RODO) – prawo do otrzymania danych w ustrukturyzowanym formacie oraz do przesłania ich innemu administratorowi; f) prawo do sprzeciwu (art. 21 RODO) – prawo do wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie; g) prawo do cofnięcia zgody (art. 7 ust. 3 RODO) – w przypadku przetwarzania opartego na zgodzie, prawo do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem; h) prawo do złożenia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl).
Realizacja praw: Żądania dotyczące realizacji praw należy kierować na adres e-mail: office@prosecaptain.com. Administrator ustosunkuje się do żądania niezwłocznie, nie później niż w terminie 30 dni od dnia otrzymania żądania. W przypadku skomplikowanego charakteru żądania lub dużej liczby żądań, termin może zostać przedłużony o kolejne 60 dni, o czym osoba zostanie poinformowana.
Dane Użytkowników Końcowych: W zakresie danych Użytkowników Końcowych przetwarzanych przez ProseCaptain jako podmiot przetwarzający, realizacja praw osób, których dane dotyczą, jest obowiązkiem Usługobiorcy (administratora danych). ProseCaptain wspiera Usługobiorcę w realizacji tych praw zgodnie z DPA (Część II).
§8. Bezpieczeństwo danych
Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, w szczególności: a) szyfrowanie transmisji – wszystkie połączenia z Platformą realizowane są za pośrednictwem protokołu HTTPS (TLS); b) kontrola dostępu – dostęp do danych ograniczony do osób upoważnionych, uwierzytelnianie wieloetapowe, mechanizmy anty-botowe (Cloudflare Turnstile); c) szyfrowanie danych uwierzytelniających – tokeny JWT przechowywane po stronie przeglądarki są szyfrowane; hasła przechowywane w formie hashy; d) bezpieczeństwo ciasteczek – ciasteczka sesyjne Widgetu ustawiane z flagami HttpOnly i Secure; e) ochrona API – ścisła polityka CORS, Content Security Policy (CSP), rate limiting; f) sanityzacja danych – walidacja i sanityzacja danych wejściowych, walidacja uploadowanych plików (limit rozmiaru, sprawdzanie magic bytes, rozszerzeń), sanityzacja HTML w odpowiedziach AI; g) walidacja promptów – blokowanie wzorców prompt injection; h) logowanie i monitoring – centralne logowanie błędów bez ujawniania szczegółów technicznych użytkownikom, monitoring dostępności i wydajności; i) kopie zapasowe – regularne kopie zapasowe danych w ramach Infrastruktury; j) lokalizacja danych – Infrastruktura w centrach danych na terytorium UE (Amazon Lightsail AWS Frankfurt, dhosting.pl Polska); k) przegląd środków – regularne przeglądy i aktualizacje stosowanych środków bezpieczeństwa.
Administrator zobowiązuje się do niezwłocznego informowania Usługobiorcy o naruszeniu ochrony danych osobowych dotyczącym danych przetwarzanych w imieniu Usługobiorcy, zgodnie z procedurą opisaną w DPA (Część II, §6).
§9. Profilowanie i zautomatyzowane podejmowanie decyzji
Administrator nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób istotnie na nią wpływały (w rozumieniu art. 22 RODO).
Generowanie treści przez modele AI na podstawie Danych Wejściowych stanowi zautomatyzowane przetwarzanie, jednakże Wyniki nie stanowią decyzji wywołującej skutki prawne wobec osób fizycznych – służą wyłącznie jako materiał informacyjny/pomocniczy wymagający weryfikacji przez Usługobiorcę.
§10. Zmiany Polityki prywatności
Administrator zastrzega sobie prawo do zmiany niniejszej Polityki prywatności. Zmiany wchodzą w życie z dniem ich publikacji pod adresem: https://prosecaptain.com/polityka-prywatnosci.
O istotnych zmianach Administrator poinformuje Usługobiorców drogą elektroniczną z wyprzedzeniem co najmniej 14 dni.
CZĘŚĆ II: UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (DPA)
§1. Strony i przedmiot umowy
Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej: „DPA” lub „Umowa powierzenia„) stanowi integralną część relacji prawnej pomiędzy: a) Usługobiorcą (przedsiębiorcą korzystającym z platformy ProseCaptain) – działającym jako Administrator danych w rozumieniu art. 4 pkt 7 RODO oraz b) Squares Radosław Kołacki, NIP 9112022141, Wyspa Słodowa 7, 50-078 Wrocław (dalej: „ProseCaptain” lub „Podmiot przetwarzający„) – działającym jako Podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO.
DPA reguluje zasady powierzenia przetwarzania danych osobowych przez Administratora danych na rzecz Podmiotu przetwarzającego w związku ze świadczeniem Usługi na podstawie Regulaminu świadczenia usług drogą elektroniczną platformy ProseCaptain (https://prosecaptain.com/regulamin).
DPA wchodzi w życie z chwilą akceptacji Regulaminu przez Usługobiorcę i obowiązuje przez cały czas trwania umowy o świadczenie Usługi oraz przez okres retencji danych po jej rozwiązaniu.
Wyjaśnienie relacji DPA i licencji na Dane Wejściowe: Niniejsza DPA reguluje wyłącznie przetwarzanie danych osobowych powierzonych przez Administratora danych. W zakresie, w jakim Dane Wejściowe przekazywane do Platformy nie stanowią danych osobowych (np. opisy produktów, prompty niezawierające danych osobowych, obrazy nieidentyfikujące osób), ich przetwarzanie odbywa się na podstawie licencji udzielonej przez Usługobiorcę zgodnie z §4.2 Regulaminu, a nie na podstawie DPA.
§2. Zakres i cel powierzenia
Administrator danych powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych wyłącznie w celu i w zakresie niezbędnym do świadczenia Usługi zgodnie z Regulaminem, w szczególności: a) obsługi Widgetu EmbeddableChat (czat AI na stronach Administratora danych); b) zbierania i przechowywania leadów (danych z formularzy kontaktowych); c) przechowywania historii rozmów i statystyk; d) generowania treści (tekst, obrazy) na podstawie Danych Wejściowych zawierających dane osobowe; e) analizy kontekstu strony (Extract Page Context) – o ile włączona przez Administratora danych; f) przekazywania danych Zewnętrznym Dostawcom AI w celu generowania Wyników.
Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora danych, przy czym za takie polecenie uważa się: a) akceptację Regulaminu i DPA; b) konfigurację Usługi dokonaną przez Administratora danych w Panelu ProseCaptain (w tym konfigurację Widgetów, włączenie/wyłączenie funkcji, konfigurację promptów); c) przekazanie Danych Wejściowych do Platformy; d) odrębne, pisemne instrukcje Administratora danych.
§3. Kategorie osób i rodzaje danych
Kategorie osób, których dane dotyczą: a) Użytkownicy Końcowi (osoby odwiedzające stronę internetową Administratora danych i korzystające z Widgetu EmbeddableChat); b) osoby, których dane osobowe zostały zawarte w Danych Wejściowych przekazanych przez Administratora danych (np. dane w treści artykułów, datasetów, promptów); c) osoby kontaktujące się za pośrednictwem formularzy kontaktowych w Widgecie.
Rodzaje danych osobowych: a) dane identyfikacyjne (imię, ewentualnie nazwisko); b) dane kontaktowe (adres e-mail, numer telefonu, preferowana metoda kontaktu); c) identyfikatory techniczne (identyfikator sesji, identyfikator wątku, adres IP); d) treści rozmów (pytania, odpowiedzi, metainformacje o kontekście); e) dane zawarte w treściach przekazanych przez Administratora danych (artykuły, datasety, prompty, opisy produktów); f) dane z analizy kontekstu strony (treść strony, meta-tagi, nawigacja) – o ile funkcja Extract Page Context jest włączona.
Szczególne kategorie danych osobowych (art. 9 RODO) nie są objęte powierzeniem. Administrator danych zobowiązuje się nie przekazywać danych wrażliwych do Platformy, zgodnie z §3.4 Regulaminu.
§4. Obowiązki Podmiotu przetwarzającego
Podmiot przetwarzający zobowiązuje się:
przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora danych (zgodnie z §2 ust. 2), chyba że obowiązek przetwarzania wynika z prawa Unii Europejskiej lub prawa polskiego – w takim przypadku Podmiot przetwarzający informuje Administratora danych o tym obowiązku przed rozpoczęciem przetwarzania (chyba że prawo zabrania udzielenia takiej informacji);
zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
wdrożyć odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający ryzyku, zgodnie z art. 32 RODO (szczegółowy opis środków – Część I, §8);
przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego (podprocesora) zgodnie z §8 niniejszej DPA;
wspomagać Administratora danych w wywiązywaniu się z obowiązków dotyczących: a) realizacji praw osób, których dane dotyczą (art. 15-22 RODO) – w szczególności poprzez udostępnienie odpowiednich funkcji technicznych w Panelu ProseCaptain lub poprzez wykonanie żądania Administratora danych przekazanego drogą elektroniczną na adres office@prosecaptain.com; b) zapewnienia bezpieczeństwa przetwarzania (art. 32 RODO); c) zgłaszania naruszeń ochrony danych osobowych (art. 33-34 RODO) – zgodnie z §6 niniejszej DPA; d) oceny skutków dla ochrony danych (art. 35-36 RODO) – poprzez udostępnienie niezbędnych informacji na żądanie Administratora danych;
po zakończeniu świadczenia Usługi, zgodnie z wyborem Administratora danych, usunąć lub zwrócić wszelkie dane osobowe oraz usunąć wszelkie istniejące kopie, chyba że prawo Unii Europejskiej lub prawo polskie nakazuje przechowywanie danych (procedura – §7 niniejszej DPA);
udostępniać Administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO oraz umożliwiać przeprowadzanie audytów (zgodnie z §9 niniejszej DPA).
§5. Obowiązki Administratora danych
Administrator danych zobowiązuje się:
zapewnić, że posiada odpowiednią podstawę prawną do przetwarzania danych osobowych powierzonych Podmiotowi przetwarzającemu, w tym: a) zgodę osób, których dane dotyczą (jeśli wymagana); b) spełnienie obowiązków informacyjnych wobec osób, których dane dotyczą (art. 13-14 RODO); c) podstawę prawną do powierzenia przetwarzania Podmiotowi przetwarzającemu;
nie przekazywać do Platformy szczególnych kategorii danych osobowych (art. 9 RODO);
zapewnić aktualność, prawidłowość i adekwatność danych osobowych przekazywanych do Platformy;
informować Użytkowników Końcowych o przetwarzaniu ich danych osobowych, w tym o korzystaniu z usług Podmiotu przetwarzającego i Zewnętrznych Dostawców AI, zgodnie z art. 13-14 RODO;
reagować na żądania osób, których dane dotyczą, dotyczące realizacji ich praw (art. 15-22 RODO), z ewentualnym wsparciem Podmiotu przetwarzającego;
niezwłocznie informować Podmiot przetwarzający o wszelkich zmianach mających wpływ na przetwarzanie danych osobowych (np. zmiana zakresu powierzenia, cofnięcie zgody przez osobę, której dane dotyczą).
§6. Naruszenia ochrony danych osobowych
Podmiot przetwarzający zobowiązuje się niezwłocznie, nie później niż w ciągu 24 godzin od momentu stwierdzenia naruszenia ochrony danych osobowych, poinformować o tym Administratora danych drogą elektroniczną na adres e-mail przypisany do Konta Usługobiorcy.
Zgłoszenie naruszenia powinno zawierać co najmniej: a) opis charakteru naruszenia, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) imię i nazwisko oraz dane kontaktowe osoby wyznaczonej do kontaktu w sprawie naruszenia; c) opis prawdopodobnych konsekwencji naruszenia; d) opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Jeżeli nie jest możliwe przekazanie wszystkich informacji jednocześnie, Podmiot przetwarzający przekazuje je sukcesywnie, bez zbędnej zwłoki.
Podmiot przetwarzający zobowiązuje się do współpracy z Administratorem danych w zakresie: a) wyjaśnienia okoliczności naruszenia; b) podjęcia odpowiednich działań naprawczych; c) przygotowania zgłoszenia do organu nadzorczego (jeśli wymagane na mocy art. 33 RODO) oraz zawiadomienia osób, których dane dotyczą (jeśli wymagane na mocy art. 34 RODO).
§7. Usunięcie lub zwrot danych po zakończeniu umowy
Po rozwiązaniu umowy o świadczenie Usługi, Podmiot przetwarzający: a) przez okres 30 dni od dnia rozwiązania umowy umożliwia Administratorowi danych pobranie (eksport) powierzonych danych osobowych z Platformy; b) po upływie powyższego terminu, na polecenie Administratora danych, usuwa powierzone dane osobowe ze wszystkich systemów Platformy i istniejących kopii zapasowych (w rozsądnym terminie technicznym, nie dłuższym niż 90 dni od otrzymania polecenia), chyba że prawo Unii Europejskiej lub prawo polskie nakazuje dalsze przechowywanie danych; c) w przypadku braku polecenia Administratora danych co do usunięcia lub zwrotu danych, Podmiot przetwarzający usuwa dane po upływie 30 dni od rozwiązania umowy, z zastrzeżeniem lit. b).
Podmiot przetwarzający na żądanie Administratora danych potwierdza usunięcie danych w formie pisemnej lub elektronicznej.
Obowiązek usunięcia nie dotyczy danych: a) których przechowywanie jest wymagane przez obowiązujące przepisy prawa (np. przepisy podatkowe, rachunkowe); b) niezbędnych do ustalenia, dochodzenia lub obrony roszczeń – w takim przypadku dane przechowywane są wyłącznie w tym celu i przez okres niezbędny; c) zanonimizowanych w sposób uniemożliwiający identyfikację osób, których dane dotyczyły.
§8. Podprzetwarzanie (podprocesorzy)
Administrator danych wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z usług dalszych podmiotów przetwarzających (podprocesorów) w zakresie niezbędnym do świadczenia Usługi.
Aktualna lista podprocesorów, obejmująca co najmniej nazwę podprocesora, zakres powierzenia i lokalizację przetwarzania, jest udostępniana: a) w Panelu ProseCaptain; lub b) na żądanie Administratora danych – drogą elektroniczną (office@prosecaptain.com).
Na dzień wejścia w życie niniejszej DPA (1 stycznia 2025 r.), Podmiot przetwarzający korzysta z następujących podprocesorów:
Przetwarzanie danych przez model AI Gemini (generowanie tekstu i obrazów)
USA / EU (w zależności od konfiguracji API)
OpenAI LLC
Przetwarzanie danych przez model AI (generowanie odpowiedzi czatu)
USA
Cloudflare Inc.
Weryfikacja anty-botowa (Turnstile), CDN
USA / EU (sieć globalna)
CookieYes Limited
Zarządzanie zgodami cookies na stronach ProseCaptain
Wielka Brytania
Hotjar Ltd. (opcjonalnie, jeśli włączony)
Analiza UX studia generowania obrazów
Malta (EU)
Procedura zmiany podprocesorów: a) Podmiot przetwarzający informuje Administratora danych o zamiarze dodania lub zmiany podprocesora drogą elektroniczną z wyprzedzeniem co najmniej 14 dni przed planowaną zmianą; b) Administrator danych może zgłosić uzasadniony sprzeciw wobec nowego podprocesora w terminie 14 dni od otrzymania informacji. Sprzeciw powinien zawierać konkretne uzasadnienie związane z ochroną danych osobowych; c) w przypadku sprzeciwu, Podmiot przetwarzający podejmie rozsądne starania w celu zapewnienia alternatywnego rozwiązania. Jeżeli alternatywa nie jest możliwa, Administrator danych ma prawo wypowiedzieć umowę ze skutkiem na dzień planowanej zmiany; d) brak sprzeciwu w terminie 14 dni oznacza akceptację nowego podprocesora.
Podmiot przetwarzający zobowiązuje się, że: a) nałoży na podprocesora (w drodze umowy lub innego instrumentu prawnego) te same obowiązki ochrony danych, jakie wynikają z niniejszej DPA, w szczególności obowiązek zapewnienia odpowiednich środków technicznych i organizacyjnych; b) ponosi wobec Administratora danych odpowiedzialność za działania i zaniechania podprocesora jak za własne, w zakresie w jakim podprocesor nie wywiązuje się ze swoich obowiązków ochrony danych.
§9. Audyt
Podmiot przetwarzający umożliwia Administratorowi danych (lub upoważnionemu audytorowi) przeprowadzanie audytów w celu weryfikacji przestrzegania obowiązków wynikających z art. 28 RODO i niniejszej DPA.
Audyt odbywa się na następujących warunkach: a) Administrator danych powiadamia Podmiot przetwarzający o zamiarze przeprowadzenia audytu z wyprzedzeniem co najmniej 30 dni kalendarzowych; b) audyt przeprowadzany jest w godzinach roboczych, w sposób niezakłócający normalnego funkcjonowania Platformy i działalności Podmiotu przetwarzającego; c) zakres audytu ograniczony jest do weryfikacji zgodności przetwarzania danych osobowych z niniejszą DPA i RODO – audyt nie obejmuje dostępu do Know-how Platformy, kodu źródłowego, promptów systemowych ani konfiguracji modeli AI; d) koszty audytu ponosi Administrator danych, chyba że audyt wykaże istotne naruszenie obowiązków Podmiotu przetwarzającego; e) Administrator danych ma prawo do przeprowadzenia jednego audytu w roku kalendarzowym, chyba że konieczność dodatkowego audytu wynika z nakazu organu nadzorczego lub uzasadnionego podejrzenia naruszenia.
Podmiot przetwarzający może zaproponować Administratorowi danych jako alternatywę dla audytu na miejscu: a) udostępnienie aktualnego raportu z audytu przeprowadzonego przez niezależny podmiot trzeci; b) udostępnienie certyfikatu zgodności (jeśli posiada); c) udzielenie szczegółowych odpowiedzi na pytania audytowe w formie pisemnej.
§10. Odpowiedzialność
Każda ze stron ponosi odpowiedzialność za szkody wynikające z naruszenia RODO zgodnie z art. 82 RODO.
Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie w zakresie, w jakim nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami Administratora danych lub wbrew tym instrukcjom (art. 82 ust. 2 RODO).
Podmiot przetwarzający jest zwolniony z odpowiedzialności, jeżeli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do szkody (art. 82 ust. 3 RODO).
Ograniczenia odpowiedzialności określone w §7 Regulaminu mają zastosowanie do odpowiedzialności Podmiotu przetwarzającego na podstawie niniejszej DPA, z wyjątkiem przypadków, gdy odpowiedzialność wynika z umyślnego naruszenia obowiązków przez Podmiot przetwarzający.
§11. Postanowienia końcowe DPA
W przypadku sprzeczności między postanowieniami DPA a Regulaminem, w zakresie dotyczącym przetwarzania danych osobowych pierwszeństwo mają postanowienia DPA.
DPA podlega prawu polskiemu i RODO.
Wszelkie spory wynikające z DPA rozstrzygane są zgodnie z §12.5 Regulaminu.
DPA obowiązuje przez cały czas trwania umowy o świadczenie Usługi oraz przez okres niezbędny do zakończenia operacji przetwarzania danych (w tym usunięcia danych zgodnie z §7).
CZĘŚĆ III: POLITYKA PLIKÓW COOKIES
§1. Czym są pliki cookies
Pliki cookies (ciasteczka) to niewielkie pliki tekstowe zapisywane na urządzeniu końcowym użytkownika (komputer, tablet, smartfon) przez przeglądarkę internetową podczas korzystania ze stron internetowych.
Niniejsza Polityka plików cookies dotyczy ciasteczek i podobnych technologii (w tym localStorage, sessionStorage) stosowanych: a) na stronach internetowych ProseCaptain (prosecaptain.com, panel.prosecaptain.com, design.prosecaptain.com, status.prosecaptain.com); b) w Widgecie EmbeddableChat osadzonym na stronach internetowych Usługobiorców.
§2. Podstawa prawna
Stosowanie cookies i podobnych technologii odbywa się na podstawie: a) art. 173 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne – w zakresie przechowywania lub uzyskiwania dostępu do informacji na urządzeniu końcowym użytkownika; b) art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes) – w odniesieniu do cookies niezbędnych do prawidłowego działania serwisu; c) art. 6 ust. 1 lit. a) RODO (zgoda) – w odniesieniu do cookies analitycznych, marketingowych i innych nieniezbędnych.
§3. Rodzaje stosowanych cookies
3.1. Strony internetowe ProseCaptain
Nazwa / identyfikator
Cel
Typ
Czas przechowywania
Wymagana zgoda?
Cookies sesyjne (np. session ID)
Utrzymanie sesji użytkownika po zalogowaniu
Niezbędne
Czas trwania sesji przeglądarki
Nie
Tokeny JWT (localStorage, szyfrowane)
Uwierzytelnianie użytkownika w Panelu i Studio
Niezbędne
Do wylogowania / wygaśnięcia tokenu
Nie
Cloudflare Turnstile
Weryfikacja anty-botowa przy logowaniu/rejestracji
Niezbędne (bezpieczeństwo)
Czas weryfikacji
Nie
CookieYes (cookieyes-consent, cky-consent itp.)
Zarządzanie preferencjami cookies użytkownika
Niezbędne (zarządzanie zgodami)
12 miesięcy
Nie
Preferencje UI (localStorage)
Zapamiętanie ustawień interfejsu (np. motyw, język)
Analiza UX (heatmapy, nagrania sesji) – jeśli włączony
Analityczne
Zgodnie z polityką Hotjar (do 365 dni)
Tak
3.2. Widget EmbeddableChat (na stronach Usługobiorców)
Nazwa / identyfikator
Cel
Typ
Czas przechowywania
Wymagana zgoda?
chat_session_id (cookie, HttpOnly, Secure)
Identyfikacja sesji rozmowy, odtwarzanie historii
Niezbędne (dla funkcji czatu)
Czas trwania sesji / do zamknięcia przeglądarki
Patrz §4
Historia rozmów (localStorage)
Lokalne przechowywanie historii rozmowy dla Użytkownika Końcowego
Funkcjonalne
Bezterminowo (do wyczyszczenia przez użytkownika)
Patrz §4
Ustawienia widgetu (localStorage)
Zapamiętanie ustawień czatu (np. minimalizacja okna)
Funkcjonalne
Bezterminowo (do wyczyszczenia)
Patrz §4
§4. Cookies Widgetu EmbeddableChat – obowiązki Usługobiorcy
Widget EmbeddableChat jest osadzany na stronach internetowych Usługobiorców (nie na stronach ProseCaptain). W związku z tym: a) to Usługobiorca jest odpowiedzialny za uzyskanie od Użytkowników Końcowych wymaganych prawem zgód na stosowanie cookies i podobnych technologii przez Widget; b) Usługobiorca zobowiązany jest uwzględnić cookies Widgetu w swojej Polityce cookies i Polityce prywatności; c) Usługobiorca zobowiązany jest wdrożyć na swojej stronie mechanizm zarządzania zgodami (cookie banner / CMP – Consent Management Platform), obejmujący cookies Widgetu; d) ProseCaptain udostępnia Usługobiorcy informacje techniczne o cookies stosowanych przez Widget (zgodnie z tabelą w §3.2) w celu umożliwienia spełnienia obowiązków informacyjnych.
ProseCaptain nie ma bezpośredniego wpływu na sposób uzyskiwania zgód przez Usługobiorcę od Użytkowników Końcowych i nie ponosi odpowiedzialności za brak lub nieprawidłowość tych zgód.
§5. Cookies podmiotów trzecich
Na stronach ProseCaptain mogą być stosowane cookies podmiotów trzecich, w szczególności:
Oprócz klasycznych plików cookies, Platforma i Widget wykorzystują mechanizmy localStorage i sessionStorage przeglądarki do przechowywania danych po stronie klienta.
Dane przechowywane w localStorage: a) nie są automatycznie przesyłane do serwera przy każdym żądaniu HTTP (w odróżnieniu od cookies); b) są przechowywane bezterminowo (do momentu wyczyszczenia przez użytkownika lub skrypt); c) są dostępne wyłącznie dla skryptów działających w kontekście tej samej domeny (Same-Origin Policy).
Dane przechowywane w sessionStorage są usuwane automatycznie po zamknięciu karty przeglądarki.
Ze względu na charakter localStorage (brak flagi HttpOnly), bezpieczeństwo danych przechowywanych w localStorage zależy częściowo od zabezpieczeń strony hostującej (ochrona przed XSS). Usługodawca stosuje sanityzację HTML i inne środki opisane w §3.5 ust. 6 Regulaminu, jednakże Usługobiorca zobowiązany jest zapewnić odpowiedni poziom zabezpieczeń swojej strony.
§7. Zarządzanie cookies i localStorage
Użytkownicy stron ProseCaptain: a) Przy pierwszej wizycie na stronach ProseCaptain wyświetlany jest baner zarządzania cookies (CookieYes), umożliwiający akceptację lub odrzucenie poszczególnych kategorii cookies (niezbędne / analityczne). b) Użytkownik może w dowolnym momencie zmienić ustawienia cookies poprzez:
ponowne otwarcie panelu CookieYes (dostępny w stopce strony lub pod dedykowanym linkiem);
wyczyszczenie localStorage i sessionStorage w ustawieniach przeglądarki.
c) Wyłączenie cookies niezbędnych może uniemożliwić korzystanie z Platformy (brak możliwości zalogowania się, utrata sesji).
Użytkownicy Końcowi stron Usługobiorców (Widget EmbeddableChat): a) Zarządzanie cookies i localStorage Widgetu odbywa się zgodnie z mechanizmem zgód wdrożonym przez Usługobiorcę na jego stronie; b) Użytkownik Końcowy może w dowolnym momencie:
usunąć cookies i dane localStorage związane z Widgetem w ustawieniach przeglądarki;
zażądać od Usługobiorcy usunięcia historii rozmów (na podstawie praw wynikających z RODO);
c) usunięcie cookies / localStorage Widgetu spowoduje utratę historii rozmowy i konieczność rozpoczęcia nowej sesji.
§8. Instrukcje zarządzania cookies w przeglądarkach
Administrator zastrzega sobie prawo do zmiany niniejszej Polityki cookies. Zmiany wchodzą w życie z dniem ich publikacji.
O istotnych zmianach Administrator poinformuje za pośrednictwem banera CookieYes lub komunikatu w Platformie.
POSTANOWIENIA WSPÓLNE
§1. Relacja między dokumentami
Niniejszy dokument składa się z trzech integralnych części: a) Część I: Polityka prywatności – określająca zasady przetwarzania danych osobowych przez Administratora; b) Część II: Umowa powierzenia przetwarzania danych osobowych (DPA) – regulująca warunki powierzenia przetwarzania danych przez Usługobiorcę (Administratora danych) na rzecz ProseCaptain (Podmiotu przetwarzającego); c) Część III: Polityka plików cookies – określająca zasady stosowania cookies i podobnych technologii.
Niniejszy dokument stanowi integralną część relacji prawnej uregulowanej Regulaminem świadczenia usług drogą elektroniczną platformy ProseCaptain (https://prosecaptain.com/regulamin). W przypadku sprzeczności: a) w zakresie przetwarzania danych osobowych – pierwszeństwo mają postanowienia DPA (Część II); b) w pozostałym zakresie – pierwszeństwo mają postanowienia Regulaminu.
Pojęcia pisane wielką literą, niezdefiniowane w niniejszym dokumencie, mają znaczenie nadane im w Regulaminie.
§2. Prawo właściwe
Niniejszy dokument podlega prawu polskiemu oraz RODO.
Wszelkie spory wynikające z niniejszego dokumentu rozstrzygane są zgodnie z postanowieniami Regulaminu (§12.5 – sąd powszechny właściwy miejscowo dla siedziby Usługodawcy, tj. Wrocław).
§3. Wejście w życie
Niniejszy dokument wchodzi w życie z dniem 1 stycznia 2025 r.
