PL
Polityka Prywatności
Wprowadzenie
Y4 Works Oy ("Suunta.ai", "my", "nas" lub "nasz") prowadzi platformę Suunta.ai, usługę strategicznego planowania opartą na AI dla firm. Niniejsza Polityka Prywatności wyjaśnia, w jaki sposób zbieramy, używamy, ujawniamy i chronimy Państwa dane osobowe podczas korzystania z naszych Usług.
Suunta.ai jest usługą między firmami (B2B). Niniejsza Polityka Prywatności ma zastosowanie do przedstawicieli naszych klientów biznesowych i ich autoryzowanych użytkowników.
Administrator Danych: Y4 Works Oy, Numer rejestrowy: 2978296-6, Finlandia, E-mail: privacy@suunta.ai
1. Informacje, Które Zbieramy
1.1 Informacje, Które Pan/Pani Przekazuje
Informacje o Koncie
| Dane | Wymagane | Cel |
|---|---|---|
| Adres e-mail | Tak | Logowanie do konta, komunikacja |
| Imię i nazwisko | Nie | Personalizacja |
| Numer telefonu | Nie | Opcjonalny kontakt |
| Hasło | Tak* | Uwierzytelnianie |
| Zdjęcie profilowe | Nie | Personalizacja |
| Preferencja językowa | Tak (domyślnie: fiński) | Lokalizacja |
| Strefa czasowa | Tak (domyślnie: Europa/Helsinki) | Wyświetlanie czasu |
| Dodatkowe szczegóły profilu | Nie | Personalizacja |
Użytkownicy SSO uwierzytelniają się przez Google lub Microsoft i nie mają hasła Suunta.ai.
Informacje o Organizacji
| Dane | Wymagane | Cel |
|---|---|---|
| Nazwa organizacji | Tak | Identyfikacja konta |
| Kraj | Tak (domyślnie: Finlandia) | Lokalizacja, zgodność |
| Miasto | Nie | Lokalizacja |
| Branża | Nie | Dostosowanie usługi |
| Wielkość organizacji | Nie | Dostosowanie usługi |
| Strona internetowa | Nie | Profil organizacji |
| Logo | Nie | Branding |
| Szczegóły profilu organizacji | Nie | Dostosowanie usługi |
Dane Biznesowe
- Dokumenty i plany strategiczne
- OKR (Cele i Kluczowe Wyniki)
- KPI (Kluczowe Wskaźniki Wydajności) i metryki
- Projekty i zadania
- Dokumenty do analizy AI (źródła RAG)
- Rozmowy czatowe z naszym asystentem AI
- Inne dane biznesowe przekazane przez Pana/Panią
Te dane biznesowe są przetwarzane w celu świadczenia Panu/Pani naszych Usług.
1.2 Informacje Zbierane Automatycznie
Dane Techniczne
| Dane | Cel | Przechowywanie |
|---|---|---|
| Adres IP | Bezpieczeństwo, zapobieganie oszustwom | Nadpisywane przy nowym logowaniu |
| User agent (przeglądarka/urządzenie) | Bezpieczeństwo, zarządzanie sesją | Czas trwania sesji |
| Znaczniki czasu logowania | Audyt bezpieczeństwa | Nadpisywane |
| Dane sesji | Stan uwierzytelniania | 14-30 dni |
| Nieudane próby logowania | Ochrona przed atakami brute-force | Resetowane przy udanym logowaniu |
Dane o Użytkowaniu
| Dane | Cel | Przechowywanie |
|---|---|---|
| Użytkowanie funkcji AI (tokeny, model, opóźnienie) | Rozliczenia, analityka | 365 dni |
| Logi aktywności (wykonane działania) | Ślad audytowy | 12-36 miesięcy |
Ważne: NIE przechowujemy Państwa promptów AI ani odpowiedzi generowanych przez AI. Rejestrowane są wyłącznie metadane dotyczące użytkowania AI (takie jak liczba tokenów i czasy odpowiedzi).
1.3 Informacje od Osób Trzecich
Logowanie Jednokrotne (SSO) Jeśli loguje się Pan/Pani przez Google lub Microsoft, otrzymujemy Państwa imię i nazwisko, adres e-mail oraz zdjęcie profilowe od dostawcy SSO.
Informacje Płatnicze Używamy Stripe do przetwarzania płatności. Stripe zbiera i przetwarza Państwa informacje o karcie płatniczej bezpośrednio. Otrzymujemy wyłącznie Państwa identyfikator klienta Stripe i status subskrypcji—nigdy szczegóły karty.
Integracje Jeśli łączy Pan/Pani usługi osób trzecich (Slack, Google Workspace itp.), otrzymujemy dane niezbędne do integracji zgodnie z Państwa konfiguracją.
2. Jak Używamy Państwa Informacji
| Cel | Podstawa Prawna (RODO) |
|---|---|
| Świadczenie Usług (zarządzanie kontem, funkcje AI, przechowywanie danych) | Wykonanie umowy (art. 6 ust. 1 lit. b) |
| Przetwarzanie płatności i zarządzanie subskrypcjami | Wykonanie umowy |
| Wysyłanie e-maili transakcyjnych (kody OTP, powiadomienia) | Wykonanie umowy |
| Zapewnianie bezpieczeństwa i zapobieganie oszustwom | Prawnie uzasadniony interes (art. 6 ust. 1 lit. f) |
| Prowadzenie logów audytowych dla zgodności | Prawnie uzasadniony interes / Obowiązek prawny |
| Ulepszanie Usług (analityka zbiorcza) | Prawnie uzasadniony interes |
| Odpowiadanie na prośby o wsparcie | Wykonanie umowy |
| Zgodność z obowiązkami prawnymi | Obowiązek prawny (art. 6 ust. 1 lit. c) |
NIE robimy:
- Sprzedaży Państwa danych osobowych
- Używania Państwa danych do reklamy
- Udostępniania Państwa danych brokerom danych
- Używania Państwa danych biznesowych do trenowania modeli AI (bez wyraźnej zgody)
3. Przetwarzanie Danych AI
3.1 Jak Działają Funkcje AI
- Państwa prompty i kontekst są wysyłane do naszych dostawców AI (Anthropic, OpenAI, Google, Mistral)
- Dostawca AI przetwarza Państwa żądanie i zwraca odpowiedź
- Wyświetlamy Państwu odpowiedź
- Rejestrujemy wyłącznie metadane (użyte tokeny, czas przetwarzania, koszt)
3.2 Co Przechowujemy
| Przechowywane | Nie Przechowywane |
|---|---|
| Historia rozmów czatowych (dla ciągłości) | Surowe prompty AI wysyłane do dostawców |
| Metadane użytkowania AI (tokeny, opóźnienie, koszt) | Odpowiedzi dostawców AI |
| Osadzenia dokumentów (do wyszukiwania) | Oryginalny tekst dokumentu po indeksowaniu |
3.3 Obsługa Danych przez Dostawców AI
- OpenAI: flaga store=False do wyłączenia przechowywania
- Anthropic: Standardowe API bez trenowania na danych wejściowych
- Google Vertex AI: region UE, gdy dostępny
- Mistral: dostawca z siedzibą w UE
Nie zezwalamy naszym dostawcom AI na używanie Państwa danych do trenowania modeli.
3.4 RAG (Analiza Dokumentów)
- Tekst jest wyodrębniany z Państwa dokumentu
- Tekst jest konwertowany na osadzenia wektorowe
- Oryginalny tekst jest usuwany w ciągu 24 godzin
- Osadzenia i fragmenty tekstu są zachowywane dla funkcjonalności wyszukiwania
- Usunięcie źródła usuwa wszystkie powiązane dane
4. Udostępnianie Informacji
4.1 Dostawcy Usług (Podwykonawcy)
| Dostawca | Cel | Lokalizacja |
|---|---|---|
| AWS | Hosting infrastruktury | UE (Sztokholm) |
| Anthropic | Przetwarzanie AI | USA |
| OpenAI | Przetwarzanie AI | USA |
| Przetwarzanie AI | UE/USA | |
| Mistral | Przetwarzanie AI | UE (Francja) |
| Stripe | Przetwarzanie płatności | USA/UE |
| Resend | Dostarczanie e-maili | UE |
Aby zobaczyć pełną listę, zobacz naszą Listę Podwykonawców pod adresem https://suunta.ai/legal/subprocessors.
4.2 Integracje Inicjowane przez Klienta
- Slack: Wiadomości, powiadomienia zgodnie z konfiguracją
- Google Workspace: Wydarzenia kalendarzowe, dane arkuszy zgodnie z konfiguracją
- Zapier/Make: Ładunki webhook zgodnie z konfiguracją
Pan/Pani kontroluje, które integracje są włączone i jakie dane są udostępniane.
4.3 Wymagania Prawne
- W celu zgodności z obowiązującym prawem lub procesem prawnym
- W celu odpowiedzi na prawne żądania organów publicznych
- W celu ochrony naszych praw, prywatności, bezpieczeństwa lub własności
- W związku z fuzją, przejęciem lub sprzedażą aktywów
4.4 Za Państwa Zgodą
Możemy udostępniać informacje osobom trzecim, gdy Pan/Pani wyrazi wyraźną zgodę.
5. Transfery Międzynarodowe
5.1 Gdzie Przetwarzamy Dane. Podstawowe przetwarzanie odbywa się w UE (AWS Stockholm, eu-north-1). Przetwarzanie AI może odbywać się w USA przez dostawców AI.
5.2 Zabezpieczenia Transferów. W przypadku transferów poza EOG polegamy na Standardowych Klauzulach Umownych (SCC) zatwierdzonych przez Komisję Europejską, środkach uzupełniających, w tym szyfrowaniu i kontrolach dostępu, oraz certyfikacjach dostawców (np. SOC 2, ISO 27001).
6. Przechowywanie Danych
6.1 Okresy Przechowywania
| Typ Danych | Okres Przechowywania |
|---|---|
| Aktywne konta użytkowników | Czas użytkowania |
| Usunięte konta użytkowników | Anonimizowane natychmiast |
| Dane organizacji | Do usunięcia organizacji + 90 dni (kopie zapasowe) |
| Metadane użytkowania AI | 365 dni |
| Logi audytowe (standardowe) | 24 miesiące |
| Logi audytowe (krytyczne) | 36 miesięcy |
| Zapisy rozliczeniowe | 6 lat (prawo fińskie) |
| Kopie zapasowe | 30 dni |
6.2 Usunięcie Konta
- Państwa dane osobowe są anonimizowane
- Państwa adres e-mail jest zastępowany symbolem zastępczym
- Państwa członkostwa w organizacjach są usuwane
- Państwa sesje są unieważniane
- Logi audytowe są zachowywane dla zgodności (z anonimizowanym identyfikatorem aktora)
6.3 Usunięcie Organizacji
- 30-dniowy okres karencji (możliwy do anulowania)
- Wszystkie dane organizacji są trwale usuwane
- Konta użytkowników pozostają, ale tracą dostęp do organizacji
- Tworzony jest niezmienny wpis logu audytowego zgodności
7. Państwa Prawa
Zgodnie z RODO, Pan/Pani ma następujące prawa i może je wykonywać poprzez Ustawienia lub kontaktując się z privacy@suunta.ai:
- Prawo dostępu (art. 15): Ustawienia → Eksport Danych
- Prawo do sprostowania (art. 16): Ustawienia → Profil
- Prawo do usunięcia (art. 17): Ustawienia → Usuń Konto / Usuń Organizację
- Prawo do ograniczenia przetwarzania (art. 18): E-mail privacy@suunta.ai
- Prawo do przenoszenia danych (art. 20): Ustawienia → Eksport Danych
- Prawo do sprzeciwu (art. 21): E-mail privacy@suunta.ai
- Prawo do wycofania zgody: Ustawienia → Preferencje Marketingowe
Pan/Pani ma również prawo złożyć skargę do organu nadzorczego. W Polsce jest to:
UODO
ul. Stawki 2, 00-193 Warszawa
kancelaria@uodo.gov.pl
8. Pliki Cookie i Podobne Technologie
8.1 Pliki Cookie, Których Używamy
| Cookie | Typ | Cel | Czas Trwania |
|---|---|---|---|
| session | Niezbędne | Uwierzytelnianie | 14-30 dni |
8.2 Czego Nie Używamy
- Google Analytics
- Facebook Pixel
- Plików cookie marketingowych
- Plików cookie śledzących osób trzecich
8.3 Lokalne Przechowywanie
| Klucz | Cel |
|---|---|
| sidebarCollapsed | Preferencja interfejsu |
| theme | Motyw wyświetlania |
| userTimezone | Wyświetlanie czasu |
8.4 Skrypty Osób Trzecich
- Stripe (js.stripe.com): Przetwarzanie płatności
- Google Fonts: Typografia
- Font Awesome: Ikony
Te usługi mogą ustawiać własne pliki cookie. Zobacz ich odpowiednie polityki prywatności.
9. Bezpieczeństwo
9.1 Środki Techniczne
- Szyfrowanie: TLS 1.2+ w transporcie, AES-256 w spoczynku
- Bezpieczeństwo hasła: haszowanie PBKDF2-SHA256
- Bezpieczeństwo sesji: pliki cookie HttpOnly, Secure, SameSite
- Kontrola dostępu: oparta na rolach, izolacja organizacyjna
9.2 Środki Organizacyjne
- Zobowiązania do poufności dla personelu
- Szkolenia z zakresu świadomości bezpieczeństwa
- Procedury reagowania na incydenty
- Regularne oceny bezpieczeństwa
9.3 Państwa Obowiązki
- Zachowaj Pan/Pani bezpieczeństwo hasła
- Użyj Pan/Pani silnego, unikalnego hasła
- Zgłoś Pan/Pani podejrzaną aktywność natychmiast
- Wyloguj się Pan/Pani na urządzeniach współdzielonych
10. Prywatność Dzieci
Suunta.ai jest usługą B2B przeznaczoną dla profesjonalistów biznesowych. Usługi nie są skierowane do osób poniżej 18 roku życia. Nie zbieramy świadomie danych osobowych od dzieci.
11. Zmiany w Niniejszej Polityce
Możemy od czasu do czasu aktualizować niniejszą Politykę Prywatności. Powiadomimy Pan/Panią o istotnych zmianach poprzez powiadomienie e-mailowe co najmniej 30 dni przed wejściem zmian w życie oraz wyraźne powiadomienie na naszej stronie internetowej. Kontynuacja korzystania z Usług po zmianach oznacza akceptację.
12. Skontaktuj się z Nami
W sprawach związanych z prywatnością lub wykonywania Państwa praw: Y4 Works Oy (Suunta.ai), E-mail: privacy@suunta.ai. W sprawach ogólnych: team@suunta.ai.
13. Dodatkowe Informacje dla Użytkowników z EOG
13.1 Podsumowanie Podstawy Prawnej
| Działanie Przetwarzania | Podstawa Prawna |
|---|---|
| Zarządzanie kontem | Umowa |
| Świadczenie usługi | Umowa |
| Przetwarzanie płatności | Umowa |
| E-maile transakcyjne | Umowa |
| Środki bezpieczeństwa | Prawnie uzasadniony interes |
| Rejestrowanie audytowe | Prawnie uzasadniony interes / Obowiązek prawny |
| Marketing (jeśli wyrażono zgodę) | Zgoda |
13.2 Inspektor Ochrony Danych
Jako mała firma nie powołaliśmy formalnego IOD. W sprawach dotyczących ochrony danych prosimy kontaktować się z: privacy@suunta.ai.
13.3 Automatyczne Podejmowanie Decyzji
Nie podejmujemy automatycznych decyzji, które wywołują skutki prawne lub w podobny sposób znacząco wpływają na Pana/Panią. Funkcje AI dostarczają rekomendacji i analiz, ale ostateczne decyzje podejmuje Pan/Pani.