Polityka Prywatności
Wersja 1.0 | Data wejścia w życie: 01.02.2026
Niniejsza Polityka dotyczy serwisu plannermag.io oraz aplikacji dostępnej pod adresem app.plannermag.io.
§ 1. Administrator Danych Osobowych
Administratorem danych osobowych przetwarzanych w związku z korzystaniem z serwisu i aplikacji PlannerMag dostępnej pod adresem plannermag.io jest:
DREAMIT Maciej Krawczyk
Poligonowa 49, 99-400 Zielkowice
NIP: 8341820659
E-mail kontaktowy: privacy@plannermag.io
Adres do korespondencji: info@plannermag.io
W sprawach dotyczących ochrony danych osobowych można kontaktować się pod adresem e-mail: privacy@plannermag.io
§ 2. Zakres i Cel Przetwarzania Danych
PlannerMag przetwarza dane osobowe w następujących celach i zakresach:
2.1 Dane konta użytkownika
| Kategoria danych | Cel przetwarzania | Podstawa prawna |
|---|---|---|
| Adres e-mail | Rejestracja, logowanie, komunikacja | Art. 6 ust. 1 lit. b RODO – wykonanie umowy |
| Nazwa użytkownika (username) | Identyfikacja w systemie | Art. 6 ust. 1 lit. b RODO – wykonanie umowy |
| Hasło (hashowane bcrypt) | Bezpieczeństwo konta | Art. 6 ust. 1 lit. b RODO – wykonanie umowy |
| Data rejestracji, ostatniego logowania | Bezpieczeństwo, zarządzanie kontem | Art. 6 ust. 1 lit. f RODO – uzasadniony interes |
| Adres IP (logowanie, rate limiting) | Ochrona przed nadużyciami | Art. 6 ust. 1 lit. f RODO – uzasadniony interes |
| Identyfikator klienta Stripe (stripe_customer_id) | Obsługa subskrypcji | Art. 6 ust. 1 lit. b RODO – wykonanie umowy |
| Sekret 2FA (jeśli włączone) | Bezpieczeństwo konta | Art. 6 ust. 1 lit. b RODO – wykonanie umowy |
2.2 Dane firmowe
W ramach korzystania z aplikacji użytkownik podaje dane dotyczące obsługiwanych przez siebie firm, w tym: nazwę firmy, branżę, lokalizację, URL strony internetowej, opis grupy docelowej, własne hashtagi, URL profilu Google Maps, nazwy użytkownika na platformach Instagram, Facebook, TikTok oraz powiązane metryki (liczba obserwujących, bio, kategoria).
2.3 Publicznie dostępne dane z mediów społecznościowych
W celu świadczenia usługi analizy mediów społecznościowych aplikacja pobiera i przetwarza publicznie dostępne dane, w tym:
- recenzje: imię autora, ocena, treść, data, źródło, wynik analizy sentymentu;
- komentarze: nazwa użytkownika / imię autora, treść komentarza, URL profilu (Facebook);
- dane postów: liczba polubień, komentarzy, wyświetleń;
- dane konkurentów: nazwa, username, bio, URL, metryki zaangażowania.
Podstawą prawną przetwarzania jest uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) polegający na świadczeniu usługi analizy i planowania treści, o którą wnioskuje użytkownik. Dane te są publicznie dostępne i zostały opublikowane przez ich autorów w przestrzeni publicznej.
2.4 Dane rozliczeniowe
PlannerMag przechowuje wyłącznie identyfikatory: stripe_customer_id oraz stripe_subscription_id na potrzeby obsługi subskrypcji. Żadne dane karty płatniczej, adresy rozliczeniowe ani numery NIP nie są zbierane ani przechowywane przez PlannerMag – dane te są przetwarzane bezpośrednio przez operatora płatności Stripe, Inc. na jego własnych serwerach zgodnie z jego polityką prywatności.
2.5 Dane techniczne i behawioralne
W celach diagnostycznych, bezpieczeństwa i optymalizacji usługi przetwarzamy: logi odświeżania danych, logi generowania planów treści, logi użycia API (operacja, dostawca, liczba tokenów, koszt w USD), adresy IP (w celach rate limitingu i ochrony przed nadużyciami), user-agenty oraz timestampy żądań.
§ 3. Pliki Cookie i Podobne Technologie
Baner zgody na pliki cookie umożliwia wybór między plikami niezbędnymi a analitycznymi. Zgoda jest zapisywana w localStorage. Serwis nie korzysta z Google Analytics, Meta Pixel, pikseli reklamowych ani żadnych innych narzędzi śledzących osób trzecich.
| Typ | Narzędzie | Opis | Podstawa |
|---|---|---|---|
| Niezbędne | Flask session cookie | Sesja logowania; wygasa po 4h nieaktywności; atrybuty: Secure, HttpOnly, SameSite=Lax | Niezbędne do świadczenia usługi |
| Niezbędne | Token CSRF | Ochrona formularzy przed atakami Cross-Site Request Forgery | Niezbędne do świadczenia usługi |
| Niezbędne | Token "Zapamiętaj mnie" | Opcjonalny; umożliwia utrzymanie sesji logowania | Niezbędne do świadczenia usługi |
| Analityczne | Plausible Analytics | Analityka ruchu z zastosowaniem minimalnej ilości danych, bez profilowania użytkowników i bez plików cookie śledzących | Uzasadniony interes (bez cookies, bez danych osobowych) |
| Preferencje | localStorage (cookie_consent) | Zapis wyboru preferencji dotyczących plików cookie | Niezbędne do obsługi zgód |
3.1 Narzędzia monitorowania serwera (Sentry)
Aplikacja wykorzystuje narzędzie Sentry (Functional Software, Inc., USA) wyłącznie po stronie serwera, w celu monitorowania błędów i stabilności działania systemu. Sentry nie jest ładowane w przeglądarce użytkownika, nie ustawia plików cookie i nie jest wykorzystywane do profilowania użytkowników. Dane przesyłane do Sentry nie zawierają domyślnie danych osobowych użytkowników (send_default_pii=false), a przetwarzanie odbywa się na podstawie uzasadnionego interesu administratora, polegającego na zapewnieniu bezpieczeństwa i ciągłości świadczenia usług (art. 6 ust. 1 lit. f RODO).
§ 4. Odbiorcy Danych – Podmioty Przetwarzające
W ramach świadczenia usługi dane mogą być przekazywane następującym podmiotom przetwarzającym:
| Podmiot | Kraj / Region | Cel przetwarzania | Zabezpieczenie transferu |
|---|---|---|---|
| Anthropic, Inc. (Claude API) | USA | Generowanie planów treści, analiza sentymentu, opisy firm | SCC / DPA dostawcy |
| Perplexity AI, Inc. | USA | Analiza trendów branżowych, badanie konkurencji | SCC / DPA dostawcy |
| Leonardo Interactive Pty Ltd (Leonardo.ai) | USA / UE | Generowanie obrazów AI do postów | SCC / DPA dostawcy |
| Apify Technologies s.r.o. | Czechy (UE) | Agregacja publicznie dostępnych danych z platform społecznościowych | W ramach EOG |
| Google LLC (OAuth) | USA | Uwierzytelnianie użytkowników przez Google | SCC / DPA dostawcy |
| Google LLC (Fonts) | USA | Dostarczanie czcionki Inter | SCC / DPA dostawcy |
| Brevo (Sendinblue SAS) | Francja (UE) | Relay SMTP – e-maile transakcyjne | W ramach EOG |
| Plausible Analytics OÜ | Estonia (UE) | Privacy-focused analityka ruchu | W ramach EOG |
| Sentry (Functional Software, Inc.) | USA | Monitoring i diagnostyka błędów (opcjonalny) | SCC / DPA dostawcy |
| Stripe, Inc. | USA | Obsługa płatności i fakturowania | SCC / DPA dostawcy |
| PostgreSQL (self-hosted) | Infrastruktura własna | Baza danych aplikacji | Kontrola administratora |
| Redis (self-hosted) | Infrastruktura własna | Rate limiting, cache | Kontrola administratora |
§ 5. Przekazywanie Danych Poza Europejski Obszar Gospodarczy
Część danych jest przekazywana do podmiotów mających siedzibę poza Europejskim Obszarem Gospodarczym (EOG), w szczególności do USA, na podstawie standardowych klauzul umownych (SCC) przyjętych przez Komisję Europejską lub innych mechanizmów prawnych zapewnionych przez poszczególnych dostawców. Dotyczy to następujących dostawców: Anthropic, Perplexity, Stripe, Google (OAuth i Fonts), Sentry, Leonardo.ai.
Użytkownik ma prawo do uzyskania kopii stosowanych zabezpieczeń transferu danych poprzez kontakt z administratorem pod adresem privacy@plannermag.io.
§ 6. Okres Przechowywania Danych
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane konta użytkownika | Do czasu zakończenia umowy, następnie przez 90 dni (możliwość odzyskania), po czym usuwane lub anonimizowane; dane finansowe (Stripe) przechowywane zgodnie z wymogami podatkowymi (min. 5 lat) |
| Dane firmowe i powiązane (posty, recenzje, komentarze, konkurenci) | Do czasu usunięcia firmy przez użytkownika lub administratora; po usunięciu konta – usuwane w ramach 90-dniowego okresu retencji |
| Dane do potwierdzenia adresu e-mail (linki) | 7 dni |
| Linki do resetu hasła | 7 dni |
| Sesja logowania | 4 godziny od ostatniej aktywności |
| Dane subskrypcji i faktury (Stripe) | Zgodnie z wymogami podatkowymi – co najmniej 5 lat od końca roku podatkowego |
| Logi API, logi generowania planów, logi odświeżeń | Do czasu usunięcia powiązanej firmy lub konta; usuwane w ramach 90-dniowego okresu retencji po zakończeniu umowy |
| Adresy IP (rate limiting) | Do 90 dni – zgodnie z polityką rotacji cache |
§ 7. Prawa Osób, Których Dane Dotyczą
Na podstawie RODO przysługują Państwu następujące prawa:
| Prawo | Status w PlannerMag |
|---|---|
| Prawo dostępu do danych (art. 15 RODO) | Użytkownik ma wgląd do danych swoich firm w panelu aplikacji. Pełny dostęp do danych na wniosek przesłany na privacy@plannermag.io |
| Prawo do sprostowania danych (art. 16 RODO) | Częściowo dostępne – poprzez edycję danych w formularzach aplikacji. Pozostałe dane na wniosek administratora |
| Prawo do usunięcia danych (art. 17 RODO) | Realizowane przez administratora systemu na pisemny wniosek przesłany na privacy@plannermag.io. Aktualnie brak funkcji samoobsługowego usunięcia konta w panelu – planowane w przyszłej wersji aplikacji. Administrator zobowiązuje się do realizacji wniosku w terminie 30 dni |
| Prawo do ograniczenia przetwarzania (art. 18 RODO) | Realizowane na wniosek przesłany na privacy@plannermag.io |
| Prawo do przenoszenia danych (art. 20 RODO) | Realizowane na wniosek – brak automatycznej funkcji eksportu |
| Prawo sprzeciwu (art. 21 RODO) | Dotyczy przetwarzania na podstawie uzasadnionego interesu – realizowane na wniosek |
| Cofnięcie zgody na pliki cookie | Dostępne poprzez baner cookie na stronie |
Wnioski dotyczące praw można składać: drogą elektroniczną na adres privacy@plannermag.io lub pisemnie na adres siedziby administratora. Administrator zobowiązuje się do udzielenia odpowiedzi w terminie 30 dni od daty otrzymania wniosku (z możliwością przedłużenia o kolejne 60 dni w przypadkach uzasadnionych złożonością sprawy).
§ 8. Prawo do Wniesienia Skargi
Przysługuje Państwu prawo do wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych (PUODO):
Prezes Urzędu Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
Telefon: 22 531 03 00
E-mail: kancelaria@uodo.gov.pl
www.uodo.gov.pl
§ 9. Bezpieczeństwo Danych
Administrator stosuje następujące środki techniczne i organizacyjne w celu ochrony danych osobowych:
- hashowanie haseł przy użyciu algorytmu bcrypt;
- szyfrowanie komunikacji protokołem TLS (HTTPS);
- atrybuty bezpieczeństwa plików cookie: Secure, HttpOnly, SameSite=Lax;
- tokeny CSRF chroniące formularze przed atakami Cross-Site Request Forgery;
- mechanizm rate limiting oparty o Redis w celu ochrony przed atakami brute-force;
- opcjonalne uwierzytelnianie dwuskładnikowe (2FA/TOTP);
- sesje wygasające po 4 godzinach nieaktywności;
- kontrola dostępu oparta na rolach (Owner – Employee) z ograniczonym zakresem uprawnień;
- opcjonalny monitoring błędów i incydentów bezpieczeństwa (Sentry).
§ 10. Przetwarzanie Publicznie Dostępnych Danych z Platform Społecznościowych
W celu świadczenia usługi analizy i planowania treści marketingowych, aplikacja PlannerMag agreguje publicznie dostępne dane z platform społecznościowych (Instagram, Facebook, TikTok) oraz recenzje z Google Maps. Przetwarzane są wyłącznie dane, które zostały dobrowolnie opublikowane przez ich autorów w przestrzeni publicznej.
Zakres agregowanych danych obejmuje: publiczne posty, metryki zaangażowania (liczba polubień, komentarzy, wyświetleń), publiczne recenzje wraz z imieniem autora, oceną i treścią, oraz publiczne dane profilowe kont firmowych i ich konkurentów.
Podstawą prawną przetwarzania jest uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) polegający na świadczeniu usługi, o którą wnioskuje użytkownik. Dane te nie są wykorzystywane do celów reklamowych ani profilowania w rozumieniu art. 22 RODO.
Publicznie dostępne dane są następnie przetwarzane przez systemy AI w celu analizy sentymentu oraz przygotowania rekomendacji dotyczących treści. Administrator zobowiązuje się do przetwarzania wyłącznie danych publicznie dostępnych i niepodejmowania działań zmierzających do obejścia technicznych zabezpieczeń platform.
§ 11. Zmiany Polityki Prywatności
Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności. O istotnych zmianach użytkownicy zostaną poinformowani drogą elektroniczną na adres e-mail powiązany z kontem lub poprzez widoczne powiadomienie w aplikacji, z odpowiednim wyprzedzeniem przed wejściem zmian w życie.
Aktualna wersja Polityki Prywatności jest zawsze dostępna pod adresem: plannermag.io/privacy
§ 12. Postanowienia Końcowe
W kwestiach nieuregulowanych niniejszą Polityką Prywatności stosuje się przepisy:
- Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO);
- Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 poz. 1781);
- Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną;
- Prawa telekomunikacyjnego w zakresie dotyczącym plików cookie.
Niniejsza Polityka Prywatności obowiązuje od dnia 01.02.2026.
Maciej Krawczyk
Administrator Danych Osobowych