Polityka prywatności
Jakie dane przetwarzamy, w jakim celu i jakie masz prawa — zgodnie z RODO.
1. Administrator danych
Administratorem Twoich danych osobowych jest Esy Floresy Paweł Sroka, prowadząca/prowadzący działalność pod marką Auradeco, z siedzibą ul. Krakowska 2, 42-445 Szczekociny, NIP 6492290980 (dalej: „Administrator", „my").
Platforma dostępna jest pod adresem auradeco.pl.
W sprawach związanych z ochroną danych osobowych prosimy o kontakt pod adresem: rodo@auradeco.pl.
2. Role: administrator i procesor
W ramach Platformy występujemy w dwóch różnych rolach — w zależności od tego, kim jesteś:
2.1. Jesteś użytkownikiem panelu (dekoratorką, operatorką studia)
Jeśli zarejestrowałaś konto i korzystasz z panelu — Administratorem Twoich danych jesteśmy my.
2.2. Jesteś klientką końcową (klientką dekoratorki)
Jeśli wypełniłaś formularz zapytań na stronie konkretnej dekoratorki (np. auradeco.pl/k/jej-slug) lub korzystasz z portalu klientki — Administratorem Twoich danych jest dekoratorka, która Cię obsługuje. My działamy wówczas wyłącznie jako podmiot przetwarzający (procesor) na podstawie umowy powierzenia zawartej z dekoratorką (DPA dostępna w panelu dekoratorki).
3. Zakres zbieranych danych
3.1. Dane konta użytkownika (operatorki studia)
- imię i nazwisko, adres e-mail
- nazwa firmy / studia, adres działalności, NIP (jeśli podany)
- logo firmy (jeśli wgrane)
- hasło (przechowywane w postaci hash argon2id, nigdy w postaci jawnej)
- logi logowań (adres IP, data, User-Agent) — w celach bezpieczeństwa
3.2. Dane klientek studia (wprowadzane przez operatorkę lub przez formularz zapytań)
- imię i nazwisko, e-mail, numer telefonu
- dane wydarzenia: data, miejsce, typ wydarzenia, liczba gości, budżet, opis pomysłu
- zdjęcia inspiracji (jeśli przesłane przez formularz zapytań)
- adresy realizacji (kod pocztowy, miejscowość, ulica)
- preferencje i specjalne życzenia podane w portalu klientki
- dokumenty: umowy, faktury, zdjęcia z realizacji, moodboardy
- korespondencja w chacie portalu klientki
3.3. Dane z integracji Messenger / Facebook / Instagram (opcjonalna)
- treść wiadomości wymienianych pomiędzy stroną FB studia a użytkownikami Messengera
- identyfikator strony Facebook (Page ID) i token dostępu strony (Page Access Token)
- identyfikator scoped (PSID) użytkownika Messengera oraz jego publiczne dane profilowe (imię, zdjęcie profilowe) udostępnione przez Meta
- metadane wiadomości (czas wysłania, typ wiadomości)
3.4. Dane techniczne
- adres IP, identyfikator sesji, dane przeglądarki i urządzenia
- logi systemowe i błędów aplikacji
- tokeny sesji (HttpOnly cookies)
4. Cele i podstawy prawne przetwarzania
| Cel | Podstawa prawna (RODO) | Okres przechowywania |
|---|---|---|
| Świadczenie usługi Platformy (konto, projekty, fakturowanie) | Art. 6 ust. 1 lit. b — wykonanie umowy | Przez czas trwania umowy + 6 lat po jej zakończeniu (przedawnienie roszczeń, KSeF) |
| Obsługa wiadomości klientek przez Messenger / Instagram | Art. 6 ust. 1 lit. b oraz f — wykonanie umowy i prawnie uzasadniony interes (obsługa klienta) | Do odłączenia integracji |
| Wystawianie faktur i rozliczenia podatkowe | Art. 6 ust. 1 lit. c — obowiązek prawny (ustawa o rachunkowości) | 5 lat po zakończeniu roku obrachunkowego |
| Wysyłka powiadomień transakcyjnych (e-mail, push) | Art. 6 ust. 1 lit. b — wykonanie umowy | Czas trwania konta |
| Bezpieczeństwo aplikacji, zapobieganie nadużyciom, anty-bot | Art. 6 ust. 1 lit. f — prawnie uzasadniony interes | 12 miesięcy |
| Marketing własny — newsletter (po wyraźnej zgodzie) | Art. 6 ust. 1 lit. a — zgoda | Do wycofania zgody |
5. Integracja z Messengerem i platformami Meta
Auradeco oferuje integrację ze stroną Facebook i Instagram studia dekoracyjnego. Po podłączeniu strony przez operatorkę (poprzez logowanie OAuth Meta):
- otrzymujemy wiadomości wysłane do strony studia od użytkowników Messengera za pośrednictwem webhooka Meta
- zapisujemy treść wiadomości i metadane w naszej bazie, aby operatorka studia mogła je odczytać i odpowiedzieć z poziomu panelu Auradeco
- wysyłamy odpowiedzi operatorki przez Send API Meta na ten sam wątek konwersacji
- nie używamy treści wiadomości do żadnych innych celów (brak profilowania reklamowego, brak udostępniania osobom trzecim)
Korzystanie z Messengera jako kanału komunikacji podlega także Polityce prywatności Meta, której Auradeco nie jest stroną.
6. Wizualizacje AI
Platforma oferuje funkcję generowania wizualizacji dekoracji przez sztuczną inteligencję (OpenAI). Po jej uruchomieniu:
- treść wprowadzona przez Ciebie (opis pomysłu, styl, kolory) jest przekazywana do OpenAI
- opcjonalnie przekazywane są zdjęcia referencyjne
- OpenAI generuje wizualizację i zwraca ją do nas — następnie zapisujemy w Twojej bazie projektu
- nie używamy treści wprowadzonych przez Ciebie do trenowania modeli AI
7. Odbiorcy danych i przekazywanie poza EOG
Pełna lista podmiotów przetwarzających (subprocessorów) dostępna jest na stronie Subprocessorzy.
Niektórzy z nich (Resend, OpenAI, Stripe, Cloudflare) mają siedzibę w USA. Przekazanie odbywa się na podstawie Standardowych Klauzul Umownych Komisji Europejskiej (SCC) oraz dodatkowych zabezpieczeń wynikających z decyzji EU-U.S. Data Privacy Framework.
Nie sprzedajemy danych. Nie udostępniamy ich podmiotom trzecim w celach marketingowych.
8. Okres przechowywania
- Dane aktywnego konta: Przez czas trwania umowy + 6 lat po jej zakończeniu (przedawnienie roszczeń, KSeF)
- Konto po usunięciu: 30 dni cooldown przed twardym usunięciem
- Zapytania od klientek bez konta: Maksymalnie 24 miesiące od ostatniej aktywności
- Logi bezpieczeństwa: 12 miesięcy
- Kopie zapasowe: Maksymalnie 30 dni rotacji
- Faktury i dokumenty rozliczeniowe: 5 lat po zakończeniu roku obrachunkowego (obowiązek podatkowy)
9. Twoje prawa
Na podstawie RODO (art. 15–22 oraz 7 ust. 3) przysługują Ci następujące prawa:
- Dostęp do danych (art. 15) — możesz otrzymać kopię swoich danych
- Sprostowanie (art. 16) — możesz poprawić nieaktualne lub błędne dane w ustawieniach
- Usunięcie / „bycie zapomnianym" (art. 17) — zobacz Usuwanie danych
- Ograniczenie przetwarzania (art. 18)
- Przenoszenie danych (art. 20) — eksport w formacie JSON dostępny w ustawieniach konta
- Sprzeciw (art. 21) — wobec przetwarzania opartego na uzasadnionym interesie
- Wycofanie zgody (art. 7 ust. 3) — w dowolnym momencie, dla danych przetwarzanych na podstawie zgody
- Skarga do organu nadzorczego — Prezes UODO, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl
Aby skorzystać z praw, napisz na rodo@auradeco.pl. Odpowiadamy bez zbędnej zwłoki, najpóźniej w terminie 1 miesiąca.
10. Cookies i analityka
Używamy plików cookies wyłącznie w zakresie niezbędnym do działania Platformy (autoryzacja sesji, zapamiętanie wyboru w bannerze cookies). Nie używamy cookies śledzących ani reklamowych. Pełna lista — na stronie Polityka cookies.
11. Bezpieczeństwo
Stosujemy następujące środki techniczne i organizacyjne (art. 32 RODO):
- szyfrowanie haseł algorytmem argon2id (nigdy nie przechowujemy haseł w postaci jawnej)
- transmisja danych w szyfrowanym HTTPS (TLS 1.2+)
- tokeny sesji w HttpOnly cookies (niedostępne dla JavaScript)
- hashowanie publicznych tokenów (portal klientki, oferty)
- rate-limiting i ochrona anty-bot (Cloudflare Turnstile)
- szyfrowanie at-rest dla bazy danych i magazynu obiektowego
- kontrola dostępu na poziomie firmy (multi-tenant isolation)
- regularne kopie zapasowe (rotacja Maksymalnie 30 dni rotacji)
- audyt prób logowania i lista aktywnych sesji
- aktualizacje bezpieczeństwa infrastruktury
12. Zmiany polityki
Politykę możemy aktualizować — o istotnych zmianach informujemy z 14-dniowym wyprzedzeniem (e-mailem oraz komunikatem w panelu). Aktualna wersja: 2026-06-06.1 z dnia 6 czerwca 2026. Archiwum poprzednich wersji udostępniamy na żądanie.