SELVARA
ZalogujZałóż konto

Dokument prawny

Polityka prywatności

Wersja v1.0 · obowiązuje od 1 czerwca 2026

Ważne: dokument do zatwierdzenia prawniczego przed publicznym launch.

Krótko (TL;DR)

  • · Treści Twoich rozmów usuwamy po 24 godzinach.
  • · Email i basic profile data zachowujemy do czasu kasacji konta + 30 dni cooldown.
  • · Faktury VAT 5 lat (KSiR — wymóg prawny).
  • · Możesz wyeksportować/usunąć swoje dane w każdej chwili.
  • · Nie sprzedajemy danych. Nie używamy fingerprintingu.

1. Administrator danych

Administratorem Twoich danych osobowych jest Mariusz Cibor, prowadzący jednoosobową działalność gospodarczą (JDG), zarejestrowaną w CEIDG, NIP: [w trakcie rejestracji], adres korespondencyjny: Małopolska (szczegóły dostępne na żądanie).

Kontakt RODO:

2. Cele i podstawy prawne przetwarzania

Twoje dane przetwarzamy na podstawie:

  • Art. 6 ust. 1 lit. b RODO (wykonanie umowy) — świadczenie Usługi: konto, generowanie odpowiedzi AI, płatności, faktury;
  • Art. 6 ust. 1 lit. c RODO (obowiązek prawny) — przechowywanie faktur (KSiR, 5 lat), realizacja praw z RODO;
  • Art. 6 ust. 1 lit. f RODO (uzasadniony interes) — analityka Plausible (privacy-first), monitoring bezpieczeństwa, dochodzenie roszczeń;
  • Art. 6 ust. 1 lit. a RODO (zgoda) — newsletter marketing (możesz wycofać w każdej chwili).

3. Kategorie danych

Przetwarzamy następujące kategorie:

  • Dane konta: email, hasło (zhashowane), display name, data rejestracji;
  • Dane techniczne: adres IP (anonimizowany w analytics), user-agent przeglądarki, ID sesji;
  • Treść rozmów: pytania i odpowiedzi AI — usuwane po 24h;
  • Metadata rozmów: persona, data, czas, ilość tokenów (zachowywane permanentnie, bez treści);
  • Dane płatnicze: obsługiwane wyłącznie przez Stripe (nie mamy dostępu do numerów kart); my przechowujemy ID transakcji + payment metadata;
  • Faktury VAT: dane do faktury (NIP firmowy jeśli podany);
  • Audit log: logowanie, płatności, RODO requests — dla bezpieczeństwa i compliance.

4. Okresy przechowywania

  • Treści rozmów: 24 godziny od wysłania;
  • Konto i dane konta: do czasu usunięcia konta + 30 dni cooldown;
  • Faktury VAT i payment records: 5 lat (wymóg KSiR);
  • Audit log: 5 lat (wymóg compliance, prawnie uzasadniony interes);
  • Newsletter: do wycofania zgody;
  • Sentry error logs: 30 dni (anonimizowane, bez PII).

5. Odbiorcy danych

Twoje dane mogą być przekazywane następującym kategoriom odbiorców (procesorów):

  • Supabase (Frankfurt, EU) — hosting bazy danych i autentykacji;
  • Vercel (Frankfurt, EU) — hosting aplikacji;
  • Cloudflare (EU/global) — CDN, ochrona DDoS;
  • Stripe (Irlandia) — obsługa płatności, faktury VAT;
  • Anthropic (USA) — generowanie odpowiedzi AI (Claude). Transfer na podstawie Standard Contractual Clauses (SCC). Treści rozmów przesyłane do Anthropic w celu generacji, nie są wykorzystywane do trenowania modeli (zgodnie z ich polityką dla API customers);
  • Resend (USA, EU subprocessing) — wysyłka emaili transakcyjnych;
  • Plausible Analytics (Niemcy, EU) — analityka bez cookies;
  • Sentry (USA) — error tracking, dane anonimizowane.

Wszystkie podmioty przetwarzają dane na podstawie umów powierzenia (Data Processing Agreements). Transfer poza EOG (Anthropic, Resend, Sentry) odbywa się na podstawie Standard Contractual Clauses zatwierdzonych przez Komisję Europejską.

6. Twoje prawa (RODO art. 15-22)

Masz prawo do:

  • Dostępu do danych (art. 15) — eksport JSON w panelu konta;
  • Sprostowania (art. 16) — edycja danych w profilu;
  • Usunięcia (art. 17, "prawo do bycia zapomnianym") — kasacja konta z 30-dniowym cooldown;
  • Ograniczenia przetwarzania (art. 18) — kontakt na privacy@;
  • Przenoszenia danych (art. 20) — eksport JSON;
  • Sprzeciwu (art. 21) — w szczególności wobec marketingu;
  • Wycofania zgody w dowolnym momencie (newsletter, marketing);
  • Skargi do PUODO (Prezes Urzędu Ochrony Danych Osobowych) — uodo.gov.pl.

Realizujemy każde żądanie w ciągu 30 dni (zazwyczaj <7 dni). Kontakt: privacy@selvara.app.

7. Cookies i podobne technologie

Selvara używa minimalnej liczby cookies, podzielonych na 3 kategorie:

  • Niezbędne (zawsze włączone) — sesja logowania, koszyk Stripe, CSRF tokens;
  • Analityczne (uzasadniony interes art. 6 ust. 1 lit. f) — Plausible, NIE używa cookies (privacy-first), używamy LocalStorage do consent banner;
  • Marketingowe (za zgodą) — Y2+ pixele Meta/TikTok jeśli zaakceptujesz w cookie banner. Domyślnie wyłączone.

Możesz zarządzać preferencjami w cookie banner (pojawia się przy pierwszej wizycie) lub w ustawieniach przeglądarki.

8. Klasyfikator bezpieczeństwa (RODO art. 9)

Selvara używa automatycznego klasyfikatora bezpieczeństwa (oparty o Claude Haiku, model językowy AI) do wykrywania sygnałów kryzysu psychicznego w pytaniach. Może to obejmować przetwarzanie danych dotyczących zdrowia psychicznego (RODO art. 9).

Cel: wykrycie kryzysu i skierowanie do profesjonalnej pomocy (numery 112, 116 123).

Podstawa prawna: art. 9 ust. 2 lit. a RODO (wyraźna zgoda) — udzielana przy rejestracji.

NIE używamy klasyfikatora do profilowania marketingowego ani podejmowania decyzji o świadczeniu Usługi.

Dokument DPIA (Data Protection Impact Assessment) zostanie opublikowany w Q4 2026.

9. Bezpieczeństwo danych

Stosujemy techniczne i organizacyjne środki ochrony danych:

  • HTTPS (TLS 1.2+) na całej stronie, HSTS;
  • Hashowane hasła (bcrypt via Supabase);
  • Row-Level Security (RLS) na poziomie bazy danych;
  • Backup codzienny, retention 30 dni;
  • Sentry beforeSend hook scrubuje PII (email, IP);
  • Automatic 24h purge treści rozmów;
  • Code review każdej zmiany security-related (OWASP ASVS L1).

10. Zmiany polityki

Polityka może być zmieniana. O istotnych zmianach informujemy emailem przynajmniej 14 dni przed wejściem w życie. Wersja archiwalna dostępna na żądanie.

Wersja v1.0 · Selvara · 1 czerwca 2026 · Pełen kontakt: privacy@selvara.app

Skrót do Regulaminu, Polityki zwrotów, czy FAQ.
Polityka prywatności | Selvara