Ochrona danych

Polityka prywatności i RODO

Ostatnia aktualizacja: czerwiec 2026 r.

Niniejsza Polityka Prywatności opisuje zasady przetwarzania danych osobowych użytkowników platformy Allune.ai zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) oraz ustawą o ochronie danych osobowych.

§ 1. Administrator danych osobowych

Administratorem danych osobowych przetwarzanych w związku z korzystaniem z usługi Allune.ai jest właściciel platformy Allune.ai (dalej: „Administrator").

Adrian Sławniak

Samoklęski 109, 38-223 Osiek Jasielski

NIP: 6852266140

E-mail kontaktowy w sprawach ochrony danych: adrian@allune.ai

W sprawach związanych z przetwarzaniem danych osobowych oraz realizacją praw wynikających z RODO można kontaktować się z Administratorem na powyższy adres e-mail.

§ 2. Zakres zbieranych danych

Administrator przetwarza następujące kategorie danych osobowych:

2.1. Dane rejestracyjne

  • adres e-mail (wymagany do założenia konta i logowania);
  • dane karty płatniczej oraz informacje o transakcjach — przetwarzane wyłącznie przez operatora płatności Stripe (Administrator nie przechowuje pełnych numerów kart, zgodnie z normami PCI DSS).

2.2. Dane z dokumentów finansowych

Użytkownik dodaje faktury i rachunki na jeden z trzech sposobów: przekazując wiadomość e-mail z fakturą na adres @invoices.allune.ai, wgrywając plik (PDF lub zdjęcie) przez panel Allune.ai, lub ręcznie wypełniając formularz. Dokumenty mogą zawierać:

  • dane kontrahentów (nazwy, adresy, numery NIP/VAT);
  • kwoty, terminy płatności i szczegóły rozliczeń;
  • imię, nazwisko i adres użytkownika widoczne na fakturze.

Dokumenty przesyłane są do systemu analizy AI wyłącznie na zlecenie użytkownika. Model językowy AI zwraca zanonimizowaną wersję tekstu (z zastąpionymi danymi osobowymi klienta znacznikiem [UKRYTE]) — ta wersja jest przechowywana w bazie danych zamiast oryginału. Oryginalne pliki PDF i zdjęcia nie są trwale przechowywane przez Usługodawcę.

2.3. Dane techniczne i sesyjne

  • sesja uwierzytelniania zarządzana przez Supabase Auth (tokeny JWT / cookies sesyjne);
  • adres IP, typ przeglądarki, data i czas korzystania z Usługi (logi systemowe).

§ 3. Cel przetwarzania danych

Dane osobowe przetwarzane są w następujących celach:

  • Realizacja usługi — świadczenie asystenta finansowego Allune.ai, w tym odbiór, analiza AI i kategoryzacja przesłanych dokumentów oraz prezentacja wyników w panelu użytkownika;
  • Automatyczne przetwarzanie dokumentów — ekstrakcja danych z faktur (kwoty, daty, kontrahenci, kategoria wydatku) za pomocą modelu językowego GPT-4o-mini (OpenAI), z jednoczesną anonimizacją danych osobowych widocznych w treści dokumentu;
  • Wysyłka raportów e-mail — przesyłanie potwierdzenia zaksięgowania transakcji wraz z podsumowaniem monitorowanych usług (dotyczy planu Autopilot);
  • Obsługa płatności cyklicznych — rozliczanie subskrypcji Autopilot, wystawianie potwierdzeń i zarządzanie kontem rozliczeniowym;
  • Komunikacja z użytkownikiem — wiadomości powitalne, potwierdzenia, linki logowania (magic link) oraz odpowiedzi na zapytania;
  • Dochodzenie roszczeń i wypełnianie obowiązków prawnych — w zakresie przewidzianym przepisami prawa.

Podstawą prawną przetwarzania jest: wykonanie umowy (art. 6 ust. 1 lit. b RODO), wypełnienie obowiązku prawnego (lit. c) oraz prawnie uzasadniony interes Administratora (lit. f).

§ 4. Odbiorcy danych (powierzenie przetwarzania)

W celu prawidłowej realizacji Usługi Administrator powierza przetwarzanie danych osobowych zaufanym podmiotom trzecim na podstawie umów DPA (Data Processing Agreement) zgodnych z art. 28 RODO.

Supabase Inc.

Baza danych użytkowników, uwierzytelnianie (Supabase Auth), przechowywanie zanonimizowanych danych o fakturach i monitorowanych usługach. Dane przechowywane w centrum danych na terenie UE (region eu-central-1).

OpenAI, LLC

Analiza i ekstrakcja danych z przesłanych dokumentów za pomocą modelu GPT-4o-mini. Administrator korzysta z korporacyjnego API Enterprise — na podstawie umowy DPA z OpenAI treść przesyłanych dokumentów nie jest wykorzystywana do trenowania modeli AI.

Postmark (ActiveCampaign, LLC)

Odbieranie przychodzących wiadomości e-mail z fakturami przesyłanymi na adresy @invoices.allune.ai (inbound e-mail) — dotyczy planu Autopilot.

Nodemailer / dostawca SMTP

Wysyłka transakcyjnych wiadomości e-mail: linki logowania (magic link), potwierdzenia zaksięgowania faktury oraz raporty finansowe.

Stripe Payments Europe, Ltd.

Przetwarzanie płatności online, obsługa subskrypcji miesięcznych i rozliczeń kartowych (dotyczy planu Autopilot). Stripe jest certyfikowanym dostawcą PCI DSS.

Vercel Inc.

Hosting aplikacji Next.js, infrastruktura serwerowa oraz obsługa funkcji backendowych platformy (Edge/Node.js runtime).

Dane mogą być przekazywane poza Europejski Obszar Gospodarczy wyłącznie gdy podmiot odbierający zapewnia odpowiedni stopień ochrony (Standardowe Klauzule Umowne lub decyzja Komisji Europejskiej o adekwatności).

§ 5. Prawa użytkownika

Każdemu użytkownikowi przysługują następujące prawa wynikające z RODO:

  • Prawo dostępu — uzyskanie informacji o przetwarzanych danych oraz kopii danych;
  • Prawo do sprostowania — żądanie poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych;
  • Prawo do usunięcia danych („prawo do bycia zapomnianym") — w przypadkach przewidzianych w art. 17 RODO;
  • Prawo do ograniczenia przetwarzania — w sytuacjach określonych w art. 18 RODO;
  • Prawo do przenoszenia danych — otrzymanie danych w ustrukturyzowanym formacie;
  • Prawo do sprzeciwu — wobec przetwarzania opartego na prawnie uzasadnionym interesie Administratora;
  • Prawo do cofnięcia zgody — w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.

Aby skorzystać z powyższych praw, należy skontaktować się z Administratorem: adrian@allune.ai. Administrator odpowiada bez zbędnej zwłoki, nie później niż w ciągu 30 dni.

Użytkownik ma prawo wnieść skargę do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

§ 6. Okres przechowywania danych

Dane przechowywane są przez następujące okresy:

  • Dane konta (e-mail, profil) — przez czas aktywności konta, a po jego usunięciu przez okres wymagany przepisami prawa (maks. 5 lat);
  • Zanonimizowane dane faktur (dostawca, kwota, data, kategoria) — przez czas aktywności konta użytkownika; usuwane na żądanie;
  • Dane płatnicze — przechowywane przez Stripe zgodnie z ich własną polityką i wymogami PCI DSS; Administrator nie przechowuje tych danych samodzielnie;
  • Logi techniczne — maks. 90 dni, wyłącznie w celach diagnostycznych.

§ 7. Pliki cookies

Platforma Allune.ai wykorzystuje pliki cookies wyłącznie w zakresie niezbędnym technicznie do prawidłowego funkcjonowania Usługi.

Stosujemy cookies sesyjne służące utrzymaniu sesji zalogowanego użytkownika (zarządzane przez Supabase Auth) oraz zapewnieniu bezpieczeństwa połączenia. Cookies te nie służą profilowaniu marketingowemu ani śledzeniu w celach reklamowych.

Użytkownik może zarządzać plikami cookies w ustawieniach przeglądarki. Wyłączenie cookies technicznych może uniemożliwić korzystanie z funkcji wymagających aktywnej sesji.

§ 8. Postanowienia końcowe

Administrator stosuje środki techniczne i organizacyjne odpowiednie do ryzyka naruszenia praw i wolności osób fizycznych, w tym szyfrowanie transmisji (SSL/TLS), szyfrowanie danych w spoczynku (at-rest encryption), kontrolę dostępu oraz regularne przeglądy procedur bezpieczeństwa.

Polityka Prywatności może ulegać aktualizacji. O istotnych zmianach użytkownicy zostaną poinformowani drogą elektroniczną lub poprzez komunikat w Usłudze.

W sprawach dotyczących ochrony danych osobowych prosimy o kontakt: adrian@allune.ai.