1. Administrator danych osobowych
W sprawach dotyczących ochrony danych osobowych prosimy o kontakt na adres e-mail kontakt@wedflow.pl lub pisemnie na adres siedziby.
2. Jakie dane zbieramy od użytkowników CRM
Jako użytkownik rejestrujący się w systemie WedFlow (fotograf lub wideograf ślubny), przetwarzamy następujące kategorie Twoich danych osobowych:
2.1 Dane rejestracyjne i konta
- Imię i nazwisko lub nazwa firmy
- Adres e-mail (login do systemu)
- Numer telefonu (opcjonalnie)
- Dane firmy: NIP, adres siedziby (do fakturowania — podawane opcjonalnie)
- Hasło (przechowywane wyłącznie w postaci zaszyfrowanego skrótu kryptograficznego — hash bcrypt)
2.2 Dane rozliczeniowe
- Historia transakcji i płatności subskrypcyjnych
- Wybrany plan subskrypcyjny i historia jego zmian
- Dane do faktury (jeśli Użytkownik o nią wystąpi)
- Numery kart płatniczych NIE są przechowywane przez WedFlow — przetwarzane wyłącznie przez Stripe, Inc.
2.3 Dane techniczne i logi systemowe
- Adres IP urządzenia
- Typ i wersja przeglądarki internetowej
- System operacyjny urządzenia
- Logi aktywności: logowania, operacje na danych, błędy systemowe
- Data i godzina dostępu
2.4 Dane konfiguracyjne
- Ustawienia konta i preferencje interfejsu
- Konfiguracja szablonów e-mail i automatyzacji
- Dane konfiguracyjne serwera SMTP (host, port, login — szyfrowane; hasło SMTP szyfrowane)
3. Dane klientów przetwarzane w imieniu użytkowników
Ważna informacja o rolach w przetwarzaniu danych.
Jako dostawca CRM pełnimy rolę podmiotu przetwarzającego (art. 4 pkt 8 RODO) w stosunku do danych osobowych klientów końcowych (par ślubnych i innych osób), które Użytkownicy wprowadzają do Systemu. Administratorem tych danych jest Użytkownik CRM (fotograf/wideograf), który odpowiada za posiadanie właściwej podstawy prawnej i informowanie klientów o przetwarzaniu ich danych.
Dane przetwarzane w imieniu Użytkowników obejmują zazwyczaj: imiona i nazwiska par, adresy e-mail, numery telefonu, adresy, daty ślubów i sesji, wartości zleceń, dokumenty i umowy, notatki.
Szczegółowe zasady przetwarzania reguluje Umowa Powierzenia Przetwarzania Danych zawarta w §9 Regulaminu korzystania z usługi WedFlow.
4. Podstawy prawne przetwarzania danych użytkowników CRM
| Cel przetwarzania | Podstawa prawna RODO |
|---|
| Świadczenie usługi CRM, realizacja umowy subskrypcji | Art. 6 ust. 1 lit. b (wykonanie umowy) |
| Wystawianie faktur, obowiązki podatkowe | Art. 6 ust. 1 lit. c (obowiązek prawny) |
| Bezpieczeństwo systemu, wykrywanie nadużyć | Art. 6 ust. 1 lit. f (prawnie uzasadniony interes) |
| Nagrania głosowe (voice notes) Użytkownika | Art. 6 ust. 1 lit. f (uzasadniony interes prowadzenia działalności) |
| Wysyłka powiadomień o zmianach usługi | Art. 6 ust. 1 lit. b (wykonanie umowy) |
| Newsletter, komunikacja marketingowa | Art. 6 ust. 1 lit. a (zgoda — jeśli wyrażona) |
5. Przetwarzanie przez sztuczną inteligencję (AI)
5.1 Jak działa funkcja AI w WedFlow
System WedFlow oferuje funkcję generowania treści tekstowych przy użyciu modeli językowych. W celu wygenerowania treści, dane wprowadzone przez Użytkownika do promptu (np. imię klienta, opis zlecenia) są przesyłane do zewnętrznego dostawcy modeli AI.
5.2 Dostawca AI
5.3 Kluczowe informacje
- Trenowanie modeli: Anthropic nie używa danych przesyłanych przez API do trenowania swoich modeli językowych.
- Przechowywanie przez Anthropic: Dane z zapytań API mogą być przechowywane przez ograniczony czas wyłącznie do celów bezpieczeństwa i zapobiegania nadużyciom. Szczegóły: privacy.anthropic.com.
- Transfer danych do USA: Realizowany na podstawie Standardowych Klauzul Umownych (SCC) lub EU-US Data Privacy Framework (DPF).
- Zakres przesyłanych danych: Do AI przesyłane są wyłącznie dane, które Użytkownik aktywnie wprowadza do pola promptu. WedFlow nie przesyła automatycznie wszystkich danych klientów do Anthropic.
- Rezygnacja z AI: Użytkownik może nie korzystać z funkcji AI bez utraty dostępu do pozostałych funkcji CRM.
6. Nagrania głosowe (voice notes)
6.1 Charakter nagrań
Funkcja nagrań głosowych w WedFlow służy wyłącznie do rejestrowania monologu Użytkownika — własnych notatek, komentarzy i spostrzeżeń fotografa dotyczących zlecenia. System nie jest przeznaczony do nagrywania rozmów z innymi osobami.
6.2 Bezpieczeństwo nagrań
| Aspekt | Zastosowane zabezpieczenie |
|---|
| Transmisja | Szyfrowanie TLS 1.2 lub wyższe |
| Przechowywanie na serwerze | Szyfrowanie danych w spoczynku (serwer dhosting.pl, Polska) |
| Dostęp | Wyłącznie właściciel konta; administratorzy systemu wyłącznie w uzasadnionych przypadkach technicznych |
| Transkrypcja | Brak — system nie transkrybuje nagrań automatycznie |
6.3 Podstawa prawna i okres przechowywania
- Podstawa prawna: Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Użytkownika w prowadzeniu własnej działalności i dokumentowaniu ustaleń dotyczących zleceń.
- Okres przechowywania: Przez czas aktywnej subskrypcji + 7 dni po jej zakończeniu, po czym nagrania są trwale usuwane.
6.4 Obowiązki Użytkownika
Jeśli Użytkownik zdecyduje się nagrywać rozmowy z innymi osobami (np. klientami), jest zobowiązany do poinformowania tych osób o fakcie nagrywania przed rozpoczęciem rejestracji, uzyskania ich zgody lub posiadania innej właściwej podstawy prawnej, oraz postępowania zgodnie z obowiązującymi przepisami prawa.
7. Automatyczne wiadomości e-mail
7.1 Model wysyłki e-maili
WedFlow umożliwia wysyłanie e-maili do Klientów Użytkownika wyłącznie za pośrednictwem serwera SMTP skonfigurowanego przez samego Użytkownika. WedFlow nie posiada własnego centralnego dostawcy e-mail transakcyjnego — każdy Użytkownik konfiguruje własny serwer lub konto u wybranego przez siebie dostawcy poczty.
7.2 Role i odpowiedzialność
- Użytkownik — administrator danych i nadawca wiadomości e-mail do swoich Klientów; odpowiada za treść i podstawę prawną wysyłki.
- WedFlow — podmiot przetwarzający; przetwarza adresy e-mail Klientów wyłącznie w celu realizacji wysyłki na polecenie Użytkownika.
- Zewnętrzny dostawca SMTP wybrany przez Użytkownika — przetwarza dane na własnych zasadach; Użytkownik jest odpowiedzialny za zapoznanie się z polityką prywatności wybranego dostawcy.
7.3 Zakaz spamu
WedFlow zabrania używania Systemu do wysyłki niechcianych wiadomości e-mail (spam). Szczegóły w §7 Regulaminu korzystania z usługi WedFlow.
8. Okres przechowywania danych
| Rodzaj danych | Okres przechowywania | Uzasadnienie |
|---|
| Dane konta Użytkownika | Czas trwania subskrypcji + 30 dni | Możliwość eksportu danych i reaktywacji konta |
| Dane rozliczeniowe / faktury | 5 lat od końca roku podatkowego | Obowiązek wynikający z przepisów podatkowych |
| Dane Klientów Użytkownika | Czas trwania subskrypcji + 30 dni | Umowa powierzenia przetwarzania danych |
| Nagrania głosowe | Czas trwania subskrypcji + 7 dni | Minimalizacja danych (art. 5 ust. 1 lit. e RODO) |
| Logi systemowe i bezpieczeństwa | 12 miesięcy | Wykrywanie nadużyć, uzasadniony interes |
| Dane przesłane do AI (Anthropic) | Zgodnie z polityką Anthropic | privacy.anthropic.com |
| Kopie zapasowe bazy danych | Maksymalnie 90 dni | Odtworzenie systemu po awarii |
| Dane do obrony przed roszczeniami | Do 3 lat od zakończenia umowy | Uzasadniony interes prawny |
9. Odbiorcy danych — podprzetwarzający
| Dostawca | Kraj siedziby | Rola | Informacje / DPA |
|---|
| dhosting.pl |
Polska (UE) |
Hosting serwera aplikacji i bazy danych |
dhosting.pl |
| Anthropic PBC |
USA |
Modele językowe AI (Claude API) |
privacy.anthropic.com · DPA |
| Stripe, Inc. |
USA |
Obsługa płatności subskrypcyjnych |
stripe.com/privacy |
Transfer danych do Stanów Zjednoczonych
Usługi Anthropic PBC oraz Stripe, Inc. są świadczone przez firmy z siedzibą w USA. Transfer danych osobowych do Stanów Zjednoczonych odbywa się na podstawie Standardowych Klauzul Umownych (SCC) przyjętych przez Komisję Europejską (decyzja wykonawcza 2021/914/UE) lub EU-US Data Privacy Framework (DPF) — jeśli dostawca posiada aktualne certyfikaty w ramach programu DPF.
WedFlow nie korzysta z usług dostawców analitycznych (brak Google Analytics, Mixpanel ani podobnych narzędzi). WedFlow nie korzysta z usług CDN przetwarzających dane osobowe użytkowników.
10. Prawa osób, których dane dotyczą
Przysługują Ci następujące prawa związane z przetwarzaniem Twoich danych osobowych:
- Prawo dostępu (art. 15 RODO) — masz prawo uzyskać informację, czy i jakie Twoje dane przetwarzamy, oraz otrzymać ich kopię.
- Prawo do sprostowania (art. 16 RODO) — masz prawo żądać poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych. Większość danych możesz zaktualizować samodzielnie w Panelu Administracyjnym.
- Prawo do usunięcia (art. 17 RODO) — masz prawo żądać usunięcia swoich danych („prawo do bycia zapomnianym"), o ile nie istnieje inna podstawa prawna do ich dalszego przechowywania (np. obowiązki podatkowe, obrona przed roszczeniami).
- Prawo do ograniczenia przetwarzania (art. 18 RODO) — w określonych przypadkach możesz żądać ograniczenia przetwarzania Twoich danych (np. gdy kwestionujesz ich prawidłowość).
- Prawo do przenoszenia danych (art. 20 RODO) — masz prawo otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie (JSON/CSV). Eksport danych jest dostępny bezpośrednio w Panelu Administracyjnym.
- Prawo sprzeciwu (art. 21 RODO) — masz prawo wnieść sprzeciw wobec przetwarzania Twoich danych na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO).
- Prawa związane z zautomatyzowanym przetwarzaniem (art. 22 RODO) — WedFlow nie stosuje w pełni zautomatyzowanego podejmowania decyzji wywołujących skutki prawne. Funkcje AI mają charakter pomocniczy i wymagają aktywnego zatwierdzenia przez Użytkownika.
- Cofnięcie zgody — jeśli przetwarzanie odbywa się na podstawie zgody (art. 6 ust. 1 lit. a RODO), masz prawo w dowolnym momencie cofnąć zgodę, bez wpływu na legalność przetwarzania dokonanego przed jej cofnięciem.
Jak skorzystać z przysługujących praw:
E-mailem:
kontakt@wedflow.pl (w tytule: „Wniosek RODO — [rodzaj prawa]")
Pisemnie: DC Tomasz Kulesa, Szynwałd 102C, 33-158 Szynwałd
Termin odpowiedzi: do 30 dni od otrzymania kompletnego wniosku (możliwość przedłużenia o 2 miesiące w złożonych sprawach).
11. Prawo do skargi do organu nadzorczego
Jeśli uważasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO, masz prawo wnieść skargę do organu nadzorczego:
Prezes Urzędu Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warszawa
Telefon: 606 950 000
E-mail: kancelaria@uodo.gov.pl
Strona internetowa:
www.uodo.gov.pl
12. Bezpieczeństwo danych
Wdrażamy następujące techniczne i organizacyjne środki ochrony danych:
Środki techniczne
- Szyfrowanie wszystkich połączeń z aplikacją (TLS 1.2+)
- Szyfrowanie danych wrażliwych w spoczynku (nagrania głosowe, konfiguracje SMTP)
- Hasła przechowywane wyłącznie jako bezpieczne skróty kryptograficzne (bcrypt)
- Możliwość aktywacji uwierzytelniania dwuskładnikowego (2FA) przez Użytkownika
- Kontrola dostępu oparta na rolach (system uprawnień)
- Regularne kopie zapasowe bazy danych (retencja: 90 dni)
- Separacja środowisk produkcyjnych i testowych
Środki organizacyjne
- Zasada minimalnych uprawnień (least privilege) przy dostępie do danych
- Procedura reagowania na naruszenia bezpieczeństwa — zgłoszenie do UODO w ciągu 72 godzin od wykrycia (art. 33 RODO)
- Powiadomienie Użytkowników w przypadku naruszenia mogącego powodować ryzyko dla ich praw i wolności (art. 34 RODO)
13. Pliki cookie
WedFlow używa wyłącznie plików cookie niezbędnych technicznie do działania serwisu. Nie stosujemy plików cookie analitycznych, reklamowych ani śledzących.
| Typ cookie | Cel | Czas przechowywania |
|---|
| Cookie sesji (session) | Utrzymanie stanu zalogowania Użytkownika | Do zakończenia sesji przeglądarki |
| Token CSRF | Ochrona przed atakami Cross-Site Request Forgery | Do zakończenia sesji przeglądarki |
| Preferencje interfejsu | Zapamiętanie ustawień wyglądu i języka aplikacji | Do 1 roku |
Ponieważ używamy wyłącznie plików cookie niezbędnych technicznie do świadczenia usługi, nie jest wymagana odrębna zgoda na ich stosowanie (art. 5 ust. 3 Dyrektywy ePrivacy 2002/58/WE).
14. Zmiany polityki prywatności
- O każdej istotnej zmianie niniejszej Polityki Prywatności poinformujemy Cię:
- wiadomością e-mail na adres przypisany do konta, oraz
- komunikatem wyświetlanym w Panelu Administracyjnym po zalogowaniu,
co najmniej 14 dni przed dniem wejścia w życie nowych postanowień.
- Poprzednie wersje Polityki Prywatności są dostępne na żądanie — prosimy o kontakt e-mailowy na adres kontakt@wedflow.pl.
- Data ostatniej aktualizacji jest zawsze widoczna na górze niniejszego dokumentu.
Usługodawca: DC Tomasz Kulesa · Szynwałd 102C, 33-158 Szynwałd · NIP: 9930557032 ·
kontakt@wedflow.pl
