Polityka prywatności

1. Informacje ogólne

Niniejsza Polityka prywatności opisuje zasady przetwarzania danych osobowych w serwisie DropAi.ovh. Dokument realizuje obowiązek informacyjny wynikający z art. 13 RODO, a w zakresie danych pozyskiwanych nie bezpośrednio od osoby, także z art. 14 RODO.

Polityka obejmuje dane przekazywane podczas korzystania z konta użytkownika, formularzy kontaktowych, zakupu kredytów, funkcji przetwarzania plików oraz publikacji materiałów przez Strony udostępniania.

W dokumencie odwołujemy się do: Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. ("RODO"), a w zakresie cookies i technologii podobnych także do ustawy z dnia 12 lipca 2024 r. Prawo komunikacji elektronicznej (w szczególności art. 399-400).

2. Administrator danych i kontakt

Administrator danych: SMOVE sp. z o.o.

Adres siedziby: ul. Przemysłowa 14, 44-190 Knurów, Polska

E-mail: Pokaż adres e-mail

Telefon: nie podano

Formularz kontaktowy: /contact

Kontakt w sprawach prywatności i realizacji praw RODO: Pokaż adres e-mail

3. Zakres danych i źródła

Kategorie danych

• dane identyfikacyjne i kontowe (np. e-mail, identyfikator użytkownika, ustawienia konta i preferencje językowe),
• dane dotyczące korzystania z usług (np. prompty, parametry zleceń, metadane zadań, historia operacji, logi wykonania, ustawienia Stron udostępniania i brandingu),
• dane plików przesyłanych do przetwarzania i wyników przetwarzania (w tym wizerunek, twarz lub inne dane widoczne na zdjęciu albo wideo),
• dane techniczne przekazywane w ramach realizacji zlecenia AI (np. publiczne URL plików wejściowych, identyfikator predykcji, statusy, metryki i logi modelu),
• dane rozliczeniowe i transakcyjne (np. historia zakupu kredytów, identyfikatory płatności Stripe oraz opłata terminalna dla statusu failed/canceled wynosząca aktualnie 0,0100 kredytu za zlecenie),
• dane kontaktowe i treść korespondencji (formularz kontaktowy, e-mail),
• dane techniczne i bezpieczeństwa (np. IP, user-agent, identyfikatory sesji, tokeny antybotowe, logi serwera).

Źródła danych (art. 14 RODO)

• co do zasady dane otrzymujemy bezpośrednio od Ciebie podczas korzystania z serwisu,
• w przypadku płatności część danych otrzymujemy od operatora płatności Stripe (np. status transakcji, identyfikator płatności),
• w przypadku realizacji zleceń AI otrzymujemy także dane zwrotne od dostawcy AI Replicate, Inc. (np. status predykcji, metadane czasu, adresy plików wynikowych i logi techniczne),
• w scenariuszach eventowych, agencyjnych lub B2B część zdjęć i danych uczestników może zostać przesłana przez posiadacza konta, organizatora wydarzenia, operatora fotobudki lub inny podmiot działający na rzecz uczestników albo klienta,
• jeżeli dane pochodzą od podmiotu trzeciego, przekazujemy dodatkową klauzulę informacyjną w terminach z art. 14 RODO, o ile jest to wymagane.

4. Cele i podstawy prawne

• założenie i prowadzenie konta oraz świadczenie usługi: art. 6 ust. 1 lit. b RODO (wykonanie umowy),
• realizacja zleceń AI z wykorzystaniem zewnętrznego podmiotu przetwarzającego (Replicate): art. 6 ust. 1 lit. b RODO, a w zakresie bezpieczeństwa i niezawodności także art. 6 ust. 1 lit. f RODO,
• obsługa płatności, rozliczeń i obowiązków podatkowo-księgowych: art. 6 ust. 1 lit. b i c RODO,
• obsługa zapytań i korespondencji: art. 6 ust. 1 lit. b lub f RODO,
• zapewnienie bezpieczeństwa serwisu (w tym ochrona przed nadużyciami i botami): art. 6 ust. 1 lit. f RODO,
• ustalenie, dochodzenie lub obrona przed roszczeniami: art. 6 ust. 1 lit. f RODO,
• publikacja i dostarczanie plików wynikowych przez publiczne Strony udostępniania i galerie na żądanie Użytkownika: art. 6 ust. 1 lit. b RODO, a w razie potrzeby także art. 6 ust. 1 lit. f RODO,
• działania marketingowe wymagające zgody (jeżeli są uruchamiane): art. 6 ust. 1 lit. a RODO.

Prawnie uzasadniony interes administratora obejmuje w szczególności: zapewnienie ciągłości działania usługi, bezpieczeństwo infrastruktury, ochronę przed nadużyciami, obsługę użytkownika oraz dochodzenie roszczeń.

5. Odbiorcy danych

Dane mogą być ujawniane następującym kategoriom odbiorców:

• dostawca hostingu i infrastruktury serwerowej: dhosting.pl (Polska),
• dostawca poczty i narzędzi komunikacyjnych (SMTP),
• operator płatności: Stripe,
• dostawca technologii AI i podmiot przetwarzający: Replicate, Inc. (USA) - realizacja predykcji, przetwarzanie promptów, parametrów i URL plików wejściowych oraz zwrot plików wynikowych, logów i metryk,
• infrastruktura doręczania plików wynikowych powiązana z usługą Replicate (replicate.delivery i subdomeny),
• podwykonawcy dostawcy AI wskazani w aktualnej liście podprocesorów Replicate,
• dostawca zabezpieczeń antybotowych (Google reCAPTCHA v3),
• dostawcy zasobów front-end ładowanych z zewnętrznych CDN (np. jsDelivr, Google Fonts),
• odbiorcy publicznych linków do Stron udostępniania oraz - po publicznym opublikowaniu linku - wyszukiwarki, komunikatory i serwisy społecznościowe generujące podglądy lub indeksujące publiczne strony,
• uprawnieni odbiorcy na podstawie przepisów prawa (np. organy publiczne).

6. Transfer danych poza EOG

Co do zasady dane są przetwarzane w Europejskim Obszarze Gospodarczym. Przy realizacji zleceń AI dane (w szczególności treść promptu, URL plików wejściowych oraz metadane predykcji) są przekazywane do Replicate, Inc. z siedzibą w USA, co stanowi transfer poza EOG.

W takim przypadku stosujemy mechanizmy zgodne z rozdziałem V RODO, w szczególności decyzję stwierdzającą odpowiedni stopień ochrony (np. dla podmiotów objętych EU-US Data Privacy Framework) albo standardowe klauzule umowne (SCC), w razie potrzeby uzupełnione o dodatkowe zabezpieczenia. Informację o aktualnie stosowanym mechanizmie dla konkretnego odbiorcy można uzyskać kontaktując się z administratorem.

7. Okres przechowywania danych

• dane konta: przez czas trwania umowy/konta, a następnie do upływu terminów przedawnienia roszczeń,
• dane rozliczeniowe i księgowe: przez okres wymagany przepisami prawa podatkowego i rachunkowego,
• dane z formularza kontaktowego i korespondencji: do 24 miesięcy od zamknięcia sprawy lub dłużej, gdy jest to konieczne dla roszczeń,
• dane techniczne i bezpieczeństwa (logi): przez okres niezbędny do zapewnienia bezpieczeństwa i diagnozy incydentów,
• dane przekazywane do Replicate przez API predykcji (input/output/logs): po stronie Replicate domyślnie usuwane po około 1 godzinie od zakończenia predykcji (zgodnie z dokumentacją API dostawcy),
• metadane zleceń zapisywane u nas (np. statusy, identyfikatory predykcji, parametry i payloady techniczne): przez okres niezbędny do rozliczeń, obsługi reklamacji i obrony przed roszczeniami,
• ustawienia zgód cookies (CMP): w przeglądarce do 180 dni lub do zmiany/usunięcia; na koncie użytkownika do czasu zmiany ustawień lub usunięcia konta,
• cookie ograniczenia ponownej wysyłki prośby o ceny netto (dropai_net_pricing_request): w przeglądarce do 48 godzin lub do usunięcia,
• ustawienia Stron udostępniania i pliki brandingu: do czasu ich zmiany, usunięcia konta lub usunięcia przez Użytkownika, chyba że dłuższe przechowywanie jest konieczne dla roszczeń lub bezpieczeństwa,
• pliki użytkownika przechowywane na dysku: 90 dni; po tym czasie pliki są bezpowrotnie usuwane z dysku i nie podlegają odzyskaniu; rekordy w bazie danych mogą pozostać dłużej.

8. Role administratora, Użytkownika i galerie publiczne

W odniesieniu do danych konta, rozliczeń, bezpieczeństwa, zgłoszeń i bieżącej obsługi Serwisu działamy jako administrator danych.

W scenariuszach eventowych, agencyjnych, B2B lub fotobudkowych Użytkownik, organizator wydarzenia albo operator może samodzielnie decydować, czy i jakie dane uczestników są zbierane, przesyłane do Serwisu, przetwarzane przez AI lub publikowane. W takim zakresie Użytkownik może działać jako odrębny administrator danych uczestników, a my możemy przetwarzać te dane jako dostawca techniczny działający na jego zlecenie, niezależnie od naszej roli administratora wobec danych konta, rozliczeń i bezpieczeństwa.

Publiczne Strony udostępniania i galerie są projektowane do dostępu przez link. Jeżeli Użytkownik sam udostępni taki link, materiały oraz metadane podglądu mogą stać się dostępne dla odbiorców linku i zewnętrznych usług generujących podglądy albo indeksujących publiczne treści. Usunięcie materiału z naszego Serwisu nie gwarantuje natychmiastowego usunięcia go z zewnętrznych pamięci podręcznych lub indeksów.

9. Zdjęcia, twarze, dane szczególnych kategorii i małoletni

Serwis przetwarza twarze i inne elementy widoczne na zdjęciu wyłącznie jako część obrazu niezbędną do wykonania zlecenia AI i dostarczenia wyniku. W naszych własnych systemach nie udostępniamy funkcji przeznaczonej do rozpoznawania twarzy, weryfikacji tożsamości ani budowy trwałych szablonów biometrycznych.

W naszych własnych systemach nie wykorzystujemy samodzielnie przesłanych plików do trenowania własnych modeli AI. Przetwarzanie AI odbywa się z wykorzystaniem dostawców zewnętrznych i wybranych modeli, których własne regulaminy i polityki prywatności mogą wpływać na sposób przetwarzania danych po ich stronie.

Serwis nie jest przeznaczony do bezpośredniego używania przez dzieci jako posiadaczy kont. Jeżeli przesyłasz zdjęcia małoletnich albo dane szczególnych kategorii, musisz posiadać właściwą podstawę prawną, a gdy jest to wymagane - zgodę rodzica, opiekuna prawnego lub inną ważną podstawę wynikającą z przepisów.

10. Prawa użytkownika i skarga do UODO

Przysługują Ci prawa do:

• dostępu do danych,
• sprostowania danych,
• usunięcia danych ("prawo do bycia zapomnianym"),
• ograniczenia przetwarzania,
• przenoszenia danych,
• wniesienia sprzeciwu wobec przetwarzania opartego na art. 6 ust. 1 lit. f RODO,
• cofnięcia zgody w dowolnym momencie (gdy podstawą jest zgoda; bez wpływu na zgodność przetwarzania sprzed cofnięcia).

Prawo do wglądu w wszystkie zarejestrowane dane: możesz zażądać informacji o wszystkich danych osobowych, które system zarejestrował na Twój temat, w tym kopii danych (art. 15 RODO). Wniosek należy wysłać na adres Pokaż adres e-mail.

Prawo do usunięcia danych: możesz zażądać bezpowrotnego usunięcia konta oraz treści utworzonych w serwisie (art. 17 RODO). Wniosek należy wysłać na adres Pokaż adres e-mail. Prawo to realizujemy niezwłocznie, z zastrzeżeniem danych, których dalsze przechowywanie jest wymagane przepisami prawa (np. dokumentacja księgowa) lub niezbędne do obrony przed roszczeniami.

Realizacja powyższych praw obejmuje również dane przetwarzane przez naszych podmiotów przetwarzających (w tym Replicate) w zakresie, w jakim mamy do nich dostęp i możemy skutecznie wykonać żądanie.

Na żądania dotyczące praw osób, których dane dotyczą, odpowiadamy bez zbędnej zwłoki, co do zasady w terminie 1 miesiąca od ich otrzymania, z możliwością przedłużenia w przypadkach przewidzianych przez RODO.

Masz również prawo wnieść skargę do organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

11. Dobrowolność podania danych

Podanie danych jest dobrowolne, ale w wielu przypadkach niezbędne do zawarcia i wykonania umowy (np. rejestracja konta, realizacja zleceń, płatność). Niepodanie danych wymaganych do danej czynności może uniemożliwić skorzystanie z usługi lub jej części.

Zakres przesyłanych materiałów powinien być ograniczony do danych niezbędnych do wykonania efektu, realizacji zlecenia albo publikacji materiałów. Jeżeli istnieje mniej inwazyjny sposób osiągnięcia celu, należy go preferować.

12. Profilowanie i zautomatyzowane decyzje

Administrator nie podejmuje wobec użytkowników decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na użytkownika wyłącznie w oparciu o zautomatyzowane przetwarzanie danych, w tym profilowanie.

13. Cookies i narzędzia analityczne/marketingowe

Serwis wykorzystuje cookies i podobne technologie (w tym localStorage) w celach niezbędnych, funkcjonalnych i bezpieczeństwa. Na dzień publikacji tej wersji nie używamy aktywnych pikseli marketingowych ani narzędzi typu Google Analytics, Meta Pixel, Hotjar czy Microsoft Clarity.

Zasady dotyczące przechowywania informacji na urządzeniu użytkownika i uzyskiwania do nich dostępu realizujemy zgodnie z Prawem komunikacji elektronicznej (art. 399-400). Zgoda jest wymagana dla technologii innych niż ściśle niezbędne do świadczenia usługi.

Cookies niezbędne do działania serwisu są wykorzystywane bez konieczności uzyskania odrębnej zgody. Jeżeli w przyszłości wdrożymy cookies analityczne lub marketingowe, będą one uruchamiane dopiero po uzyskaniu zgody użytkownika (baner cookies z opcjami akceptacji/odrzucenia i ustawień szczegółowych).

Ustawieniami cookies możesz zarządzać na poziomie przeglądarki, przez stały link "Ustawienia cookies" w stopce oraz (po zalogowaniu) w ustawieniach konta użytkownika. Zmiana zgody jest dostępna w dowolnym momencie.

14. Bezpieczeństwo i zmiany polityki

Stosujemy środki organizacyjne i techniczne adekwatne do ryzyka, w tym szyfrowanie transmisji (SSL/TLS), kontrolę dostępu, mechanizmy autoryzacji, ochronę przed nadużyciami, logiczną separację zasobów użytkowników oraz monitoring bezpieczeństwa usług.

Infrastruktura hostingu znajduje się w Polsce (dhosting.pl), w środowisku deklarowanym przez dostawcę jako spełniające wymagania klasy Tier-3 (ANSI/TIA-942), z redundancją zasilania, systemami monitoringu i zabezpieczeń fizycznych.

Treść polityki może być aktualizowana wraz ze zmianami prawnymi, organizacyjnymi lub technologicznymi. Aktualna wersja obowiązuje od daty wskazanej na początku dokumentu.