Polityka Prywatności
Wersja 1.0 · obowiązuje od 2026-04-18
1. Administrator danych osobowych
Administratorem Twoich danych osobowych jest:
CodeCasa Sp. z o.o.
ul. Młynarska 42/115, 01-171 Warszawa
NIP: 5273169002
E-mail: biuro.codecasa@proton.me
W sprawach ochrony danych osobowych: biuro.codecasa@proton.me
2. Podstawy prawne przetwarzania
Dane osobowe przetwarzamy zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO), ustawą o ochronie danych osobowych oraz innymi przepisami prawa polskiego. Podstawy prawne:
- art. 6 ust. 1 lit. b RODO — wykonanie umowy (świadczenie Usługi, rozliczenia, obsługa konta).
- art. 6 ust. 1 lit. c RODO — obowiązek prawny (przepisy podatkowe, rachunkowe, podatkowe księgi, JPK_VAT).
- art. 6 ust. 1 lit. f RODO — uzasadniony interes Administratora (bezpieczeństwo Usługi, dochodzenie roszczeń, zapobieganie nadużyciom, analityka techniczna).
- art. 6 ust. 1 lit. a RODO — zgoda (marketing, cookies analityczne, newsletter).
3. Kategorie przetwarzanych danych
| Kategoria | Przykłady | Cel | Okres retencji |
|---|---|---|---|
| Dane konta | e-mail, zaszyfrowane hasło, ID konta | Uwierzytelnianie, świadczenie Usługi | Do usunięcia konta + 30 dni |
| Historia konwersacji | Pytania, odpowiedzi AI, załączniki | Świadczenie Usługi, ciągłość rozmów | Do 24 miesięcy od ostatniej aktywności |
| Dane rozliczeniowe | Historia płatności, ID Stripe, faktury | Rozliczenia, wykonanie umowy, obowiązki podatkowe | 6 lat (art. 86 Ordynacji podatkowej, art. 74 Ustawy o rachunkowości) |
| Dane techniczne | Logi, skrót (hash) IP, user-agent | Bezpieczeństwo, diagnostyka, zapobieganie nadużyciom | 12 miesięcy |
| Zgody prawne | Akceptacja Regulaminu, zgoda na natychmiastowe świadczenie | Dowód zawarcia umowy | 6 lat po wygaśnięciu umowy |
4. Odbiorcy danych (procesorzy i podmioty przetwarzające)
Twoje dane mogą zostać powierzone do przetwarzania zaufanym podmiotom świadczącym dla nas usługi techniczne. Każdy z nich został poddany weryfikacji pod kątem zgodności z RODO, a dane są przekazywane na podstawie umowy powierzenia lub standardowych klauzul umownych (SCC) w przypadku przekazywania poza EOG:
| Podmiot | Rola | Lokalizacja | Podstawa transferu |
|---|---|---|---|
| Supabase Inc. | Hosting bazy danych i uwierzytelniania | Serwery EU (Frankfurt, DE) | EOG — brak transferu |
| Stripe Payments Europe, Ltd. | Operator płatności, faktury | Irlandia (EU) z dostępem Stripe Inc. (USA) | SCC + DPF (Data Privacy Framework USA-EU) |
| Mistral AI SAS | Dostawca modelu AI przetwarzający treść zapytań i załączników (czat, filtr tematyczny, opis planu remontowego oraz embeddingi RAG do wyszukiwania w bazie aktów prawnych) | Francja (EU) | EOG — brak transferu |
| Render.com (Render Services, Inc.) | Hosting aplikacji (serwer Next.js) | USA | SCC + DPF |
Polityki prywatności procesorów: Supabase, Stripe, Mistral AI, Render.
5. Przekazywanie treści konwersacji do modelu AI
WAŻNE: Zapytania przesyłane do asystenta oraz wysyłane załączniki są przekazywane do zewnętrznego modelu AI (Mistral AI, dostawca z siedzibą we Francji) w celu wygenerowania odpowiedzi. Treść zapytania jest również przetwarzana przez Mistral AI w celu wygenerowania wektora (embeddingu) na potrzeby wyszukiwania w bazie aktów prawnych (RAG).
Nie udostępniaj w zapytaniach numerów PESEL, haseł, danych karty płatniczej, danych medycznych ani informacji objętych tajemnicą zawodową bez wyraźnej potrzeby. Traktuj Usługę tak samo jak kontakt z zewnętrznym konsultantem.
Zgodnie z polityką Mistral AI dane przekazane przez API w ramach płatnego planu (La Plateforme) nie są domyślnie wykorzystywane do trenowania modeli. Szczegóły: https://mistral.ai/terms/#privacy-policy.
6. Twoje prawa
- Dostęp (art. 15 RODO) — otrzymanie kopii Twoich danych.
- Sprostowanie (art. 16 RODO) — poprawa błędnych danych.
- Usunięcie / „prawo do bycia zapomnianym” (art. 17 RODO) — z zastrzeżeniem obowiązków prawnych (np. dane rozliczeniowe 6 lat).
- Ograniczenie przetwarzania (art. 18 RODO).
- Przenoszenie danych (art. 20 RODO) — otrzymanie danych w formacie JSON.
- Sprzeciw (art. 21 RODO) — wobec przetwarzania opartego na uzasadnionym interesie.
- Wycofanie zgody (art. 7 ust. 3 RODO) — w zakresie, w którym podstawą była zgoda (marketing, cookies).
- Skarga do Prezesa UODO — ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.
Aby skorzystać z praw, skontaktuj się z nami pod adresem biuro.codecasa@proton.me. Odpowiadamy najpóźniej w ciągu 30 dni (z możliwością przedłużenia do 60 dni w skomplikowanych sprawach).
7. Bezpieczeństwo
- Szyfrowanie transmisji (TLS 1.2+).
- Szyfrowanie danych w spoczynku po stronie dostawców (Supabase: AES-256).
- Hasła są przechowywane wyłącznie w postaci skrótów (bcrypt) — nie znamy Twojego hasła.
- Zasada minimum uprawnień (RLS w bazie, segregacja kluczy API).
- Rate limiting, walidacja danych wejściowych, nagłówki bezpieczeństwa (CSP, HSTS, X-Frame-Options).
- Regularne audyty bezpieczeństwa i aktualizacje zależności.
8. Zautomatyzowane podejmowanie decyzji
NostraCasa wykorzystuje AI wyłącznie do generowania informacji w odpowiedzi na Twoje zapytania. Nie stosujemy zautomatyzowanego podejmowania decyzji wywołującego wobec Ciebie skutki prawne lub istotnie na Ciebie wpływającego w rozumieniu art. 22 RODO.
9. Ocena skutków dla ochrony danych (DPIA)
Mamy świadomość, że — z uwagi na charakter usługi (asystent AI, do którego użytkownicy mogą kierować pytania potencjalnie zawierające szczególne kategorie danych w rozumieniu art. 9 RODO) — przetwarzanie może podlegać obowiązkowi przeprowadzenia oceny skutków dla ochrony danych (DPIA), o której mowa w art. 35 RODO.
Czynniki, które bierzemy pod uwagę przy analizie:
- treść zapytań kierowanych do asystenta AI (mogą zawierać szczególne kategorie danych w rozumieniu art. 9 RODO — np. informacje o sporach sądowych, długach, konfliktach we wspólnocie);
- profil budynku przekazywany dobrowolnie przez użytkownika (kontekst wzbogacający odpowiedzi);
- retencja historii rozmów do 24 miesięcy (sekcja 3 powyżej);
- przekazanie treści do dostawcy AI (Mistral AI — odpowiedzi oraz embeddingi RAG) — sekcja 5.
Status prac: w obecnej fazie projektu (publiczna wersja beta) nie zakończyliśmy jeszcze formalnej dokumentacji DPIA ani rejestru czynności przetwarzania (RCPD/RoPA) w rozumieniu art. 30 RODO. Te dokumenty zostaną sporządzone — przy wsparciu zewnętrznego doradcy / IOD — przed przejściem usługi z fazy beta do pełnej eksploatacji komercyjnej i zostaną udostępnione organowi nadzorczemu na żądanie. Skala obecnego przetwarzania (ograniczona liczba użytkowników w trybie testowym, brak płatnych planów jako mechanizm ograniczający ruch) jest brana pod uwagę przy ocenie pilności tych prac.
Środki organizacyjne i techniczne, które już wdrożyliśmy (niezależnie od formalnej DPIA) i które ograniczają ryzyko dla osób, których dane dotyczą:
- jednoznaczne ostrzeżenie o interakcji z systemem AI wyświetlane przy starcie czatu (zgodnie z art. 50 AI Act);
- informacja w sekcji 5 powyżej z prośbą o nieumieszczanie w zapytaniach danych szczególnych, danych identyfikacyjnych (PESEL, dane kart, hasła) ani danych objętych tajemnicą zawodową;
- hashowanie adresów IP w mechanizmie audytu zgód (sól o długości 64 znaków hex po stronie serwera);
- szyfrowanie danych w spoczynku (Supabase / Postgres) oraz w tranzycie (TLS);
- ograniczone retencje (sekcja 3 powyżej) i prawo do usunięcia konta na żądanie;
- brak zautomatyzowanego podejmowania decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na osobę (art. 22 RODO).
Po wykonaniu formalnej DPIA jej streszczenie zostanie udostępnione w niniejszej Polityce, a pełna treść — na żądanie organu nadzorczego oraz, w odpowiednim zakresie, osoby, której dane dotyczą, pod adresem biuro.codecasa@proton.me. Jeżeli już teraz chcesz uzyskać dodatkowe informacje o przetwarzaniu Twoich danych — skontaktuj się z nami pod tym samym adresem.
10. Zmiany Polityki
O istotnych zmianach Polityki Prywatności poinformujemy Cię z co najmniej 14-dniowym wyprzedzeniem na adres e-mail przypisany do Twojego Konta.
11. Kontakt
W sprawach dotyczących ochrony danych osobowych: biuro.codecasa@proton.me