Polityka Prywatności

Administratorem danych osobowych przetwarzanych w związku z korzystaniem z serwisu internetowego dostępnego pod adresem oraculum.pl (dalej jako: “Serwis”) jest Sonate spółka z ograniczoną odpowiedzialnością z siedzibą w Polsce, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w Lublinie Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001162191, NIP: 9462751627 REGON: 541212186 (dalej jako: “Administrator”).

We wszelkich sprawach związanych z przetwarzaniem danych osobowych przez Administratora można kontaktować się: a) drogą elektroniczną na adres: kontakt@oraculum.pl; b) pisemnie na adres siedziby Administratora.

Administrator przetwarza dane osobowe zgodnie z:

• • Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako: “RODO”);
• • Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych;
• • Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną;
• • Innymi właściwymi przepisami prawa polskiego i unijnego.

Ilekroć w niniejszej Polityce Prywatności jest mowa o:

• • Użytkowniku – rozumie się przez to osobę fizyczną korzystającą z Serwisu;
• • Koncie – rozumie się przez to indywidualny profil Użytkownika utworzony w Serwisie;
• • Personach AI – rozumie się przez to systemy sztucznej inteligencji wykorzystujące modele językowe, występujące w Serwisie pod nazwami handlowymi;
• • Usługach – rozumie się przez to usługi świadczone drogą elektroniczną przez Administratora za pośrednictwem Serwisu.

Administrator przetwarza następujące kategorie danych osobowych Użytkowników:

a) Dane identyfikacyjne:

• • adres poczty elektronicznej;
• • imię i nazwisko (fakultatywnie);
• • numer telefonu (fakultatywnie);
• • data urodzenia (fakultatywnie).

b) Dane uwierzytelniające:

• • zaszyfrowane hasło dostępowe;
• • tokeny sesji;
• • identyfikatory urządzeń.

c) Dane transakcyjne:

• • historia dokonanych płatności;
• • identyfikatory transakcji;
• • stan salda kredytów;
• • metoda płatności.

d) Dane związane z korzystaniem z Usług:

• • treść korespondencji z Personami AI;
• • historia konwersacji;
• • metadane sesji;
• • preferencje użytkowania;
• • treść zgłoszeń supportowych.

e) Dane techniczne i marketingowe:

• • adres IP;
• • typ przeglądarki internetowej;
• • system operacyjny;
• • identyfikator urządzenia (fingerprint);
• • dzienniki błędów (crash logs) i dane o wydajności;
• • identyfikatory reklamowe (np. Google Client ID, Facebook Pixel ID);
• • pliki cookies.

Administrator przetwarza dane osobowe w następujących celach:

• • Świadczenie Usług (Wykonanie umowy – Art. 6 ust. 1 lit. b RODO);
• • Utworzenie i zarządzanie Kontem (Wykonanie umowy – Art. 6 ust. 1 lit. b RODO);
• • Obsługa płatności (Wykonanie umowy – Art. 6 ust. 1 lit. b RODO);
• • Wypełnienie obowiązków podatkowych (Obowiązek prawny – Art. 6 ust. 1 lit. c RODO);
• • Marketing bezpośredni, w tym retargeting (Zgoda – Art. 6 ust. 1 lit. a RODO);
• • Analityka, statystyka i monitorowanie błędów (Prawnie uzasadniony interes – Art. 6 ust. 1 lit. f RODO);
• • Zapewnienie bezpieczeństwa (Prawnie uzasadniony interes – Art. 6 ust. 1 lit. f RODO);
• • Obsługa reklamacji i zgłoszeń (Obowiązek prawny – Art. 6 ust. 1 lit. c RODO);
• • Dochodzenie roszczeń (Prawnie uzasadniony interes – Art. 6 ust. 1 lit. f RODO).

Prawnie uzasadniony interes Administratora polega na:

• • zapewnieniu bezpieczeństwa i stabilności Serwisu;
• • wykrywaniu i usuwaniu błędów technicznych;
• • optymalizacji świadczonych Usług;
• • analizie statystycznej zachowań Użytkowników;
• • zapobieganiu oszustwom i nadużyciom;
• • dochodzeniu ewentualnych roszczeń.

Podanie danych osobowych jest dobrowolne, jednakże:

• a) podanie adresu e-mail jest niezbędne do utworzenia Konta;
• b) podanie danych wymaganych do płatności jest niezbędne do zakupu kredytów;
• c) niepodanie danych może uniemożliwić świadczenie określonych Usług.

Administrator może przekazywać dane osobowe zaufanym partnerom przetwarzającym dane w jego imieniu (Procesorom) oraz innym odbiorcom, w zakresie niezbędnym do świadczenia Usług:

a) Dostawcy infrastruktury i hostingu:

• • Supabase Inc. – hosting bazy danych i uwierzytelnianie (USA/EOG);
• • Railway Corporation – hosting aplikacji backendowych (USA);
• • Vercel Inc. – hosting aplikacji frontendowych i CDN (USA/EOG);
• • Google Cloud (Google Cloud Poland Sp. z o.o. / Google LLC) – infrastruktura chmurowa (Polska/EOG/USA).

b) Dostawcy usług AI (Modele Językowe):

• • Anthropic, PBC – dostawca modeli językowych (Claude) (USA);
• • OpenRouter – pośrednik w dostępie do modeli AI (USA).

c) Obsługa płatności:

• • Stripe Payments Europe, Ltd. – procesor płatności (Irlandia/USA).

d) Komunikacja i wsparcie:

• • Resend, Inc. – wysyłka wiadomości e-mail (transakcyjnych i marketingowych) (USA);
• • Linear, Inc. – system zarządzania zgłoszeniami i błędami (USA).

e) Analityka, Marketing i Monitorowanie:

• • Meta Platforms Ireland Limited / Meta Platforms, Inc. – usługi marketingowe i analityczne (Facebook Pixel, Facebook Ads) (Irlandia/USA);
• • Google LLC – analityka (Google Analytics 4) i usługi reklamowe (Google Ads) (USA/EOG);
• • Functional Software, Inc. (Sentry) – monitorowanie błędów i wydajności (USA);
• • Vercel Analytics – analiza wydajności webowej (USA).

f) Inni odbiorcy:

• • Organy państwowe – w przypadkach przewidzianych prawem;
• • Kancelarie prawne i biura rachunkowe – w zakresie obsługi prawnej i księgowej.

Administrator nie sprzedaje ani nie udostępnia danych osobowych podmiotom trzecim w celach marketingowych.

W związku z korzystaniem z usług dostawców mających siedzibę poza Europejskim Obszarem Gospodarczym (EOG), w szczególności w USA, dane osobowe mogą być przekazywane do państw trzecich. Administrator zapewnia odpowiednie zabezpieczenia dla takich transferów.

Transfer danych odbywa się na podstawie:

• a) decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony w ramach programu EU-US Data Privacy Framework (DPF) – art. 45 RODO;
• b) standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską – art. 46 ust. 2 lit. c RODO.

Data Privacy Framework (DPF): Transfer danych do podmiotów certyfikowanych w ramach programu EU-US Data Privacy Framework odbywa się na podstawie decyzji stwierdzającej odpowiedni stopień ochrony przyjętej przez Komisję Europejską (decyzja wykonawcza C(2023) 4745 z dnia 10 lipca 2023 r.). Dotyczy to m.in.: Google LLC, Meta Platforms Inc., Stripe, Vercel Inc., Functional Software Inc. (Sentry).

Standardowe Klauzule Umowne (SCC): W przypadku podmiotów nieobjętych programem DPF, przekazywanie danych odbywa się na podstawie Standardowych Klauzul Umownych zatwierdzonych decyzją wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r. Dotyczy to m.in.: Anthropic PBC, Resend Inc., Supabase Inc., Railway Corporation, OpenRouter, Linear Inc.

Użytkownik ma prawo do uzyskania kopii zastosowanych zabezpieczeń kontaktując się z Administratorem.

Administrator przechowuje dane osobowe wyłącznie przez okres niezbędny do realizacji celów, dla których zostały zebrane, a po jego upływie usuwa je lub anonimizuje.

Poszczególne okresy retencji wynoszą:

• • Dane Konta: Przetwarzane są przez cały czas posiadania Konta, aż do momentu jego usunięcia przez Użytkownika.
• • Treść konwersacji: Przechowywana jest przez 2 lata od daty rozmowy, aby zapewnić Użytkownikowi dostęp do historii.
• • Dane transakcyjne i księgowe: Przechowywane są przez 5 lat od końca roku podatkowego, w którym dokonano płatności, co wynika z obowiązków prawnych (przepisy podatkowe i o rachunkowości).
• • Dane dotyczące reklamacji: Przechowywane są przez 3 lata od ostatecznego rozpatrzenia reklamacji, w celu ewentualnej obrony lub dochodzenia roszczeń.
• • Logi systemowe: Przechowywane są przez 12 miesięcy w celach zapewnienia bezpieczeństwa Serwisu i wykrywania nadużyć.
• • Dane marketingowe (Meta/Google): Przechowywane przez 26 miesięcy lub do wycofania zgody.

Po upływie okresów wskazanych powyżej dane są trwale usuwane lub anonimizowane.

Użytkownikowi przysługują następujące prawa:

• a) prawo dostępu do danych (art. 15 RODO);
• b) prawo do sprostowania danych (art. 16 RODO);
• c) prawo do usunięcia danych (art. 17 RODO);
• d) prawo do ograniczenia przetwarzania (art. 18 RODO);
• e) prawo do przenoszenia danych (art. 20 RODO);
• f) prawo sprzeciwu (art. 21 RODO);
• g) prawo do cofnięcia zgody (art. 7 ust. 3 RODO);
• h) prawo wniesienia skargi do organu nadzorczego.

Wnioski dotyczące realizacji praw należy kierować:

• a) drogą elektroniczną na adres: kontakt@oraculum.pl;
• b) poprzez funkcjonalność dostępną w panelu Konta;
• c) pisemnie na adres siedziby Administratora.

Administrator udziela odpowiedzi bez zbędnej zwłoki, nie później niż w terminie miesiąca od dnia otrzymania żądania. W razie konieczności przedłużenia terminu, Administrator informuje o tym Użytkownika.

Administrator może żądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby składającej wniosek.

Użytkownikowi przysługuje prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa), gdy uzna, że przetwarzanie jego danych osobowych narusza przepisy RODO.

Serwis wykorzystuje następujące rodzaje plików cookies:

a) Cookies niezbędne (przetwarzane bez zgody na podstawie art. 6 ust. 1 lit. f RODO):

• • sesyjne – przechowujące identyfikator sesji;
• • uwierzytelniające – służące autoryzacji (Supabase);
• • bezpieczeństwa – zapobiegające nadużyciom;
• • techniczne – niezbędne do monitorowania błędów (Sentry).

b) Cookies marketingowe i analityczne (przetwarzane na podstawie zgody):

• • Google Analytics / Google Ads – analiza ruchu i skuteczności reklam;
• • Meta (Facebook) Pixel – retargeting, analiza konwersji, dopasowanie reklam w serwisach Facebook/Instagram;
• • Vercel Analytics – analiza wydajności;
• • własne cookies statystyczne.

Użytkownik może w każdej chwili:

• a) zarządzać ustawieniami cookies poprzez panel preferencji;
• b) usunąć zapisane cookies przez ustawienia przeglądarki;
• c) zablokować zapisywanie cookies w ustawieniach przeglądarki.

Ograniczenie stosowania cookies może wpłynąć na funkcjonalność Serwisu.

Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych, w szczególności:

• a) szyfrowanie transmisji danych (protokół TLS);
• b) szyfrowanie danych w spoczynku;
• c) kontrolę dostępu do danych (systemy uwierzytelniania);
• d) regularne kopie zapasowe;
• e) monitoring systemów informatycznych i wykrywanie incydentów;
• f) procedury zarządzania incydentami i bezpieczeństwa haseł.

Administrator przeprowadza regularne audyty bezpieczeństwa oraz oceny ryzyka.

W przypadku stwierdzenia naruszenia ochrony danych osobowych, Administrator:

• a) dokumentuje naruszenie;
• b) ocenia ryzyko naruszenia praw i wolności osób;
• c) zgłasza naruszenie do UODO w terminie 72 godzin (gdy wymagane);
• d) zawiadamia osoby, których dane dotyczą (przy wysokim ryzyku).

Administrator nie stosuje zautomatyzowanego podejmowania decyzji, w tym profilowania, które wywołuje wobec Użytkownika skutki prawne lub w podobny sposób istotnie na niego wpływa.

Systemy AI generujące odpowiedzi w ramach Usług działają w sposób automatyczny, jednakże ich wyniki mają charakter wyłącznie informacyjno-rozrywkowy i nie stanowią podstawy do podejmowania decyzji w sprawach Użytkownika.

Działania marketingowe (np. reklamy na Facebooku) opierają się na ogólnych grupach odbiorców (np. “zainteresowani ezoteryką”), a nie na profilowaniu wrażliwych danych pozyskanych z treści czatu.

Administrator zastrzega sobie prawo do wprowadzania zmian w Polityce Prywatności.

O istotnych zmianach Użytkownicy zostaną poinformowani drogą elektroniczną z 14-dniowym wyprzedzeniem.

Aktualna wersja Polityki Prywatności jest zawsze dostępna w Serwisie.

W sprawach nieuregulowanych niniejszą Polityką Prywatności zastosowanie mają przepisy RODO oraz inne właściwe przepisy prawa polskiego i unijnego.

Sonate Sp. z o.o.

E-mail: kontakt@oraculum.pl