Przejdź do treści

Polityka prywatności

Ostatnia aktualizacja: 24 lutego 2026 r.

1. Wstęp

Veluvanto s.r.o. („my”, „nas” lub „nasz”) zobowiązuje się do ochrony Twojej prywatności. Niniejsza Polityka prywatności wyjaśnia, w jaki sposób gromadzimy, wykorzystujemy, ujawniamy i chronimy Twoje dane osobowe podczas korzystania z usług Veluvanto, zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych (RODO, Rozporządzenie (UE) 2016/679) oraz czeską ustawą nr 110/2019 Dz.U. o przetwarzaniu danych osobowych.

2. Administrator danych

Administratorem Twoich danych osobowych jest:

Veluvanto s.r.o.
Siedziba: Korunní 2569/108, Vinohrady, 101 00 Praha 10
IČO: 249 15 122
E-mail: privacy@veluvanto.com

Inspektor Ochrony Danych (IOD): Ustaliliśmy, że wyznaczenie Inspektora Ochrony Danych nie jest obowiązkowe na mocy art. 37 RODO, biorąc pod uwagę charakter i skalę naszych działań związanych z przetwarzaniem (nie przetwarzamy szczególnych kategorii danych na dużą skalę, nie jesteśmy organem publicznym i nie prowadzimy systematycznego monitorowania na dużą skalę). We wszystkich sprawach dotyczących prywatności prosimy o kontakt pod adresem privacy@veluvanto.com.

3. Dane osobowe, które gromadzimy

Gromadzimy następujące kategorie danych osobowych:

3.1 Dane konta

  • Adres e-mail, imię i nazwisko oraz zdjęcie profilowe (z Twojego konta Google, gdy logujesz się przez Google OAuth, lub z Twojego konta Microsoft, gdy logujesz się przez Microsoft OAuth)
  • Ustawienia i preferencje konta

3.2 Dane dokumentów

  • Pliki przesyłane do serwisu (dokumenty, faktury, umowy itp.)
  • Metadane wyodrębnione z dokumentów (daty, podmioty, kwoty, tagi)
  • Wygenerowane przez AI podsumowania, tłumaczenia i kategoryzacje Twoich dokumentów

3.3 Dane o użytkowaniu

  • Używane funkcje, podejmowane działania i interakcje z serwisem
  • Zużyte kredyty AI i status subskrypcji

3.4 Dane techniczne

  • Adres IP, typ i wersja przeglądarki, typ urządzenia i system operacyjny
  • Identyfikatory sesji i logi dostępu
  • Znaczniki czasu działań dla celów bezpieczeństwa i audytu

3.5 Dane płatnicze

  • Adres rozliczeniowy i rekordy transakcji (dane kart płatniczych są przetwarzane bezpośrednio przez Paddle.com Market Limited, naszego sprzedawcę odpowiedzialnego (Merchant of Record), i nie są przez nas przechowywane)

Obowiązek podania danych (art. 13 ust. 2 lit. e RODO): Podanie adresu e-mail i danych konta jest wymogiem umownym — bez nich nie można utworzyć konta ani korzystać z usługi. Podanie danych płatniczych jest wymagane w celu uzyskania dostępu do planów płatnych. Podanie treści dokumentów jest dobrowolne; to Ty decydujesz, co przesłać. Nie masz prawnego obowiązku podawania powyższych danych, ale ich niepodanie będzie oznaczać, że nie będziemy mogli świadczyć Ci usługi.

4. Podstawy prawne przetwarzania

Przetwarzamy Twoje dane osobowe na następujących podstawach prawnych zgodnie z art. 6 RODO:

Cel Podstawa prawna Artykuł RODO
Świadczenie i obsługa usługi Wykonanie umowy Art. 6 ust. 1 lit. b
Uwierzytelnianie użytkownika (Google OAuth) Wykonanie umowy Art. 6 ust. 1 lit. b
Uwierzytelnianie użytkownika (Microsoft OAuth) Wykonanie umowy Art. 6 ust. 1 lit. b
Przetwarzanie płatności i rozliczenia Wykonanie umowy Art. 6 ust. 1 lit. b
Wysyłanie komunikatów związanych z usługą Wykonanie umowy Art. 6 ust. 1 lit. b
Bezpieczeństwo, zapobieganie oszustwom, logowanie dostępu Prawnie uzasadnione interesy Art. 6 ust. 1 lit. f
Ulepszanie usług i analityka Prawnie uzasadnione interesy Art. 6 ust. 1 lit. f
Obowiązki prawne (dokumentacja podatkowa itp.) Obowiązek prawny Art. 6 ust. 1 lit. c
Komunikacja marketingowa (jeśli wyrazisz zgodę) Zgoda Art. 6 ust. 1 lit. a

5. Przetwarzanie Twoich dokumentów przez AI

Twoje dokumenty są przetwarzane przy użyciu technologii AI w celu zapewnienia funkcji takich jak automatyczna kategoryzacja, wyszukiwanie pełnotekstowe, wyodrębnianie metadanych, podsumowywanie, tłumaczenie oraz asystent czatu AI.

Twoje dokumenty nigdy nie są wykorzystywane do trenowania modeli AI. Przetwarzanie przez AI odbywa się wyłącznie w celu świadczenia usługi na Twoją rzecz. Nasz dostawca AI (Google LLC poprzez Vertex AI) działa jako nasz podmiot przetwarzający na podstawie Aneksu o przetwarzaniu danych Google Cloud i ma umowny zakaz wykorzystywania Twoich danych do trenowania lub ulepszania swoich modeli AI.

Przechowywanie danych w UE na potrzeby przetwarzania przez AI: Wnioskowanie AI na potrzeby analizy dokumentów, wyszukiwania semantycznego, tłumaczenia, podsumowywania i czatu AI odbywa się za pośrednictwem Google Cloud Vertex AI, skonfigurowanego do korzystania z regionów centrów danych w UE (europe-west). Treść dokumentów przesyłana do przetwarzania przez AI nie opuszcza Europejskiego Obszaru Gospodarczego.

Przetwarzanie przez AI stanowi zautomatyzowane przetwarzanie danych osobowych. W przypadku konsumentów korzystających z Veluvanto do celów osobistych dla swoich dokumentów, Veluvanto s.r.o. działa jako administrator danych w odniesieniu do Twoich dokumentów. W przypadku klientów biznesowych, którzy przesyłają dokumenty zawierające dane osobowe osób trzecich (np. dane pracowników, faktury klientów), Veluvanto s.r.o. działa jako podmiot przetwarzający w imieniu Administratora. Zobacz naszą Umowę powierzenia przetwarzania danych (DPA), aby uzyskać szczegółowe informacje na temat ustaleń dotyczących przetwarzania B2B.

Więcej informacji na temat naszych systemów AI można znaleźć w naszej Informacji o przejrzystości AI.

6. Przechowywanie i bezpieczeństwo danych

Poważnie traktujemy bezpieczeństwo Twoich danych:

  • Wszystkie dokumenty i dane są przechowywane w pamięci obiektowej Backblaze B2 w centrach danych w UE (Amsterdam, Holandia); Backblaze posiada certyfikat SOC 2 Type II
  • Serwery aplikacji działają w infrastrukturze Hetzner Online GmbH w centrach danych w UE (Niemcy/Finlandia); Hetzner posiada certyfikat ISO/IEC 27001:2022 (ważny 2025–2028)
  • Dane są szyfrowane w transmisji (TLS 1.2+) oraz w spoczynku (AES-256)
  • Wdrażamy rygorystyczną kontrolę dostępu i logowanie audytowe
  • Regularne oceny bezpieczeństwa i aktualizacje
  • Dostęp do danych osobowych jest ograniczony do upoważnionego personelu na zasadzie „wiedzy koniecznej” (need-to-know)

Powiadomienie o naruszeniu ochrony danych osobowych (art. 33 i 34 RODO)

a) Zgłoszenie organowi nadzorczemu (art. 33 RODO)
W przypadku naruszenia ochrony danych osobowych zgłosimy je właściwemu organowi nadzorczemu bez zbędnej zwłoki i, w miarę możliwości, nie później niż 72 godziny po stwierdzeniu naruszenia, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

b) Zawiadomienie osoby, której dane dotyczą (art. 34 RODO)
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, bez zbędnej zwłoki zawiadomimy o takim naruszeniu osoby, których dane dotyczą. Zawiadomienie zostanie sformułowane jasnym i prostym językiem i będzie zawierać co najmniej informacje o charakterze naruszenia, jego prawdopodobnych konsekwencjach oraz środkach podjętych lub proponowanych w celu zminimalizowania jego skutków. Jeżeli indywidualne zawiadomienie wymagałoby niewspółmiernie dużego wysiłku, zapewnimy równie skuteczny komunikat publiczny lub podobny środek.

7. Udostępnianie danych i podmioty przetwarzające

Nie sprzedajemy Twoich danych osobowych. Możemy udostępniać Twoje informacje wyłącznie w następujących przypadkach:

7.1 Podmioty przetwarzające (Podprocesorzy)

Korzystamy z usług następujących zewnętrznych dostawców, którzy mogą przetwarzać Twoje dane osobowe:

  • Google LLC — Dostawca tożsamości (logowanie Google OAuth); transfery danych do USA są objęte Standardowymi Klauzulami Umownymi (SCC)
  • Microsoft Corporation — Dostawca tożsamości (logowanie Microsoft OAuth); przetwarzanie danych regulowane przez Aneks o ochronie danych Microsoft
  • Paddle.com Market Limited — Przetwarzanie płatności i rozliczenia (Merchant of Record); transfery danych do Wielkiej Brytanii są objęte Decyzją o adekwatności dla Wielkiej Brytanii
  • Google LLC (Vertex AI) — Wnioskowanie modeli AI (modele Gemini) na potrzeby przetwarzania dokumentów, wyszukiwania semantycznego, czatu AI, tłumaczenia i podsumowywania; przetwarzanie skonfigurowane tak, aby pozostało w regionach Google Cloud w UE (europe-west); podlega Aneksowi o przetwarzaniu danych Google Cloud; dane z API domyślnie nie są wykorzystywane do trenowania modeli
  • Backblaze, Inc. (B2 Cloud Storage) — Główna pamięć obiektowa dla dokumentów i kopii zapasowych; dane przechowywane wyłącznie w UE (Amsterdam, Holandia); certyfikat SOC 2 Type II; Polityka prywatności Backblaze
  • IDrive, Inc. (e2 Cloud Storage) — Pamięć obiektowa do odzyskiwania po awarii dla dokumentów i kopii zapasowych; dane przechowywane wyłącznie w UE (Frankfurt, Niemcy); certyfikat SOC 2; brak minimalnego okresu przechowywania
  • Hetzner Online GmbH — Infrastruktura chmurowa i serwery aplikacji; dane przechowywane wyłącznie w UE (Niemcy/Finlandia); certyfikat ISO/IEC 27001:2022
  • Cloudflare, Inc. — Sieć dostarczania treści (CDN) i usługi bezpieczeństwa (ochrona przed DDoS, optymalizacja wydajności); przetwarza metadane żądań HTTP (adres IP, user-agent, znaczniki czasu); przekazywanie danych do USA odbywa się na podstawie Standardowych Klauzul Umownych (SCC)

7.2 Wymogi prawne

Możemy ujawnić Twoje dane, jeśli wymaga tego prawo, nakaz sądowy lub organ administracji państwowej, a także gdy uznamy, że ujawnienie jest niezbędne do ochrony naszych praw lub bezpieczeństwa innych osób.

7.3 Przeniesienie własności firmy

W przypadku fuzji, przejęcia lub sprzedaży aktywów, Twoje dane osobowe mogą zostać przekazane. Poinformujemy Cię o tym, zanim Twoje dane zostaną przekazane i zaczną podlegać innej polityce prywatności.

8. Międzynarodowe przekazywanie danych

Przechowujemy i przetwarzamy Twoje dane głównie na terenie Unii Europejskiej. Poniższa tabela opisuje lokalizację danych dla każdego podmiotu przetwarzającego:

  • Backblaze, Inc. (B2 Cloud Storage — główny magazyn danych): Wszystkie dokumenty, dane użytkowników i kopie zapasowe są przechowywane w usłudze Backblaze B2 na terenie UE (Amsterdam, Holandia). Brak przekazywania danych poza EOG.
  • IDrive, Inc. (e2 Cloud Storage — magazyn odzyskiwania po awarii): Kopie zapasowe dokumentów i danych są przechowywane w usłudze IDrive e2 na terenie UE (Frankfurt, Niemcy). IDrive, Inc. jest firmą z USA; przekazywanie danych odbywa się na podstawie Standardowych Klauzul Umownych (SCC).
  • Hetzner Online GmbH (infrastruktura): Serwery aplikacji i infrastruktura obliczeniowa są hostowane wyłącznie w Niemczech/Finlandii. Brak przekazywania danych poza EOG.
  • Google LLC (Vertex AI — przetwarzanie AI): Treść dokumentów jest przetwarzana za pośrednictwem Google Cloud Vertex AI w regionach UE (europe-west). W przypadku wnioskowania AI (inference) nie dochodzi do przekazywania danych poza EOG.
  • Google LLC (uwierzytelnianie OAuth): Twój adres e-mail i profil Google są udostępniane firmie Google podczas logowania. Przekazywanie danych do USA odbywa się na podstawie Standardowych Klauzul Umownych (SCC, Decyzja Wykonawcza Komisji (UE) 2021/914).
  • Paddle.com Market Limited (płatności): Adres rozliczeniowy i dane transakcyjne są udostępniane firmie Paddle w celu realizacji płatności. Przekazywanie danych do Wielkiej Brytanii odbywa się na podstawie decyzji o adekwatności (UK Adequacy Decision).
  • Cloudflare, Inc. (CDN / bezpieczeństwo): Metadane żądań HTTP (adres IP, user-agent, znaczniki czasu) są przetwarzane przez Cloudflare. Przekazywanie danych do USA odbywa się na podstawie SCC.

Możesz poprosić o kopię odpowiednich zabezpieczeń dotyczących przekazywania danych, kontaktując się z nami pod adresem privacy@veluvanto.com.

9. Twoje prawa wynikające z RODO

Zgodnie z RODO (Rozdział III), przysługują Ci następujące prawa:

  • Prawo dostępu (art. 15): Prawo do otrzymania kopii Twoich danych osobowych, które przechowujemy
  • Prawo do sprostowania (art. 16): Prawo do żądania poprawienia nieprawidłowych lub niekompletnych danych
  • Prawo do usunięcia danych / Prawo do bycia zapomnianym (art. 17): Prawo do żądania usunięcia Twoich danych
  • Prawo do przenoszenia danych (art. 20): Prawo do otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (archiwum JSON lub ZIP zawierające dokumenty i metadane). Skontaktuj się z nami, aby poprosić o eksport.
  • Prawo do sprzeciwu wobec przetwarzania na podstawie prawnie uzasadnionego interesu (art. 21 ust. 1): Sprzeciw wobec przetwarzania opartego na naszych prawnie uzasadnionych interesach (np. bezpieczeństwo, analityka). Zaprzestaniemy przetwarzania, chyba że wykażemy istnienie ważnych, prawnie uzasadnionych podstaw.
  • Prawo do sprzeciwu wobec marketingu bezpośredniego (art. 21 ust. 2): Masz bezwzględne prawo do sprzeciwu wobec przetwarzania Twoich danych osobowych na potrzeby marketingu bezpośredniego w dowolnym momencie, bez żadnych wyjątków. Zaprzestaniemy takich działań natychmiast po otrzymaniu sprzeciwu.
  • Prawo do ograniczenia przetwarzania (art. 18): Prawo do żądania ograniczenia przetwarzania w określonych sytuacjach
  • Prawo do wycofania zgody (art. 7 ust. 3): Wycofanie zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed jej wycofaniem
  • Prawo do tego, by nie podlegać zautomatyzowanemu podejmowaniu decyzji (art. 22): Patrz sekcja 10 poniżej

Aby skorzystać z któregokolwiek z tych praw, skontaktuj się z nami pod adresem privacy@veluvanto.com. Odpowiemy w ciągu 1 miesiąca. Przed realizacją żądania możemy wymagać zweryfikowania Twojej tożsamości.

Twoje prawo do sprzeciwu wobec przetwarzania na podstawie prawnie uzasadnionego interesu (art. 21 ust. 4 RODO): W przypadku, gdy przetwarzamy Twoje dane na podstawie naszych prawnie uzasadnionych interesów (art. 6 ust. 1 lit. f RODO — w tym bezpieczeństwo, zapobieganie oszustwom i analityka usług), przysługuje Ci prawo do sprzeciwu w dowolnym momencie. Po otrzymaniu sprzeciwu zaprzestaniemy takiego przetwarzania, chyba że wykażemy istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec Twoich interesów, praw i wolności, lub gdy przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Aby skorzystać z tego prawa, skontaktuj się z privacy@veluvanto.com.

Prawo do wniesienia skargi: Masz prawo wnieść skargę do organu nadzorczego. W Republice Czeskiej jest to:

Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 27, 170 00 Praha 7
Strona internetowa: www.uoou.cz
E-mail: posta@uoou.cz

10. Zautomatyzowane przetwarzanie i profilowanie

Veluvanto wykorzystuje zautomatyzowane przetwarzanie AI do identyfikacji i wyodrębniania metadanych (daty, podmioty, kategorie, kwoty). To zautomatyzowane przetwarzanie:

  • Jest wykonywane wyłącznie w celu świadczenia usługi na Twoją rzecz
  • Nie wywołuje żadnych skutków prawnych ani nie wpływa na Ciebie w podobnie istotny sposób
  • Nie nie profilowania w celach marketingowych ani decyzyjnych

W każdej chwili możesz poprawić nieprawidłowe metadane wygenerowane przez AI w widoku szczegółów dokumentu. Więcej informacji na temat naszych systemów AI i ich ograniczeń znajdziesz w naszym Informacja o przejrzystości AI.

11. Przechowywanie danych

Przechowujemy Twoje dane osobowe tak długo, jak długo Twoje konto jest aktywne lub jest to niezbędne do świadczenia usług. Konkretne okresy przechowywania:

  • Dane konta i dokumenty: Przechowywane do momentu usunięcia konta. Po usunięciu konta dane są trwale usuwane w ciągu 30 dni.
  • Dokumentacja rozliczeniowa: Przechowywana przez 10 lat zgodnie z wymogami czeskiej ustawy o rachunkowości (ustawa nr 563/1991 Dz.U.).
  • Logi bezpieczeństwa i dostępu: Przechowywane przez 12 miesięcy.
  • Dane o użytkowaniu (używane funkcje, zużyte kredyty AI, interakcje): Przechowywane przez 24 miesiące, a następnie agregowane lub usuwane.
  • Metadane wygenerowane przez AI (podsumowania, tagi, wyodrębnione podmioty): Przechowywane przez cały okres istnienia powiązanego dokumentu. Usuwane wraz z dokumentem.
  • Zgoda marketingowa: Do momentu wycofania zgody.
  • Konta zamknięte z powodu przekroczenia limitu miejsca: Konta zamknięte z powodu długotrwałego przekroczenia limitu miejsca (zgodnie z sekcją 19 Regulaminu) — wszystkie dane osobowe i dokumenty są trwale usuwane w ciągu 30 dni od zamknięcia konta, zgodnie z art. 17 RODO.

Dokumenty przeniesione do Kosza są przechowywane przez 30 dni przed trwałym usunięciem.

12. Pliki cookie

Używamy plików cookie i podobnych technologii. Korzystamy wyłącznie z niezbędnych plików cookie wymaganych do działania usługi (zarządzanie sesją i uwierzytelnianie). Nie używamy śledzących plików cookie ani reklamowych plików cookie stron trzecich. Szczegółowe informacje znajdziesz w naszej Polityce plików cookie.

13. Prywatność dzieci

Nasza usługa nie jest skierowana do osób poniżej 18 roku życia. Nie zbieramy świadomie danych osobowych dzieci. Jeśli uważasz, że nieumyślnie zebraliśmy dane dziecka, skontaktuj się z nami, a niezwłocznie je usuniemy.

14. Zmiany w niniejszej polityce

Możemy okresowo aktualizować niniejszą Politykę Prywatności. O wszelkich istotnych zmianach powiadomimy Cię drogą e-mailową oraz publikując nową politykę na tej stronie z zaktualizowaną datą „Ostatnia aktualizacja”, co najmniej 30 dni przed wejściem zmian w życie. W przypadku znaczących zmian w sposobie przetwarzania danych, poprosimy o ponowną zgodę, jeśli będzie to wymagane.

15. Kontakt

W przypadku pytań dotyczących niniejszej Polityki Prywatności, chęci skorzystania ze swoich praw lub jakichkolwiek wątpliwości dotyczących ochrony danych:

Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
E-mail: privacy@veluvanto.com