Polityka prywatności
Niniejsza polityka prywatności opisuje, jak Kompetenz Int. Consulting GmbH (dalej „my“) przetwarza dane osobowe podczas korzystania z asystenta AI „Ben“ na trennungsnothilfe.de.
1. Administrator
Administratorem w rozumieniu Art. 4 Nr. 7 DSGVO (GDPR) jest:
Kompetenz Int. Consulting GmbH
Fliederstr. 8
90530 Wendelstein
E-Mail: rossnagel@kompetenzgroup.de
Inspektor ochrony danych
Według obecnej oceny firma nie jest zobowiązana do powołania inspektora ochrony danych zgodnie z § 38 BDSG. Zapytania dotyczące ochrony danych kieruj na adres e-mail podany w punkcie 1.
2. Jakie dane przetwarzamy
2.1 Dane konta
Przy rejestracji przechowujemy:
- Adres e-mail
- Imię / nazwa wyświetlana
- Hasło (tylko jako solony hash bcrypt, nigdy w postaci jawnej)
- opcjonalnie: kraj związkowy (dla bardziej trafnej informacji prawnej, np. właściwego sądu rodzinnego)
- czas zgody na Regulamin + Politykę prywatności
- opcjonalnie: zgoda marketingowa
- status weryfikacji e-mail (zweryfikowany tak/nie)
2.1a Weryfikacja e-mail i resetowanie hasła
Podczas rejestracji oraz przy resetowaniu hasła wysyłamy Ci e-mail z adresu noreply@trennungsnothilfe.de przez Microsoft Azure Communication Services (region Europe). W tym procesie do usługi przekazywany jest wyłącznie Twój adres e-mail. Tokeny weryfikacji i resetowania są usuwane po użyciu lub wygaśnięciu (odpowiednio 24 godziny lub 1 godzina). Podstawa prawna: Art. 6 Abs. 1 lit. b DSGVO (wykonanie umowy — aktywacja konta).
2.2 Treść czatu
Gdy zadajesz Benowi pytania, przechowujemy Twoje wiadomości i odpowiedzi Bena na Twoim koncie. Możesz usunąć te rozmowy w dowolnym momencie.
2.3 Korzystanie anonimowe
Jeśli czatujesz bez konta, tworzymy losowy identyfikator sesji (UUID) przechowywany w Twojej przeglądarce (localStorage). Treść Twojej anonimowej rozmowy usuwamy całkowicie najpóźniej po 24 godzinach — chyba że się zarejestrujesz i wyraźnie przeniesiesz ją na swoje konto.
2.4 Adres IP w celu przeciwdziałania nadużyciom
Nie przechowujemy Twojego adresu IP w postaci jawnej. Zamiast tego tworzymy hash SHA-256 z IP + tajnej soli, z którego zachowujemy tylko pierwsze 16 znaków szesnastkowych. W ten sposób liczymy, ile anonimowych rozmów pochodzi z jednego IP w ciągu 7 dni — jako ochronę przed nadużyciami. Hash jest usuwany po 30 dniach. Podstawa prawna: Art. 6 Abs. 1 lit. f DSGVO (uzasadniony interes w przeciwdziałaniu nadużyciom).
2.5 Dialog głosowy (wejście / wyjście mowy)
Podczas rozpoczynania dialogu głosowego Twój wypowiadany dźwięk jest przesyłany w czasie rzeczywistym do Microsoft Azure OpenAI (region Sweden Central) i tam przetwarzany. Wyjście mowy (text-to-speech) odbywa się przez Azure Speech Services w regionie Germany West Central. Obie lokalizacje znajdują się w UE. Nie przechowujemy żadnych nagrań audio; w odpowiedniej historii czatu zapisywany jest jedynie transkrypt.
2.6 Dane płatności
Przy zakupach lub przy zawieraniu abonamentu wspierającego dane płatności są przetwarzane bezpośrednio przez Stripe Payments Europe Ltd. My sami nie widzimy żadnych danych kart. Przechowujemy jedynie metadane zakupu (kwota, pakiet, Stripe session ID, znacznik czasu, status) na potrzeby księgowości i przydziału kredytów.
3. Cele i podstawy prawne
| Cel | Dane | Podstawa prawna |
|---|---|---|
| Udostępnianie asystenta AI | Treść czatu, dane konta | Art. 6 Abs. 1 lit. b DSGVO (wykonanie umowy) |
| Zarządzanie kontem | E-mail, hash hasła, imię | Art. 6 Abs. 1 lit. b DSGVO |
| Przeciwdziałanie nadużyciom (limit szybkości) | Hash IP, licznik sesji | Art. 6 Abs. 1 lit. f DSGVO |
| Realizacja płatności | Stripe customer ID, metadane zakupu | Art. 6 Abs. 1 lit. b DSGVO |
| Abonament wspierający (składka członkowska) | Dane subskrypcji Stripe | Art. 6 Abs. 1 lit. b DSGVO |
| E-maile marketingowe (opcjonalnie) | Adres e-mail | Art. 6 Abs. 1 lit. a DSGVO (zgoda) |
| Obowiązki księgowe | Rekordy zakupów | Art. 6 Abs. 1 lit. c DSGVO i.V.m. AO/HGB |
4. Odbiorcy / podmioty przetwarzające
Korzystamy z następujących dostawców usług:
| Dostawca | Cel | Miejsce przetwarzania |
|---|---|---|
| Microsoft Ireland Operations Ltd. (Azure VM) | Hosting serwerów aplikacji + baza danych SQLite | Azure West Europe (Amsterdam, Holandia — UE) |
| Microsoft Ireland Operations Ltd. (Azure OpenAI) | Generowanie AI dla czatu + głosu (Realtime API) | Azure Sweden Central (Szwecja — UE) |
| Microsoft Ireland Operations Ltd. (Azure Speech) | Text-to-speech (wyjście mowy) | Azure Germany West Central (Frankfurt — UE) |
| Stripe Payments Europe Ltd. | Realizacja płatności za zakup + abonament wspierający | Irlandia (UE); dla infrastruktury kartowej ewentualnie USA (Stripe Inc.) |
| Microsoft Ireland Operations Ltd. (Azure Communication Services) | Wysyłanie e-maili weryfikacyjnych i resetujących hasło | Azure Europe (UE) |
Ze wszystkimi podmiotami przetwarzającymi istnieją umowy zgodnie z Art. 28 DSGVO (przetwarzanie na zlecenie).
5. Przekazywanie do państw trzecich
Podstawowe przetwarzanie Twoich danych czatu i głosu odbywa się wyłącznie w obrębie UE (Szwecja, Niemcy, Holandia — zob. tabela w punkcie 4). Przekazanie do państwa trzeciego, np. do USA, nie ma tu miejsca.
Ograniczone przekazanie do państwa trzeciego może wystąpić wyłącznie w związku z realizacją płatności przez Stripe (infrastruktura kartowa). Stripe jest certyfikowany w ramach EU-U.S. Data Privacy Framework; dodatkowo jako zabezpieczenie obowiązują standardowe klauzule umowne UE (Art. 46 DSGVO).
6. Okres przechowywania
- Dane konta: do usunięcia Twojego konta
- Historie czatów (zalogowani): dopóki sam ich nie usuniesz lub nie usuniesz konta
- Sesje anonimowe: automatycznie po 24 godzinach
- Hash IP (log limitu szybkości): 30 dni
- Rekordy zakupów: 10 lat (handlowe + podatkowe okresy przechowywania)
- Zgoda marketingowa: do wycofania
7. Pliki cookie i lokalna pamięć przeglądarki
W przeglądarce używamy następujących elementów pamięci:
| Klucz | Cel | Typ pamięci | Czas życia |
|---|---|---|---|
| chatbot_auth_token | Token logowania JWT po zalogowaniu (uwierzytelnianie sesji) | localStorage | do wylogowania lub 90 dni (wygaśnięcie tokenu) |
| anon_session_id | Losowy UUID dla anonimowej rozmowy (limit szybkości + utrwalanie historii w obrębie karty przeglądarki) | sessionStorage | do zamknięcia karty |
| chatbot_active_conversation | Zapamiętuje ostatnio otwartą rozmowę w karcie | sessionStorage | do zamknięcia karty |
Dla tych procesów przechowywania nie jest wymagana odrębna zgoda, ponieważ są one ściśle technicznie niezbędne do działania żądanej przez Ciebie usługi (§ 25 Abs. 2 Nr. 2 TDDDG): bez tokenu sesji nie ma logowania, bez anonimowego identyfikatora sesji nie ma ochrony przed nadużyciami (limit szybkości) ani kontynuacji Twojej rozmowy w obrębie karty.
Stripe ustawia w oknie płatności własne pliki cookie w celu zapobiegania oszustwom. Są one niezbędne do realizacji umowy (Art. 6 Abs. 1 lit. b DSGVO / § 25 Abs. 2 Nr. 2 TDDDG) i są ustawiane bezpośrednio przez Stripe.
Używamy wyłącznie technicznie niezbędnych elementów pamięci. Pliki cookie śledzące lub reklamowe nie są stosowane. Dlatego baner cookie nie jest wymagany (§ 25 Abs. 2 Nr. 2 TDDDG).
7a. Analityka strony (Umami)
Do analizy wzorców użytkowania używamy Umami Analytics — przyjaznego prywatności oprogramowania analitycznego, które hostujemy samodzielnie na naszym serwerze Azure (analytics.trennungsnothilfe.de, region West Europe).
Umami nie przechowuje żadnych plików cookie ani żadnych adresów IP. Rejestrowane są wyłącznie zagregowane, anonimowe metryki (odsłony, czas na stronie, strona odsyłająca). Wyciąganie wniosków o poszczególnych osobach nie jest możliwe.
Podstawa prawna: Art. 6 Abs. 1 lit. f DSGVO (uzasadniony interes w optymalizacji strony). Zgoda nie jest wymagana, ponieważ nie są przetwarzane dane osobowe.
8. Twoje prawa
Masz w każdej chwili prawo do:
- Dostęp do przechowywanych o Tobie danych (Art. 15 DSGVO)
- Sprostowanie nieprawidłowych danych (Art. 16 DSGVO)
- Usunięcie Twoich danych (Art. 17 DSGVO)
- Ograniczenie przetwarzania (Art. 18 DSGVO)
- Przenoszenie danych (Art. 20 DSGVO)
- Sprzeciw wobec przetwarzania opartego na uzasadnionym interesie (Art. 21 DSGVO)
- Wycofanie udzielonych zgód ze skutkiem na przyszłość (Art. 7 Abs. 3 DSGVO)
- Skargę do organu nadzorczego ds. ochrony danych (Art. 77 DSGVO) — właściwy: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach
Samoobsługa: Następujące prawa możesz wykonać bezpośrednio w swoim profilu (ikona koła zębatego w czacie):
- Eksport danych (Art. 15 + 20 DSGVO): „Pobierz moje dane“ — eksportuje Twój profil, zgody i wszystkie historie czatów jako plik JSON.
- Sprostowanie (Art. 16 DSGVO): zmień bezpośrednio nazwę wyświetlaną, kraj związkowy i zgodę marketingową.
- Usunięcie (Art. 17 DSGVO): „Usuń konto“ — usuwa Twoje konto i wszystkie powiązane dane (profil, historie czatów, kredyty) natychmiast i nieodwracalnie. Dowody zakupu są przechowywane w formie spseudonimizowanej przez 10 lat zgodnie z § 147 AO (podatkowy obowiązek przechowywania).
- Wycofanie zgody marketingowej: przełącznik marketingu w profilu można dezaktywować w dowolnym momencie.
We wszystkich pozostałych sprawach wystarczy nieformalny e-mail na rossnagel@kompetenzgroup.de.
9. Decyzje zautomatyzowane / informacja o AI
Asystent „Ben“ opiera się na dużym modelu językowym (Azure OpenAI). Odpowiedzi są generowane automatycznie i mogą zawierać błędy. Nie zapada żadna prawnie wiążąca decyzja w indywidualnej sprawie; wyniki są informacjami ogólnymi i nie zastępują porady prawnej adwokata (§ 2 RDG).
10. Bezpieczeństwo
Do całej transmisji używamy szyfrowania TLS (Let's Encrypt). Hasła przechowujemy wyłącznie jako hash bcrypt. Kopie zapasowe bazy danych są przechowywane w postaci zaszyfrowanej i rotowane po 30 dniach.
11. Zmiany niniejszej polityki
Dostosowujemy niniejszą politykę prywatności, gdy zmieniają się wymogi prawne lub nasze przetwarzanie. Aktualna wersja jest dostępna pod tym adresem URL.
Stan na: maj 2026