Polityka prywatności

Twoje dane są Twoje

Pełna transparentność: co zbieramy, dlaczego, jak długo i jak to chronimy.

Ostatnia aktualizacja: 18 czerwca 2026

Wersja 2026-07-03-v3 · wejście w życie: 3 lipca 2026

Niniejsza Polityka opisuje, jakie dane osobowe przetwarzamy w związku z korzystaniem z aplikacji DomaAI (iOS) oraz jej wersji webowej pod adresem madd.im, w jakim celu, na jakiej podstawie prawnej, jak długo oraz jakie prawa przysługują Użytkownikowi. Dokument realizuje obowiązek informacyjny z art. 13 i 14 RODO.

1. Administrator danych

Administratorem danych osobowych jest Marcin Kisieliński, prowadzący działalność gospodarczą pod firmą MADD Marcin Kisieliński (marka MADD / DomaAI), adres do doręczeń: ul. Kajki 10-12, Olsztyn, NIP 7422297084, REGON 545106682 (wpis w CEIDG). Kontakt w sprawach danych osobowych: [email protected].

Administrator nie wyznaczył Inspektora Ochrony Danych (IOD) - kontakt we wszystkich sprawach danych osobowych odbywa się pod powyższym adresem e-mail.

Podmiot świadczący usługę: „MADD" oraz „DomaAI" to nazwy (marki) usługi. Stroną umowy i podmiotem odpowiedzialnym jest Marcin Kisieliński, prowadzący działalność gospodarczą pod firmą MADD Marcin Kisieliński, adres do doręczeń: ul. Kajki 10-12, Olsztyn, NIP 7422297084, REGON 545106682 (wpis w CEIDG). Kontakt we wszystkich sprawach: [email protected].

2. Jakie dane przetwarzamy

2.1. Dane konta i tożsamości

  • adres e-mail,
  • hasło - przechowywane wyłącznie w postaci skrótu (hash bcrypt), nigdy jawnie,
  • nazwa wyświetlana oraz opcjonalny awatar,
  • przy logowaniu przez Apple - identyfikator Apple; e-mail może być przekazany w formie zanonimizowanej (relay),
  • status weryfikacji e-mail oraz dane techniczne weryfikacji/resetu hasła (kody jednorazowe w postaci skrótu, czasowo),
  • zapisane zgody i ich wersje (Regulamin, Polityka prywatności, potwierdzenie wieku 16+, informacja o AI, zgody marketingowe).

2.2. Treści i aktywność w Aplikacji

  • historia rozmów: zapytania i odpowiedzi AI, w tym rozmów grupowych,
  • historia rozmów głosowych oraz powiązane nagrania/transkrypcje,
  • wektorowe reprezentacje (embeddingi) fragmentów rozmów oraz zapamiętane fakty („pamięć"),
  • pliki przesłane i wytworzone w Aplikacji (w tym pliki projektów),
  • wygenerowane obrazy i wideo wraz z zapytaniami,
  • dane projektów, workspace'ów i długotrwałych zadań,
  • wydarzenia kalendarza i przypomnienia synchronizowane na życzenie (tytuł, termin, opis, lokalizacja, powtarzalność),
  • treści publikowane w module społecznościowym - zob. Polityka publikowania.

2.3. Dane płatności i subskrypcji

  • informacje o planie, subskrypcji i saldzie Kredytów,
  • w aplikacji iOS - identyfikatory transakcji Apple In-App Purchase oraz zdekodowane powiadomienia App Store (rozliczenia, audyt),
  • w wersji webowej - identyfikatory klienta, transakcji i subskrypcji Stripe oraz dane rozliczeniowe (np. adres rozliczeniowy, kraj) przekazane operatorowi Stripe,
  • Nie przetwarzamy danych kart płatniczych - obsługują je wyłącznie Apple (iOS) albo Stripe (web).

2.4. Dane techniczne i bezpieczeństwa

  • adres IP - doraźnie do ograniczania nadużyć, ochrony antybotowej, trwale jedynie w dziennikach audytu,
  • podstawowe dane techniczne żądań,
  • skróty (fingerprinty) treści kierowanych do generowania mediów - wyłącznie do wykrywania nadużyć,
  • dane diagnostyczne błędów (Sentry) - domyślnie z wyłączonym PII i maskowaniem danych wrażliwych.

2.5. Integracje na życzenie Użytkownika

  • poświadczenia do integracji (serwery MCP, konta social) - przechowywane w postaci zaszyfrowanej (Fernet) i wyłączane z eksportu danych.

3. Cele i podstawy prawne przetwarzania

CelZakres danychPodstawa prawna (RODO)
Świadczenie Usługi (konto, rozmowy, generowanie, integracje)dane konta, treści i aktywnościart. 6 ust. 1 lit. b - wykonanie umowy
Rozliczenia, subskrypcje, zwrotydane płatności/subskrypcjiart. 6 ust. 1 lit. b oraz lit. c
Bezpieczeństwo, zapobieganie nadużyciom, moderacjadane techniczne, IP, fingerprintyart. 6 ust. 1 lit. f
Personalizacja odpowiedzi (pamięć, embeddingi)embeddingi, zapamiętane faktyart. 6 ust. 1 lit. b oraz lit. f
Obsługa zgłoszeń, reklamacji, kontaktudane kontaktowe, treść zgłoszeniaart. 6 ust. 1 lit. b/f
Obowiązki prawne (RODO, AI Act, rachunkowość)dane konta, zgody, rozliczenia, audytart. 6 ust. 1 lit. c
Komunikacja marketingowa (jeśli dotyczy)adres e-mailart. 6 ust. 1 lit. f, z prawem sprzeciwu

4. Odbiorcy danych i dostawcy modeli AI (podprocesorzy)

4.1. Korzystamy z zewnętrznych dostawców działających jako podmioty przetwarzające. Treści rozmów i zapytania mogą być przekazywane dostawcom modeli AI wyłącznie w celu wygenerowania odpowiedzi.

4.2. Nie sprzedajemy danych osobowych. Dane nie są wykorzystywane do trenowania modeli AI dostawców - szczegóły w Polityce danych i trenowania modeli. Routing zapytań do dostawców LLM jest skonfigurowany w trybie braku retencji.

4.3. Aktualna lista podprocesorów (nazwa, cel, lokalizacja, podstawa transferu) znajduje się w Liście podprocesorów. Należą do nich m.in.: OpenRouter, OpenAI, fal.ai, xAI/Grok, Cartesia, Tavily i SteadyAPI, Google, Apple, Stripe, Sentry, dostawca poczty oraz Cloudflare.

4.4. Transfery poza EOG. Niektórzy dostawcy (m.in. w USA) mogą przetwarzać dane poza EOG na podstawie standardowych klauzul umownych (SCC) lub innych mechanizmów zgodnych z rozdz. V RODO. Konto, historia rozmów i pliki są przechowywane na serwerach w Unii Europejskiej (Polska).

5. Kalendarz, przypomnienia i dane na urządzeniu

5.1. Funkcje kalendarza i przypomnień działają w integracji z systemem Apple (EventKit). Dostęp wymaga zgody w iOS i może zostać w każdej chwili cofnięty w ustawieniach systemu.

5.2. Na życzenie Użytkownika dane zdarzeń i przypomnień są synchronizowane z backendem, aby Agent mógł nimi zarządzać. Usunięcie zdarzenia odbywa się w modelu „tombstone" zapewniającym spójność z urządzeniem.

6. Pliki, kod i przeglądarka Agenta

6.1. Pliki przesłane i wytworzone w Aplikacji przechowywane są na serwerze lub w bazie danych i powiązane z Kontem.

6.2. Kod uruchamiany przez Agenta wykonuje się w izolowanym środowisku (sandbox) bez dostępu do sieci wewnątrz piaskownicy; przeglądarka Agenta korzysta z ruchu filtrowanego pod kątem bezpieczeństwa. Dane workspace są powiązane z Kontem i usuwane wraz z nim.

7. Okres przechowywania danych

KategoriaOkres przechowywania
Dane konta i treściprzez czas posiadania Konta
Konto po usunięciu (soft-delete)30 dni, następnie trwałe usunięcie; przy aktywnej subskrypcji nie wcześniej niż 7 dni po zakończeniu opłaconego okresu
Artefakty (pliki Agenta)do 30 dni od ostatniego użycia
Embeddingi / pamięć wektorowado 90 dni
Kosz rozmówdo 90 dni
Plany/zadania ReActdo 30 dni
Znaczniki usunięcia (tombstones) kalendarza7 dni
Dzienniki technicznemaksymalnie 12 miesięcy
Kopie zapasowe (szyfrowane GPG)14 dni rotacji
Dane rozliczeniowe / księgoweprzez okres wymagany przepisami

Trwałe usunięcie Konta realizuje cykliczny proces kasujący pliki i dane we wszystkich tabelach powiązanych z Użytkownikiem; fakt usunięcia odnotowywany jest w rejestrze audytowym.

8. Prawa Użytkownika

Zgodnie z RODO przysługują Ci prawa:

  • dostępu do danych i kopii (art. 15),
  • sprostowania (art. 16),
  • usunięcia - „prawo do bycia zapomnianym" (art. 17),
  • ograniczenia przetwarzania (art. 18) - w Aplikacji m.in. przez zamrożenie Konta,
  • przenoszenia danych (art. 20) - w Aplikacji eksport danych w formacie ZIP („Pobierz moje dane"),
  • sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie, w tym marketingu (art. 21),
  • cofnięcia zgody w dowolnym momencie,
  • skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).

Większość praw zrealizujesz bezpośrednio w Aplikacji (eksport, usunięcie, zamrożenie Konta, edycja profilu, rezygnacja z marketingu) lub kontaktując się pod adresem [email protected].

9. Zautomatyzowane przetwarzanie i AI

9.1. Aplikacja wykorzystuje AI do generowania odpowiedzi i treści. Treści AI mogą być błędne - nie należy ich traktować jako wiążącej porady (zob. Regulamin, pkt 3).

9.2. Aplikacja nie podejmuje zautomatyzowanych decyzji wywołujących skutki prawne lub podobnie istotne w rozumieniu art. 22 RODO. Moderacja treści służy wyłącznie bezpieczeństwu i zgodności z prawem.

9.3. Zgodnie z art. 50 AI Act informujemy, że Użytkownik wchodzi w interakcję z systemem AI; potwierdzenie zapoznania się z tą informacją jest rejestrowane (wersjonowane).

10. Bezpieczeństwo

Stosujemy środki adekwatne do ryzyka, m.in.: szyfrowanie połączeń (TLS), hashowanie haseł (bcrypt), szyfrowanie poświadczeń integracji (Fernet) i kopii zapasowych (GPG AES-256), izolację środowiska Agenta, ochronę antybotową, minimalizację danych w logach oraz procedury reagowania na naruszenia. W razie naruszenia mogącego powodować wysokie ryzyko powiadomimy Cię zgodnie z art. 34 RODO.

11. Pliki cookie

Zasady wykorzystania plików cookie opisuje odrębny dokument: Polityka plików cookie.

12. Zmiany Polityki

Polityka może być aktualizowana. O istotnych zmianach poinformujemy w Aplikacji lub e-mailem. Aktualna wersja jest dostępna w Aplikacji oraz na stronie madd.im.

Dokumenty powiązane

Dane AI i trenowanie · Lista podprocesorów · Umowa powierzenia (DPA) · Wszystkie dokumenty