Privacy Policy

Last updated: 03.05.2026

aiactaudit.pl ("we", "us", "our") szanuje prywatność użytkowników. Ta Privacy Policy wyjaśnia jak zbieramy, używamy i chronimy dane osobowe gdy korzystasz z naszej strony i usług.

1. Jakie dane zbieramy

Dane które TY dostarczasz

• Email + imię + firma — gdy kupujesz audit lub bookujesz call
• Informacje o Twoich AI systems — dla potrzeb audit (intake form)
• Płatność — przetwarzane przez Stripe, NIE przechowujemy danych karty

Dane zbierane automatycznie

• Cookies / tracking — minimal: tylko niezbędne (session, preferences)
• IP address + user agent — dla server logs (security, NIE marketing)
• Vercel Analytics — basic page views (anonymized, GDPR-compliant)

Nie zbieramy: third-party tracking (Facebook Pixel, Google Analytics, marketing trackers).

2. Jak używamy Twoich danych

• Realizacja umowy — wykonanie audit + delivery PDF report (GDPR Art. 6(1)(b))
• Komunikacja — email follow-up, support, regulatory updates (Art. 6(1)(b))
• Legal compliance — księgowość, podatki, KSeF (Art. 6(1)(c))
• Marketing — TYLKO jeśli wyraźnie wyraziłeś zgodę (Art. 6(1)(a))

NIE sprzedajemy danych osobowych trzecim stronom. NIE używamy do AI training. NIE dzielimy się z marketing partners.

3. Komu dane mogą być przekazane

Tylko niezbędni processors:

• Stripe (USA, GDPR-compliant via EU-US Data Privacy Framework) — payment processing
• Resend (USA, EU-US DPF) — email delivery
• Vercel (USA, EU-US DPF) — hosting
• Supabase (EU region) — database storage
• Cloudflare (EU region) — DNS / CDN
• Anthropic Claude (USA, contractual) — AI processing dla audit (anonymized inputs)
• Legal review partners — qualified EU AI Act counsel (under NDA, post-finalization 05.2026)

Wszyscy processors działają na podstawie Data Processing Agreements (DPA) zgodnych z GDPR Art. 28.

4. International transfers

Niektóre processors (Stripe, Resend, Vercel, Anthropic) mają HQ w USA. Transfery odbywają się na podstawie:

• EU-US Data Privacy Framework (DPF)
• Standard Contractual Clauses (SCCs)
• Gdzie applicable: UK IDTA, Swiss Federal Data Protection Act

5. Retention period

• Customer data (audit clients) — 7 lat (legal/tax requirement EU)
• Email signups (newsletter / leads) — do unsubscribe
• Server logs — 30 dni
• Cookies — session-only (max 1 mc)

6. Twoje prawa (GDPR)

Pod GDPR masz prawo do:

• Dostępu (Art. 15) — kopia Twoich danych
• Sprostowania (Art. 16) — poprawienie nieprawidłowych danych
• Usunięcia (Art. 17) — "right to be forgotten"
• Ograniczenia (Art. 18) — wstrzymanie przetwarzania
• Przenoszenia (Art. 20) — eksport danych w ustrukturyzowanym formacie
• Sprzeciwu (Art. 21) — opt-out z marketing
• Skargi — do organu nadzorczego (UODO Polska, AEPD Hiszpania)

Żeby skorzystać z tych praw: piotr@pricora.eu. Odpowiedź w 30 dni.

7. Bezpieczeństwo

• HTTPS — full SSL via Cloudflare + Vercel
• Encryption at rest — Supabase, Stripe, Resend wszystkie używają
• Access control — minimum-privilege principle
• Incident response — w razie data breach: notification w 72h (GDPR Art. 33)

8. Cookies

Minimal cookies:

• Session cookies — niezbędne dla działania strony
• Vercel Analytics — anonymized, GDPR-compliant (zero personal data)

NIE używamy: Google Analytics, Facebook Pixel, marketing trackers.

9. Children's privacy

aiactaudit.pl skierowane do business users (B2B). Nie zbieramy świadomie danych osób <16 lat. Jeśli odkryjemy taki przypadek — usuwamy natychmiast.

10. Changes to this policy

Możemy aktualizować tę Privacy Policy. Każda istotna zmiana = email notification do active customers + banner notice na stronie 30 dni przed effective date.

11. Contact