Administratorem danych osobowych użytkowników aplikacji CzystoApp (dalej: „Aplikacja”) jest Arek Niewiński, prowadzący działalność pod marką Gravity AI, kontakt: arek@aigravity.pl.
W przypadku danych klientów końcowych (osób, których dane użytkownik wprowadza do Aplikacji),administratorem jest użytkownik Aplikacji (firma sprzątająca/pralnicza), a CzystoApp występuje jako podmiot przetwarzający (procesor) na podstawie odrębnej umowy powierzenia (DPA).
2. Jakie dane zbieramy
2.1 Użytkownik Aplikacji
Email i hasło (hashowane, bcrypt via Supabase Auth)
Nazwa firmy, NIP, adres, telefon, logo — dobrowolnie, w Ustawieniach
Dane techniczne: IP, user agent, logi błędów (retencja 90 dni)
2.2 Dane klientów końcowych (wprowadzane przez użytkownika)
Imię i nazwisko, numer telefonu, email, adres, notatki
Historia wycen i usług
Log obowiązku informacyjnego (metoda + data)
3. Podstawa prawna i cel
Art. 6 ust. 1 lit. b RODO — realizacja umowy (świadczenie usługi SaaS na rzecz użytkownika)
Art. 6 ust. 1 lit. f RODO — uzasadniony interes (bezpieczeństwo, wykrywanie nadużyć, logi)
Art. 6 ust. 1 lit. c RODO — obowiązki prawne (księgowość, odpowiedź na żądania organów)
4. Odbiorcy danych
Dane mogą być przekazywane wyłącznie następującym procesorom:
Supabase Inc. (USA, DPA + SCC) — baza danych i uwierzytelnianie
Vercel Inc. (USA, DPA + SCC) — hosting aplikacji
SMSAPI sp. z o.o. (Polska) — wysyłka SMS
Anthropic PBC (USA, DPA + SCC) — analiza obrazów w funkcji AI Vision (dane: zdjęcia przesłane przez użytkownika)
Stripe Payments Europe Ltd. (Irlandia) — obsługa płatności (po becie)
5. Okres przechowywania
Konto użytkownika: do czasu usunięcia konta + 30 dni na backup
Dane klientów końcowych: zgodnie z ustawieniem użytkownika (domyślnie 36 miesięcy od ostatniej usługi)
Logi SMS i wycen: 24 miesiące (obowiązki księgowe)
Zanonimizowani klienci: historia wycen bez danych identyfikacyjnych (RTBF)
6. Prawa osób, których dane dotyczą
Prawo dostępu (art. 15) — eksport JSON w panelu klienta lub email do arek@aigravity.pl
Prawo sprostowania (art. 16)
Prawo do usunięcia / zapomnienia (art. 17) — funkcja „Usuń dane osobowe” w panelu
Prawo do ograniczenia przetwarzania (art. 18)
Prawo do przenoszenia danych (art. 20) — eksport JSON
Prawo sprzeciwu (art. 21)
Prawo skargi do Prezesa UODO (uodo.gov.pl)
7. Bezpieczeństwo
Szyfrowanie transportu (TLS 1.3)
Row-Level Security (RLS) w bazie — każdy użytkownik widzi wyłącznie swoje dane
Hasła hashowane (bcrypt)
Service role key nigdy nie opuszcza serwera
Klucze API rotowane co 6 miesięcy lub po incydencie
8. Pliki cookies
Aplikacja używa wyłącznie niezbędnych cookies (sesja uwierzytelnienia Supabase, preferencje UI). Nie używamy cookies marketingowych ani śledzących. Analityka (Vercel Analytics) jest zanonimizowana.
9. Zmiany polityki
O istotnych zmianach polityki informujemy użytkowników emailem z 14-dniowym wyprzedzeniem. Aktualna wersja: v1.0 z 2026-04-21.