Polityka prywatności
Polityka przetwarzania danych osobowych zgodnie z RODO (Rozporządzenie 2016/679), z uwzględnieniem wymogów EU AI Act (Rozporządzenie 2024/1689) dla treści generowanych przez AI oraz ePrivacy (dyrektywa 2002/58/WE).
Wersja: 1.0
Administrator danych
Administratorem danych jest operator serwisu fakesme (dane rejestrowe do uzupełnienia po rejestracji JDG). Kontakt: kontakt@fakesme.com.
Zakres przetwarzanych danych
- Adres e-mail Klienta (do realizacji zamówienia, komunikacji)
- Dane zamówienia (tier, cena, Stripe session id, IP i user-agent w momencie akceptacji regulaminu)
- Zdjęcia referencyjne (dane biometryczne — art. 9 RODO, podstawa: odrębna zgoda)
- Opis briefu, styl, destynacja
- Handle IG / social (opcjonalnie)
Podstawa prawna
- Art. 6 ust. 1 lit. b RODO — realizacja umowy (zamówienie, dostawa, reklamacja)
- Art. 6 ust. 1 lit. c RODO — obowiązki rachunkowo-podatkowe (5 lat zgodnie z ustawą o rachunkowości)
- Art. 9 ust. 2 lit. a RODO — wyraźna zgoda na przetwarzanie danych biometrycznych (zdjęcia referencyjne)
- Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (moderacja, zapobieganie nadużyciom)
Okres przechowywania
- Zdjęcia referencyjne: 30 dni od dostawy zamówienia (automatyczna kasacja)
- Character Bible (parametry modelu AI): 90 dni od dostawy, potem kasowany
- Dane zamówienia i dokumenty rachunkowe: 5 lat (obowiązek ustawowy)
- Dane logowania i logi techniczne: 12 miesięcy
Odbiorcy danych
Dane przekazujemy wyłącznie procesorom niezbędnym do realizacji usługi: Stripe (płatności), Resend (e-mail transakcyjny), Uploadthing (hosting zdjęć referencyjnych), Vercel (hosting aplikacji), Supabase (baza danych). Wszyscy procesorzy są zgodni z RODO i wiążą nas umowy powierzenia (DPA).
Umowy powierzenia (DPA) — linki publiczne
- Stripe — https://stripe.com/legal/dpa
- Resend — https://resend.com/legal/dpa
- Uploadthing — https://uploadthing.com/legal/dpa
- Vercel — https://vercel.com/legal/dpa
- Supabase — https://supabase.com/legal/dpa
Transfer danych poza EOG
Niektórzy procesorzy (Stripe, Resend) mają serwery w USA. Transfer odbywa się na podstawie Standardowych Klauzul Umownych (SCC z czerwca 2021 r.) oraz EU-US Data Privacy Framework (decyzja KE 2023/1795 z 10.07.2023). Dostawcy posiadają certyfikację DPF (sprawdź na dataprivacyframework.gov).
Twoje prawa
- Dostęp do danych (kontakt@fakesme.com)
- Sprostowanie
- Usunięcie ("prawo do bycia zapomnianym") — formularz /api/privacy/delete lub e-mail
- Ograniczenie przetwarzania
- Przenośność danych (export JSON)
- Sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie
- Cofnięcie zgody w dowolnym momencie (nie wpływa na przetwarzanie przed cofnięciem)
- Skarga do Prezesa UODO (uodo.gov.pl)
Bezpieczeństwo
Dane przesyłane i przechowywane są szyfrowane (TLS 1.3 w transferze, AES-256 at rest u dostawców infrastruktury). Dostęp do danych osobowych Klientów ogranicza się do operatora serwisu. Audit log czynności administracyjnych jest zachowywany.
Profilowanie i zautomatyzowane decyzje
Nie stosujemy profilowania ani zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO. Moderacja briefów (filtr słów kluczowych) jest jedynie wstępnym filtrem — każdy zatrzymany brief przegląda operator.