Polityka Prywatności i Ochrony Danych Osobowych

Data wejścia w życie: 1 stycznia 2025

1. Administrator danych

Administratorem Państwa danych osobowych jest ANTONI SUROWIAK EMA STUDIO, NIP: 6852286869, z siedzibą w ul. Westerplatte 6 38-200 Jasło Polska, email: privacy@hubal.pl

2. Cele przetwarzania danych

Przetwarzamy dane osobowe w następujących celach:

Świadczenie usług - realizacja umowy o świadczenie usług (art. 6 ust. 1 lit. b RODO)
Rozliczenia - wystawianie faktur, księgowość (art. 6 ust. 1 lit. c RODO)
Marketing - tylko za zgodą użytkownika (art. 6 ust. 1 lit. a RODO)
Wsparcie techniczne - pomoc w rozwiązywaniu problemów (art. 6 ust. 1 lit. f RODO)
Analityka - ulepszanie usług (art. 6 ust. 1 lit. f RODO)

3. Zakres przetwarzanych danych

Dane konta:

Imię i nazwisko
Adres email
Nazwa organizacji
NIP (dla firm)
Adres (dla faktur)

Dane techniczne:

Adres IP
Typ przeglądarki
System operacyjny
Logi aktywności
Pliki cookies

Dane projektowe (szyfrowane end-to-end):

Treści projektów (zaszyfrowane)
Dokumenty (zaszyfrowane)
Komentarze (zaszyfrowane)
Historia zmian (zaszyfrowane)
Klucze szyfrowania (przechowywane lokalnie w przeglądarce)

⚠️ Ważne: Dane projektowe są chronione szyfrowaniem end-to-end (E2EE). Administrator nie ma dostępu do kluczy szyfrowania ani odszyfrowanych treści projektów. W przypadku utraty dostępu do kluczy, dane nie mogą zostać odzyskane.

4. Odbiorcy danych

Państwa dane mogą być przekazywane:

Paddle.com - procesor płatności (Irlandia, EU)
Google Cloud Platform - hosting (USA, zgodność z Privacy Shield)
Firebase/Google - baza danych, autoryzacja (USA, SCC)
SendGrid - wysyłka emaili (USA, SCC)
Księgowość - biuro rachunkowe (Polska)

5. Przekazywanie danych poza EOG

Niektóre dane są przekazywane do USA (Google, Firebase). Stosujemy następujące zabezpieczenia:

Standardowe Klauzule Umowne (SCC)
Szyfrowanie danych
Minimalizacja zakresu danych

6. Okres przechowywania

Dane konta: do momentu usunięcia konta + 30 dni
Dane rozliczeniowe: 5 lat (wymóg prawny)
Logi techniczne: 90 dni
Dane projektowe: do usunięcia przez użytkownika
Cookies: zgodnie z ustawieniami przeglądarki

7. Prawa użytkowników

Mają Państwo prawo do:

Dostępu do swoich danych (art. 15 RODO)
Sprostowania danych (art. 16 RODO)
Usunięcia danych ("prawo do bycia zapomnianym") (art. 17 RODO)
Ograniczenia przetwarzania (art. 18 RODO)
Przenoszenia danych (art. 20 RODO)
Sprzeciwu wobec przetwarzania (art. 21 RODO)
Cofnięcia zgody w dowolnym momencie
Skargi do UODO (ul. Stawki 2, 00-193 Warszawa)

8. Bezpieczeństwo danych

Stosujemy następujące środki bezpieczeństwa:

Szyfrowanie end-to-end (E2EE) - dane projektowe są szyfrowane lokalnie w przeglądarce
AES-256-GCM - standard szyfrowania danych projektowych
Klucze lokalne - klucze szyfrowania przechowywane tylko w przeglądarce użytkownika
Szyfrowanie SSL/TLS - dla transmisji danych
Szyfrowanie haseł - Firebase Authentication (bcrypt)
Firewall aplikacji - ochrona przed atakami
Regularne backupy - zaszyfrowanych danych (bez dostępu do kluczy)
Monitoring dostępu - wykrywanie nieautoryzowanych prób
2FA dla administratorów - podwójne uwierzytelnianie

Jak działa szyfrowanie end-to-end (E2EE)?

1. Generowanie kluczy: Przy pierwszym uruchomieniu aplikacji, generowany jest unikalny klucz szyfrowania w Twojej przeglądarce
2. Szyfrowanie lokalne: Wszystkie dane projektowe są szyfrowane lokalnie przed wysłaniem do serwera
3. Przechowywanie zaszyfrowane: Serwer przechowuje tylko zaszyfrowane dane bez możliwości ich odszyfrowania
4. Deszyfrowanie: Tylko Ty (i członkowie Twojej organizacji z dostępem do klucza) możecie odszyfrować dane
5. Zero-knowledge: Administrator nie ma dostępu do kluczy ani odszyfrowanych danych

Zarządzanie kluczami w organizacji:

Klucz główny organizacji: Każda organizacja ma własny klucz główny
Udostępnianie dostępu: Właściciel organizacji może udzielić dostępu nowym członkom
Odwoływanie dostępu: Usunięcie członka uniemożliwia mu dostęp do nowych zaszyfrowanych danych
Rotacja kluczy: Możliwość zmiany kluczy dla zwiększenia bezpieczeństwa

⚠️ Ważne ostrzeżenie dotyczące E2EE:

Utrata kluczy = utrata danych: Jeśli stracisz dostęp do kluczy szyfrowania (np. wyczyścisz dane przeglądarki bez kopii zapasowej), Twoje dane projektowe będą bezpowrotnie utracone
Administrator nie pomoże: Ze względu na zasadę zero-knowledge, nie możemy odzyskać Twoich kluczy ani danych
Backup kluczy: Zalecamy regularne tworzenie kopii zapasowych kluczy (funkcja dostępna w ustawieniach)
Bezpieczeństwo urządzenia: Chroń swoje urządzenie hasłem, aby nikt nieautoryzowany nie uzyskał dostępu do kluczy

9. Cookies

Niezbędne cookies:

Sesja użytkownika
Preferencje językowe
Ustawienia bezpieczeństwa

Analityczne cookies:

Google Analytics (za zgodą)
Hotjar (za zgodą)

Marketingowe cookies:

Facebook Pixel (za zgodą)
Google Ads (za zgodą)

10. AI i automatyczne przetwarzanie

AI i E2EE: AI Assistant analizuje dane tylko po ich lokalnym odszyfrowaniu w przeglądarce
Zero-knowledge dla AI: Serwery AI (Google Gemini) otrzymują tylko odszyfrowane fragmenty niezbędne do wykonania zapytania
Kontekst organizacji: AI analizuje treści projektów tylko w kontekście danej organizacji
Brak trenowania: Nie wykorzystujemy danych do trenowania modeli AI
Brak automatycznych decyzji: Nie podejmujemy automatycznych decyzji wpływających na prawa użytkowników
Respektowanie uprawnień: AI respektuje uprawnienia dostępu i szyfrowanie E2EE
Tymczasowość: Dane wysyłane do AI są przetwarzane tylko w czasie sesji i nie są przechowywane

ℹ️ Nota: Korzystanie z AI Assistant wymaga tymczasowego odszyfrowania danych w przeglądarce. Możesz wyłączyć AI Assistant w ustawieniach, jeśli preferujesz pełne szyfrowanie end-to-end bez żadnych wyjątków.

11. Kontakt

W sprawach ochrony danych: privacy@hubal.pl

Zarządzanie zgodami

Możesz zarządzać swoimi zgodami i ustawieniami prywatności: