Skip to content
Back to home

Polityka Prywatności LessManual.ai

Wersja: 1.0 Data wejścia w życie: 30 października 2025 Ostatnia aktualizacja: 30 października 2025

SPIS TREŚCI

  1. Postanowienia Ogólne
  2. Zakres Przetwarzanych Danych
  3. Cele i Podstawy Prawne Przetwarzania
  4. Odbiorcy Danych Osobowych
  5. Przekazywanie Danych Poza EOG
  6. Okres Przechowywania Danych
  7. Prawa Osób, Których Dane Dotyczą
  8. Jak Skorzystać z Praw
  9. Środki Bezpieczeństwa
  10. Profilowanie i Zautomatyzowane Decyzje
  11. Pliki Cookies
  12. Zmiany Polityki
  13. Szczególne Postanowienia dla Polski
  14. Postanowienia Końcowe
  15. Podsumowanie i Kontakt

1. POSTANOWIENIA OGÓLNE

1.1 Definicje

Niniejsza Polityka Prywatności (dalej: "Polityka") określa zasady przetwarzania danych osobowych przez LessManual.ai w związku z:

  • Korzystaniem z serwisu internetowego lessmanual.ai
  • Świadczeniem usług automatyzacji biznesowej opartych na sztucznej inteligencji (ChatBot, VoiceAgent, Content Automation)
  • Komunikacją handlową i marketingową

Na potrzeby niniejszej Polityki stosuje się następujące definicje:

  • Administrator – Bartłomiej Chudzik, prowadzący działalność gospodarczą pod firmą LessManual.ai, z siedzibą w Cendrowice, Polska, NIP: 1231589909, email: kontakt@lessmanual.ai
  • RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (Dz. Urz. UE L 119 z 04.05.2016)
  • PUODO – Prezes Urzędu Ochrony Danych Osobowych (organ nadzorczy w Polsce)
  • Użytkownik/Klient – osoba fizyczna korzystająca z Serwisu lub Usług Administratora
  • Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 1 RODO)
  • Przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych (zgodnie z art. 4 pkt 2 RODO): zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie, ograniczanie, usuwanie lub niszczenie
  • Serwis – serwis internetowy LessManual.ai dostępny pod domeną https://lessmanual.ai
  • Usługi – usługi automatyzacji biznesowej świadczone przez Administratora, obejmujące:
    • ChatBot AI – inteligentny chatbot z integracją do systemów Klienta
    • VoiceAgent – asystent głosowy do automatyzacji rozmów telefonicznych
    • Content Automation – automatyczne generowanie i publikacja treści w mediach społecznościowych
    • Custom Workflows – dedykowane automatyzacje procesów biznesowych w n8n
  • EOG (Europejski Obszar Gospodarczy) – Unia Europejska + Norwegia, Islandia, Liechtenstein
  • Procesor – podmiot przetwarzający dane osobowe w imieniu Administratora (art. 28 RODO)

1.2 Administrator danych osobowych

Administratorem danych osobowych przetwarzanych w związku z korzystaniem z Serwisu oraz świadczonymi Usługami jest:

Bartłomiej Chudzik LessManual.ai Cendrowice, 05-530, Polska NIP: 1231589909 Email: kontakt@lessmanual.ai

Administrator nie wyznaczył Inspektora Ochrony Danych (IOD) w rozumieniu art. 37 RODO, ponieważ nie zachodzą przesłanki obligujące do takiego wyznaczenia (Administrator nie jest podmiotem publicznym, przetwarzanie nie wymaga regularnego i systematycznego monitorowania na dużą skalę, przetwarzanie nie dotyczy na dużą skalę szczególnych kategorii danych z art. 9 RODO).

W sprawach dotyczących ochrony danych osobowych należy kontaktować się bezpośrednio z Administratorem pod wskazanym adresem email.

1.3 Podstawa prawna przetwarzania

Administrator przetwarza dane osobowe zgodnie z RODO na następujących podstawach prawnych:

  • Art. 6 ust. 1 lit. b RODO – przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy

    • Przykład: przetwarzanie danych kontaktowych w celu realizacji zamówienia, świadczenia Usług, obsługi zgłoszeń technicznych

  • Art. 6 ust. 1 lit. c RODO – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze

    • Przykład: przechowywanie faktur przez 5 lat (ustawa o rachunkowości), przechowywanie umów przez 6 lat (Kodeks cywilny), przetwarzanie danych w celach podatkowych

  • Art. 6 ust. 1 lit. f RODO – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią

    • Przykłady prawnie uzasadnionych interesów:
      • Marketing bezpośredni własnych produktów i usług Administratora
      • Dochodzenie roszczeń i obrona przed roszczeniami
      • Zapewnienie bezpieczeństwa systemów informatycznych (monitoring, logi bezpieczeństwa)
      • Analiza użytkowania Serwisu w celu optymalizacji jego funkcjonowania
      • Prowadzenie działań public relations (publikacja case studies, portfolio z logo Klienta)

  • Art. 6 ust. 1 lit. a RODO – osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów

    • Przykład: zgoda na otrzymywanie newslettera marketingowego, zgoda na profilowanie w celach marketingowych wykraczające poza zakres prawnie uzasadnionego interesu, zgoda na publikację pełnego nazwiska i zdjęcia w case study

Ważne: Zgoda może być w każdej chwili cofnięta (bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem). Cofnięcie zgody nie wpływa na przetwarzanie danych na innych podstawach prawnych (np. wykonanie umowy, obowiązek prawny).

2. ZAKRES PRZETWARZANYCH DANYCH

2.1 Kategorie przetwarzanych danych osobowych

Administrator może przetwarzać następujące kategorie danych osobowych:

A. Dane podstawowe (identyfikacyjne i kontaktowe)

  • Imię i nazwisko
  • Nazwa firmy / działalności gospodarczej
  • Adres email (służbowy lub prywatny)
  • Numer telefonu (komórkowy lub stacjonarny)
  • NIP (w przypadku Klientów biznesowych B2B)
  • Adres siedziby firmy / działalności gospodarczej
  • Stanowisko w firmie

Źródło: formularze kontaktowe, Cal.com (booking spotkań), korespondencja email, rozmowy telefoniczne, LinkedIn

B. Dane techniczne

  • Adres IP
  • Dane dotyczące lokalizacji (przybliżona lokalizacja na podstawie adresu IP)
  • Identyfikatory urządzeń (user agent, fingerprinting dla celów bezpieczeństwa)
  • Logi systemowe (timestamp, źródło ruchu, akcje w systemie)
  • Informacje o przeglądarce internetowej (rodzaj, wersja, język)
  • System operacyjny
  • Dane dotyczące aktywności w Serwisie:
    • Historia sesji (czas trwania, odwiedzone podstrony)
    • Źródło ruchu (referrer, UTM parameters)
    • Interakcje z elementami Serwisu (kliknięcia, scroll depth)

Źródło: automatyczne zbieranie podczas korzystania z Serwisu (analityka Google Analytics - hosting EU)

C. Dane transakcyjne i finansowe

  • Historia zamówień i transakcji (rodzaj Usługi, wartość, data)
  • Dane dotyczące płatności:
    • Numer rachunku bankowego (dla przelewów bankowych)
    • Historia transakcji (status płatności, data wpływu, kwota)
    • Dane z bramki płatności (Stripe, PayPal) – bez przechowywania danych karty (PCI DSS compliance przez Stripe)
  • Informacje o subskrypcjach i abonamentach (pakiet, data rozpoczęcia, data odnowienia, status)
  • Historia faktur (numer, data wystawienia, kwota netto/brutto, VAT)

Źródło: systemy płatności (Stripe, PayPal), korespondencja handlowa, ClickUp (CRM)

D. Dane z korespondencji i komunikacji

  • Treść wiadomości email (zapytania, odpowiedzi, załączniki)
  • Treść komunikacji telefonicznej:
    • VoiceAgent (nagrania rozmów) – jeśli Klient korzysta z VoiceAgent, rozmowy są nagrywane i przetwarzane przez AI (ElevenLabs, Anthropic Claude) w celu automatyzacji obsługi. Rozmowy są przechowywane przez 90 dni, chyba że Klient wymaga dłuższego okresu zgodnie z wymogami branżowymi (np. finanse, ubezpieczenia).
    • Notatki z rozmów discovery call, demo call (w ClickUp)
  • Załączniki i dokumenty przesłane w ramach komunikacji (np. brief projektu, dane dostępowe, FAQ)
  • Dane z formularzy kontaktowych (imię, email, firma, wiadomość, zgoda RODO)

Źródło: email, Cal.com, VoiceAgent (ElevenLabs), formularze kontaktowe

E. Dane dotyczące użytkowania Usług (dla Klientów z wdrożonymi rozwiązaniami)

  • Parametry konfiguracji wdrożonych rozwiązań (ChatBot, VoiceAgent, Content Automation)
  • Parametry techniczne implementacji (API keys, webhooks, integracje)
  • Statystyki użytkowania wdrożonych systemów:
    • ChatBot: liczba konwersacji, średni czas odpowiedzi, top FAQ
    • VoiceAgent: liczba rozmów, średni czas trwania, wskaźnik sukcesu (booking rate)
    • Content Automation: liczba wygenerowanych postów, zaangażowanie (reach, likes, comments)
  • Informacje o zgłoszonych problemach technicznych (support tickets, logi błędów, screenshoty)

Źródło: systemy wdrożone u Klienta (n8n workflows, Supabase, monitoring), zgłoszenia support

2.2 Dane szczególnych kategorii (art. 9 RODO)

Administrator nie przetwarza danych szczególnych kategorii, o których mowa w art. 9 ust. 1 RODO:

  • Dane ujawniające pochodzenie rasowe lub etniczne
  • Poglądy polityczne
  • Przekonania religijne lub światopoglądowe
  • Przynależność do związków zawodowych
  • Dane genetyczne
  • Dane biometryczne (w celu jednoznacznego zidentyfikowania osoby fizycznej)
  • Dane dotyczące zdrowia
  • Dane dotyczące seksualności lub orientacji seksualnej

Wyjątek: Jeśli specyfika branży Klienta (np. medyczna, prawnicza) wymaga przetwarzania danych szczególnych kategorii w ramach wdrożonych systemów (np. ChatBot w klinice), zostanie to wyraźnie uzgodnione w odrębnej umowie powierzenia przetwarzania danych (DPA - Data Processing Agreement) z uwzględnieniem szczególnych zabezpieczeń przewidzianych prawem (art. 9 ust. 2 RODO).

2.3 Dane osób trzecich (Klienci Klientów)

W przypadku gdy Administrator działa jako Procesor (przetwarzający dane w imieniu Klienta), np.:

  • ChatBot przetwarzający zapytania klientów Klienta
  • VoiceAgent prowadzący rozmowy z klientami Klienta
  • Content Automation publikujący posty z wizerunkami klientów Klienta

Administrator przetwarza te dane wyłącznie na polecenie Klienta (który jest Administratorem dla swoich klientów) i na podstawie Umowy Powierzenia Przetwarzania Danych (DPA) zgodnie z art. 28 RODO.

Szczegóły: Zobacz sekcję 4.3 Administrator vs Procesor

2.4 Dobrowolność podania danych

Dane wymagane (art. 6 ust. 1 lit. b RODO - wykonanie umowy):

Bez podania tych danych niemożliwe jest świadczenie Usług:

  • Imię i nazwisko
  • Email
  • Nazwa firmy (dla B2B)
  • Telefon (dla VoiceAgent)
  • NIP (dla faktury VAT)
  • Adres firmy (dla faktury VAT)
  • Dane dostępowe do systemów Klienta (API keys, webhooks)

Dane wymagane (art. 6 ust. 1 lit. c RODO - obowiązek prawny):

Bez podania tych danych Administrator nie może wywiązać się z obowiązków prawnych:

  • NIP (ustawa o VAT)
  • Adres siedziby (ustawa o rachunkowości - faktura)
  • Dane do faktury (ustawa o rachunkowości)

Dane dobrowolne (art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes lub lit. a - zgoda):

Możesz odmówić podania, ale ograniczy to funkcjonalność:

  • Telefon (jeśli nie korzystasz z VoiceAgent)
  • Zgoda na newsletter (możesz nie wyrazić - nie otrzymasz newslettera)
  • Zgoda na publikację case study (możesz nie wyrazić - nie będziemy publikować)

Konsekwencje niepodania danych:

  • Brak możliwości zawarcia umowy
  • Brak możliwości realizacji zamówienia
  • Brak możliwości udzielenia odpowiedzi na zapytanie
  • Ograniczenie funkcjonalności Serwisu

3. CELE I PODSTAWY PRAWNE PRZETWARZANIA

3.1 Tabela celów i podstaw prawnych

Cel przetwarzania Podstawa prawna Okres przechowywania Możliwość sprzeciwu
Obsługa formularza kontaktowego, udzielenie odpowiedzi na zapytanie Art. 6 ust. 1 lit. b RODO (przygotowanie do zawarcia umowy) Do czasu udzielenia odpowiedzi + 30 dni LUB do momentu zawarcia umowy NIE (niezbędne do kontaktu)
Realizacja umowy (świadczenie Usług: ChatBot, VoiceAgent, Content Automation) Art. 6 ust. 1 lit. b RODO (wykonanie umowy) Przez czas trwania umowy + 6 lat (przedawnienie roszczeń) NIE (niezbędne do realizacji umowy)
Wystawienie faktury, księgowość Art. 6 ust. 1 lit. c RODO (obowiązek prawny: ustawa o rachunkowości, ordynacja podatkowa) 5 lat od końca roku podatkowego NIE (obowiązek prawny)
Archiwizacja umów, dokumentacji projektowej Art. 6 ust. 1 lit. c RODO (obowiązek prawny: Kodeks cywilny, 6 lat przedawnienia) 6 lat od zakończenia umowy NIE (obowiązek prawny)
Marketing bezpośredni (email, telefon) Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora) LUB Art. 6 ust. 1 lit. a RODO (zgoda - dla nowych kanałów) Do momentu wniesienia sprzeciwu LUB cofnięcia zgody LUB 3 lata od ostatniej interakcji TAK (prawo sprzeciwu art. 21 RODO)
Newsletter, blog, content marketing Art. 6 ust. 1 lit. a RODO (zgoda) Do momentu cofnięcia zgody LUB 3 lata bez aktywności TAK (cofnięcie zgody w każdej chwili)
Analityka Serwisu (Google Analytics - hosting USA, wymaga zgody, cookies analityczne) Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes: optymalizacja Serwisu) 90 dni (logi Google Analytics) TAK (prawo sprzeciwu, opt-out w przeglądarce)
Bezpieczeństwo IT (monitoring, logi, wykrywanie ataków) Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes: ochrona przed cyberzagrożeniami) 90 dni (logi bezpieczeństwa) LUB do czasu zakończenia postępowania (jeśli wykryto atak) NIE (nadrzędny interes bezpieczeństwa)
Dochodzenie roszczeń, obrona przed roszczeniami Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes: ochrona praw Administratora) Do czasu przedawnienia roszczeń (6 lat) LUB zakończenia postępowania sądowego NIE (nadrzędny interes prawny)
Portfolio, case studies, referencje (z logo Klienta) Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes: promocja usług) LUB Art. 6 ust. 1 lit. a RODO (zgoda - dla pełnych danych Klienta, zdjęć) Do momentu wniesienia sprzeciwu LUB cofnięcia zgody LUB 3 lata od zakończenia współpracy TAK (prawo sprzeciwu)
Profilowanie w celach marketingowych (analiza zachowań, personalizacja treści) Art. 6 ust. 1 lit. a RODO (zgoda) Do momentu cofnięcia zgody LUB 3 lata bez aktywności TAK (cofnięcie zgody + prawo sprzeciwu art. 21 ust. 2 RODO)

3.2 Szczegóły dotyczące poszczególnych celów

3.2.1 Obsługa formularzy kontaktowych, zapytań

Cel: Udzielenie odpowiedzi na zapytanie, wysłanie oferty, umówienie demo call.

Podstawa prawna: Art. 6 ust. 1 lit. b RODO (przygotowanie do zawarcia umowy). Przetwarzanie Twoich danych jest niezbędne, abyśmy mogli odpowiedzieć na Twoje zapytanie i przedstawić ofertę.

Zakres danych: Imię, nazwisko, email, telefon (opcjonalnie), firma, treść zapytania.

Okres: Do czasu udzielenia odpowiedzi + 30 dni (możliwość follow-up). Jeśli zapytanie prowadzi do zawarcia umowy, dane są przetwarzane dalej na podstawie wykonania umowy.

Możliwość sprzeciwu: NIE (niezbędne do kontaktu). Możesz jednak zrezygnować z dalszego kontaktu (napisz do nas).

3.2.2 Realizacja umowy (świadczenie Usług)

Cel: Świadczenie Usług automatyzacji (ChatBot, VoiceAgent, Content Automation, Custom Workflows), obsługa techniczna, wsparcie, monitoring systemów.

Podstawa prawna: Art. 6 ust. 1 lit. b RODO (wykonanie umowy). Przetwarzanie danych jest niezbędne do realizacji umowy zawartej z Klientem.

Zakres danych: Wszystkie dane kontaktowe, techniczne, transakcyjne, dane z komunikacji, dane dotyczące użytkowania Usług.

Okres: Przez czas trwania umowy + 6 lat (przedawnienie roszczeń zgodnie z Kodeksem cywilnym).

Możliwość sprzeciwu: NIE (niezbędne do realizacji umowy).

3.2.3 Marketing bezpośredni (własnych produktów)

Cel: Informowanie o nowych Usługach, promocjach, case studies, webinarach. Kontakt w celu reaktywacji Klienta (jeśli umowa wygasła).

Podstawa prawna:

  • Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora) - dla klientów B2B, którzy wcześniej kupili usługę lub wyrazili zainteresowanie (motyw 47 RODO: "przetwarzanie danych osobowych w celach marketingu bezpośredniego można uznać za realizowane w prawnie uzasadnionym interesie")
  • Art. 6 ust. 1 lit. a RODO (zgoda) - dla nowych kanałów (SMS, push notifications) lub nowych odbiorców (osoby, które nie były Klientami)

Zakres danych: Email, imię, nazwisko, firma, historia zakupów (aby spersonalizować ofertę).

Okres: Do momentu wniesienia sprzeciwu LUB 3 lata od ostatniej interakcji (brak aktywności = brak zainteresowania).

Możliwość sprzeciwu: TAK - możesz wnieść sprzeciw w każdej chwili (art. 21 RODO):

3.2.4 Newsletter, content marketing

Cel: Wysyłka newslettera z artykułami, case studies, poradami dotyczącymi automatyzacji AI.

Podstawa prawna: Art. 6 ust. 1 lit. a RODO (zgoda). Zgoda jest wyrażana poprzez zaznaczenie checkboxa w formularzu zapisu na newsletter LUB poprzez potwierdzenie w emailu (double opt-in).

Zakres danych: Email, imię (opcjonalnie), preferencje tematyczne.

Okres: Do momentu cofnięcia zgody LUB 3 lata bez aktywności (jeśli nie otwierasz emaili przez 3 lata, uznajemy że nie jesteś zainteresowany i usuwamy).

Możliwość sprzeciwu: TAK - cofnięcie zgody w każdej chwili:

3.2.5 Analityka Serwisu

Cel: Zrozumienie jak Użytkownicy korzystają z Serwisu (które podstrony odwiedzają, z jakiego źródła przychodzą, ile czasu spędzają) w celu optymalizacji UX, contentu, SEO.

Narzędzie: Google Analytics (hosting USA, wymaga zgody użytkownika, cookies analityczne, anonimizacja IP).

Podstawa prawna: Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora: optymalizacja Serwisu).

Zakres danych: IP (anonimizowany), user agent, referrer, odwiedzone strony, czas sesji. BRAK cookies, BRAK cross-site tracking, BRAK fingerprinting.

Okres: 25 miesięcy (standardowy okres przechowywania Google Analytics).

Możliwość sprzeciwu: TAK:

  • Włącz "Do Not Track" w przeglądarce (Google Analytics respektuje DNT header)
  • Zainstaluj Google Analytics Opt-out Browser Add-on

3.2.6 Bezpieczeństwo IT

Cel: Ochrona Serwisu i Usług przed cyberatakami (DDoS, brute-force, SQL injection), wykrywanie nieautoryzowanego dostępu, zapobieganie oszustwom.

Podstawa prawna: Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora: ochrona przed cyberzagrożeniami, zgodność z wytycznymi ENISA, wymogi bezpieczeństwa RODO art. 32).

Zakres danych: IP, logi dostępu (timestamp, endpoint, status HTTP), dane z firewall (Cloudflare), logi błędów (Sentry).

Okres: 90 dni (logi bezpieczeństwa) LUB do czasu zakończenia postępowania (jeśli wykryto atak i zgłoszono do organów).

Możliwość sprzeciwu: NIE (nadrzędny interes bezpieczeństwa IT).

3.2.7 Dochodzenie roszczeń, obrona przed roszczeniami

Cel: Ochrona praw Administratora w przypadku sporów z Klientami (np. brak płatności, naruszenie Regulaminu). Obrona przed roszczeniami Klientów (np. reklamacje, spory umowne).

Podstawa prawna: Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora: ochrona praw, możliwość dochodzenia roszczeń).

Zakres danych: Wszystkie dane związane z umową (korespondencja, faktury, umowy, dokumentacja projektowa, logi systemów).

Okres: Do czasu przedawnienia roszczeń (6 lat zgodnie z Kodeksem cywilnym) LUB zakończenia postępowania sądowego/polubownego.

Możliwość sprzeciwu: NIE (nadrzędny interes prawny).

4. ODBIORCY DANYCH OSOBOWYCH

4.1 Kategorie odbiorców

Administrator może przekazywać dane osobowe następującym kategoriom odbiorców:

A. Podmioty przetwarzające dane w imieniu Administratora (Procesorzy - art. 28 RODO)

Infrastruktura techniczna:

  • Vercel (USA) - hosting Serwisu (frontend), EU region available
  • Supabase (USA) - hosting bazy danych (PostgreSQL), EU region available
  • Cloudflare (USA) - CDN, DDoS protection, firewall, EU data center

AI i automatyzacja:

  • Anthropic (USA) - Claude API (przetwarzanie języka naturalnego dla ChatBotów, Content Automation)
  • ElevenLabs (USA) - API zamiany tekstu na mowę i mowy na tekst (dla VoiceAgentów)
  • n8n Cloud (Niemcy) - hosting workflows automatyzacji (EU region)

Analityka i monitoring:

  • Google Analytics (USA, Google LLC) - analityka Serwisu (wymaga zgody użytkownika)
  • Sentry (USA) - monitoring błędów, logi aplikacji, EU data residency available

Płatności:

  • Stripe (USA) - bramka płatności (PCI DSS Level 1 certified)
  • PayPal (USA) - alternatywna bramka płatności

CRM i komunikacja:

  • ClickUp (USA) - CRM, zarządzanie projektami
  • Cal.com (USA/EU) - booking spotkań (self-hosted EU option available)
  • Lemlist (Francja, EU) - cold email automation
  • Slack (USA) - komunikacja wewnętrzna, powiadomienia

Marketing:

  • LinkedIn Ads (USA) - reklamy B2B
  • Meta Ads (Facebook/Instagram, USA) - reklamy social media

Wszystkie powyższe podmioty działają jako Procesorzy na podstawie umów powierzenia przetwarzania danych (DPA - Data Processing Agreement) zgodnie z art. 28 RODO. Administrator wymaga od Procesorów:

  • Przestrzegania RODO
  • Wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 32 RODO)
  • Niepowierzania przetwarzania dalszym podprocesorom bez zgody Administratora
  • Usuwania/zwrotu danych po zakończeniu współpracy
  • Zgłaszania naruszeń ochrony danych osobowych (data breach) w ciągu 72h

B. Organy publiczne (na żądanie, zgodnie z przepisami prawa)

Administrator może być zobowiązany do przekazania danych osobowych organom publicznym na podstawie art. 6 ust. 1 lit. c RODO (obowiązek prawny):

  • Urząd Skarbowy - dane z faktur (ustawa o VAT, ordynacja podatkowa)
  • Zakład Ubezpieczeń Społecznych (ZUS) - dane dotyczące umów (jeśli dotyczy)
  • Policja, Prokuratura, Sądy - dane w ramach postępowań karnych/cywilnych (Kodeks postępowania karnego, Kodeks postępowania cywilnego)
  • Prezes Urzędu Ochrony Danych Osobowych (PUODO) - dane w ramach kontroli zgodności z RODO

C. Podmioty uprawnione na podstawie przepisów prawa

  • Biuro rachunkowe - dane z faktur, umów (usługa księgowa)
  • Kancelaria prawna - dane w przypadku sporów prawnych (obsługa prawna)
  • Firma windykacyjna - dane Klientów z zaległościami płatniczymi (tylko po wyczerpaniu innych środków)

4.2 Czy Administrator sprzedaje dane osobowe?

NIE. Administrator nigdy nie sprzedaje danych osobowych stronom trzecim. Przekazanie danych odbywa się wyłącznie w celach opisanych w niniejszej Polityce i na podstawie umów powierzenia (DPA) lub obowiązków prawnych.

4.3 Administrator vs Procesor (dla Klientów B2B)

Gdy Administrator działa jako Administrator:

Dotyczy: Danych kontaktowych Klienta (osób reprezentujących firmę Klienta).

Przykład: Email właściciela firmy, telefon osoby odpowiedzialnej za projekt, NIP firmy Klienta.

Administrator decyduje: o celach i sposobach przetwarzania tych danych (zgodnie z niniejszą Polityką).

Gdy Administrator działa jako Procesor:

Dotyczy: Danych klientów Klienta (osób trzecich, które korzystają z systemów wdrożonych przez Administratora).

Przykład:

  • ChatBot obsługujący klientów sklepu e-commerce Klienta (imiona, emaile, zapytania klientów sklepu)
  • VoiceAgent dzwoniący do pacjentów kliniki Klienta (imiona, telefony, dane zdrowotne - jeśli dotyczy)
  • Content Automation publikujący posty z wizerunkami klientów Klienta

Klient decyduje: o celach i sposobach przetwarzania tych danych (Klient jest Administratorem dla swoich klientów).

Administrator przetwarza: dane wyłącznie na polecenie Klienta i zgodnie z Umową Powierzenia Przetwarzania Danych (DPA) zgodnie z art. 28 RODO.

DPA zawiera:

  • Zakres danych powierzonych
  • Cele przetwarzania
  • Środki bezpieczeństwa
  • Zakaz powierzania dalszym podprocesorom bez zgody Klienta
  • Obowiązek zgłaszania naruszeń (data breach) w ciągu 72h
  • Prawo Klienta do audytu
  • Usunięcie/zwrot danych po zakończeniu umowy

5. PRZEKAZYWANIE DANYCH POZA EOG

5.1 Czy dane są przekazywane poza Europejski Obszar Gospodarczy?

TAK. Niektórzy Procesorzy (podmioty przetwarzające dane w imieniu Administratora) mają siedziby w USA (poza Europejskim Obszarem Gospodarczym).

Lista Procesorów w USA:

  • Vercel (hosting frontend)
  • Supabase (baza danych - EU region preferred)
  • Cloudflare (CDN, firewall - EU data center available)
  • Anthropic (Claude API)
  • ElevenLabs (VoiceAgent API)
  • Sentry (monitoring błędów - EU data residency available)
  • Stripe (płatności - EU processing available)
  • PayPal (płatności alternatywne)
  • ClickUp (CRM)
  • Cal.com (booking - self-hosted EU option available)
  • Slack (komunikacja wewnętrzna)
  • LinkedIn Ads, Meta Ads (reklamy)

5.2 Jak chronimy dane przekazywane poza EOG?

Administrator stosuje następujące zabezpieczenia zgodnie z art. 46 RODO:

A. Standardowe Klauzule Umowne (SCC - Standard Contractual Clauses)

Wszystkie DPA z Procesorami w USA zawierają Standardowe Klauzule Umowne zatwierdzone przez Komisję Europejską (Decyzja wykonawcza Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r.).

SCC zapewniają:

  • Obowiązek zapewnienia poziomu ochrony równoważnego RODO
  • Prawa osób, których dane dotyczą (dostęp, sprostowanie, usunięcie)
  • Zakaz dostępu organów trzecich krajów (USA) do danych bez podstawy prawnej zgodnej z RODO
  • Prawo do audytu przez Administratora
  • Odpowiedzialność za naruszenia

B. EU-US Data Privacy Framework (DPF)

Część Procesorów jest certyfikowana w ramach EU-US Data Privacy Framework (następca Privacy Shield, uznany przez Komisję Europejską w lipcu 2023):

  • Anthropic (Claude) - DPF certified
  • Stripe - DPF certified
  • Cloudflare - DPF certified

DPF zapewnia:

  • Przestrzeganie zasad RODO przez firmy amerykańskie
  • Nadzór przez Federalną Komisję Handlu USA (FTC)
  • Prawo do złożenia skargi do PUODO w przypadku naruszeń
  • Obowiązek powiadomienia o dostępie organów USA (FISA, CLOUD Act)

C. Dodatkowe zabezpieczenia (zgodnie z wyrokiem TSUE "Schrems II")

Zgodnie z wyrokiem TSUE C-311/18 (Schrems II), Administrator wdrożył dodatkowe zabezpieczenia uzupełniające SCC:

1. Szyfrowanie end-to-end:

  • Dane w tranzycie: TLS 1.3 (256-bit)
  • Dane at rest: AES-256 (Supabase, Vercel, Cloudflare)
  • Klucze szyfrujące przechowywane w EU (Supabase EU region, Cloudflare EU data center)

2. Minimalizacja danych:

  • Przekazywanie tylko danych niezbędnych do świadczenia Usług
  • Pseudonimizacja danych wrażliwych (np. IP → hashed IP)
  • Agregacja danych analitycznych (Google Analytics - EU hosting, no raw data export)

3. Wybór regionów EU (gdzie dostępne):

  • Supabase: EU Frankfurt region (preferred)
  • Vercel: EU region deployment (preferred)
  • Cloudflare: EU data center (CDN edge cache)
  • n8n Cloud: EU Frankfurt (Niemcy)
  • Sentry: EU data residency (Frankfurt)

4. Monitoring dostępu organów USA:

  • Procesorzy zobowiązani do powiadomienia Administratora o każdym żądaniu dostępu do danych przez organy USA (FISA, CLOUD Act, NSA)
  • Administrator informuje osoby, których dane dotyczą (chyba że prawo USA zakazuje - w takim przypadku zaskarżamy nakaz)

5. Transfer Impact Assessment (TIA):

  • Administrator przeprowadził ocenę skutków przekazania danych poza EOG zgodnie z wytycznymi EDPB 01/2020
  • Wniosek: Ryzyko dostępu organów USA jest zminimalizowane przez:
    • Szyfrowanie (organy USA nie mają kluczy)
    • Pseudonimizację (dane nie są "surowe")
    • Certyfikację DPF (Procesorzy mają obowiązek odmowy nieuzasadnionych żądań)
    • SCC + prawo do audytu

5.3 Czy mogę sprzeciwić się przekazaniu danych poza EOG?

TAK, ale z konsekwencjami:

  • Jeśli wyrażasz sprzeciw wobec przekazania danych poza EOG, nie będziemy w stanie świadczyć Usług (ChatBot, VoiceAgent, Content Automation), ponieważ kluczowe komponenty (Claude API, ElevenLabs) są dostępne tylko w USA.
  • Alternatywa: Możemy omówić self-hosting w EU (dedykowany serwer w Niemczech z open-source LLM: Mistral, LLaMA) - wymaga to jednak wyższych kosztów (5-10x) i może ograniczyć jakość AI.

Kontakt w sprawie sprzeciwu: kontakt@lessmanual.ai

6. OKRES PRZECHOWYWANIA DANYCH

6.1 Ogólna zasada

Dane osobowe są przechowywane przez okres niezbędny do realizacji celów przetwarzania, a następnie:

  • Usuwane (jeśli nie ma podstawy prawnej do dalszego przechowywania)
  • Archiwizowane (jeśli istnieje obowiązek prawny przechowywania, np. faktury)
  • Ograniczane (jeśli wniesiono sprzeciw, ale istnieje nadrzędny interes prawny Administratora)

6.2 Szczegółowe okresy przechowywania

Kategoria danych Okres przechowywania Podstawa prawna
Zapytania z formularza kontaktowego (bez umowy) 30 dni od udzielenia odpowiedzi Art. 6 ust. 1 lit. b RODO (przygotowanie do zawarcia umowy)
Dane Klientów (umowa aktywna) Przez czas trwania umowy Art. 6 ust. 1 lit. b RODO (wykonanie umowy)
Dane Klientów (umowa zakończona) 6 lat od zakończenia umowy Art. 6 ust. 1 lit. f RODO (dochodzenie roszczeń - przedawnienie zgodnie z Kodeksem cywilnym)
Faktury, dokumentacja księgowa 5 lat od końca roku podatkowego Art. 6 ust. 1 lit. c RODO (ustawa o rachunkowości, ordynacja podatkowa)
Umowy, dokumentacja projektowa 6 lat od zakończenia umowy Art. 6 ust. 1 lit. c RODO (Kodeks cywilny - przedawnienie roszczeń)
Marketing bezpośredni (prawnie uzasadniony interes) 3 lata od ostatniej interakcji LUB do momentu wniesienia sprzeciwu Art. 6 ust. 1 lit. f RODO
Newsletter (zgoda) Do momentu cofnięcia zgody LUB 3 lata bez aktywności (nie otwieranie emaili) Art. 6 ust. 1 lit. a RODO
Logi analityczne (Google Analytics) 90 dni Art. 6 ust. 1 lit. f RODO
Logi bezpieczeństwa (firewall, Sentry) 90 dni LUB do czasu zakończenia postępowania (jeśli wykryto atak) Art. 6 ust. 1 lit. f RODO
Nagrania VoiceAgent (standardowe) 90 dni LUB do momentu zakończenia sprawy Klienta Art. 6 ust. 1 lit. b RODO (wykonanie umowy)
Nagrania VoiceAgent (branże regulowane: finanse, ubezpieczenia) Zgodnie z wymogami branżowymi (np. 5 lat MiFID II, 10 lat ubezpieczenia) Art. 6 ust. 1 lit. c RODO (obowiązek prawny branżowy)
Backup danych (Supabase, Vercel) 30 dni (rolling backup) Art. 6 ust. 1 lit. f RODO (zabezpieczenie przed utratą danych)

6.3 Co się dzieje po upływie okresu przechowywania?

A. Usuwanie automatyczne (GDPR-compliant retention policies)

Dane są automatycznie usuwane po upływie okresu przechowywania:

  • Logi Google Analytics: automatyczne usunięcie po 90 dniach (polityka Google Analytics)
  • Logi bezpieczeństwa (Sentry): automatyczne usunięcie po 90 dniach (konfiguracja retencji)
  • Backup (Supabase): rolling backup - starsze niż 30 dni są automatycznie nadpisywane

B. Archiwizacja (dla danych objętych obowiązkiem prawnym)

Dane objęte obowiązkiem prawnym (faktury, umowy) są archiwizowane (ograniczenie dostępu, tylko do celów prawnych):

  • Dostęp tylko dla Administratora (biuro rachunkowe, w razie kontroli US/ZUS)
  • Brak użycia w celach marketingowych lub operacyjnych
  • Szyfrowanie at rest (AES-256)
  • Po upływie okresu prawnego (5/6 lat): trwałe usunięcie

C. Anonimizacja (dla danych statystycznych)

Dane statystyczne (np. liczba projektów, średni ROI, metryki wydajności systemów) mogą być anonimizowane (usunięcie wszystkich danych identyfikujących):

  • Przykład: "Projekt dla e-commerce 2024: ChatBot obsłużył 5000 zapytań, 95% satisfaction" → "E-commerce 2024, 5000 zapytań, 95% satisfaction" (bez nazwy firmy)
  • Dane anonimizowane nie są danymi osobowymi (art. 4 pkt 1 RODO) i mogą być przechowywane bezterminowo w celach statystycznych, raportowych, portfolio

6.4 Zasada minimalizacji (Privacy by Design)

Administrator stosuje zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO):

  • Zbieramy tylko dane niezbędne do realizacji celów
  • Nie zbieramy "na zapas" (np. nie prosimy o adres zamieszkania, jeśli nie jest potrzebny)
  • Regularny przegląd danych (co 12 miesięcy): usuwanie danych nieaktywnych Klientów

7. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

Zgodnie z RODO (Rozdziały II i III), przysługują Ci następujące prawa:

7.1 Prawo dostępu do danych (art. 15 RODO)

Co to znaczy: Masz prawo uzyskać potwierdzenie, czy przetwarzamy Twoje dane osobowe, a jeśli tak - otrzymać kopię swoich danych.

Co dostaniesz:

  • Potwierdzenie, czy przetwarzamy Twoje dane
  • Kopię danych osobowych (format JSON lub PDF)
  • Informacje o:
    • Celach przetwarzania
    • Kategoriach danych
    • Odbiorcach danych (lista Procesorów)
    • Okresie przechowywania
    • Prawach (sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie, skarga do PUODO)
    • Źródle danych (jeśli nie od Ciebie bezpośrednio)
    • Zautomatyzowanym podejmowaniu decyzji (w tym profilowaniu) - jeśli dotyczy

Termin odpowiedzi: 30 dni od otrzymania żądania (możliwe przedłużenie o 60 dni w przypadku złożonych żądań - z uzasadnieniem).

Koszt: Pierwsza kopia jest bezpłatna. Kolejne kopie (jeśli żądasz wielokrotnie w krótkim czasie) mogą być odpłatne (administracyjny koszt wydania kopii).

7.2 Prawo do sprostowania danych (art. 16 RODO)

Co to znaczy: Masz prawo żądać poprawienia błędnych lub niekompletnych danych.

Przykłady:

  • Zmiana adresu email (jeśli się zmienił)
  • Aktualizacja nazwy firmy (po rebrandingu)
  • Poprawienie błędnie wpisanego NIP
  • Uzupełnienie brakujących informacji

Termin realizacji: 30 dni od otrzymania żądania.

Obowiązek Administratora: Jeśli przekazaliśmy Twoje dane innym odbiorcom (Procesorom), poinformujemy ich o sprostowaniu (chyba że jest to niemożliwe lub wymaga niewspółmiernie dużego wysiłku).

7.3 Prawo do usunięcia danych - "prawo do bycia zapomnianym" (art. 17 RODO)

Co to znaczy: Masz prawo żądać usunięcia swoich danych, jeśli:

Kiedy możesz żądać usunięcia:

  1. Dane nie są już potrzebne do celów, dla których zostały zebrane

    • Przykład: Zapytałeś o ofertę, otrzymałeś odpowiedź, nie zawarłeś umowy - możesz żądać usunięcia po 30 dniach

  2. Cofnąłeś zgodę (jeśli przetwarzanie opierało się na zgodzie - art. 6 ust. 1 lit. a RODO)

    • Przykład: Zrezygnowałeś z newslettera - cofnięcie zgody = usunięcie danych z bazy mailingowej

  3. Wniosłeś sprzeciw wobec przetwarzania na podstawie prawnie uzasadnionego interesu (art. 21 RODO) i nie występują nadrzędne prawnie uzasadnione podstawy

    • Przykład: Sprzeciwasz się marketingowi bezpośredniemu - usuniemy Twoje dane z listy marketingowej

  4. Dane były przetwarzane niezgodnie z prawem

    • Przykład: Przetwarzaliśmy dane bez podstawy prawnej

  5. Dane muszą być usunięte w celu wywiązania się z obowiązku prawnego

    • Przykład: Nakaz sądu nakazujący usunięcie danych

  6. Dane zebrano w związku z oferowaniem usług społeczeństwa informacyjnego dzieciom (art. 8 RODO)

    • Nie dotyczy LessManual.ai (B2B, brak usług dla dzieci)

Kiedy NIE możemy usunąć danych (wyjątki - art. 17 ust. 3 RODO):

  1. Obowiązek prawny - musimy przechowywać dane ze względu na przepisy prawa

    • Przykład: Faktury (5 lat), umowy (6 lat) - ustawa o rachunkowości, Kodeks cywilny

  2. Dochodzenie roszczeń - dane są niezbędne do ustalenia, dochodzenia lub obrony przed roszczeniami

    • Przykład: Spór sądowy w toku, zaległości płatnicze

  3. Archiwizacja w interesie publicznym, badania naukowe, cele statystyczne

    • Nie dotyczy LessManual.ai (brak badań naukowych)

Termin realizacji: 30 dni od otrzymania żądania.

Co się stanie: Dane zostaną trwale usunięte z systemów produkcyjnych (Supabase, Vercel, ClickUp) oraz z backupów (nadpisanie w ciągu 30 dni). Jeśli przekazaliśmy dane Procesorom, poinformujemy ich o obowiązku usunięcia.

7.4 Prawo do ograniczenia przetwarzania (art. 18 RODO)

Co to znaczy: Masz prawo żądać zawieszenia przetwarzania (dane pozostają, ale nie są aktywnie przetwarzane) w następujących przypadkach:

Kiedy możesz żądać ograniczenia:

  1. Kwestionujesz prawidłowość danych - na okres umożliwiający nam sprawdzenie prawidłowości

    • Przykład: Twierdzisz, że NIP w naszym systemie jest błędny - ograniczamy przetwarzanie do czasu weryfikacji

  2. Przetwarzanie jest niezgodne z prawem, ale nie chcesz usunięcia (wolisz ograniczenie)

    • Przykład: Przetwarzamy dane bez podstawy prawnej, ale Ty potrzebujesz ich jako dowodu w sprawie sądowej

  3. Dane nie są już nam potrzebne, ale Ty ich potrzebujesz do ustalenia, dochodzenia lub obrony roszczeń

    • Przykład: Umowa zakończona, ale masz spór prawny z nami - chcesz zachować dane jako dowód

  4. Wniosłeś sprzeciw wobec przetwarzania (art. 21 RODO) - na okres ustalenia, czy nadrzędne prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec Twoich interesów

    • Przykład: Sprzeciwasz się przetwarzaniu w celach marketingowych - ograniczamy przetwarzanie do czasu rozpatrzenia sprzeciwu

Co się stanie:

  • Dane pozostają w systemie, ale są oznaczone jako "ograniczone"
  • Nie używamy ich operacyjnie (np. nie wysyłamy emaili marketingowych)
  • Możemy je przechowywać (np. na serwerze)
  • Możemy je przetwarzać tylko w następujących przypadkach:
    • Za Twoją zgodą
    • Do ustalenia, dochodzenia lub obrony roszczeń
    • Do ochrony praw innej osoby fizycznej lub prawnej
    • Ze względów ważnego interesu publicznego UE lub państwa członkowskiego

Termin realizacji: 30 dni od otrzymania żądania.

Obowiązek Administratora: Poinformujemy Cię przed uchyleniem ograniczenia przetwarzania.

7.5 Prawo do przenoszenia danych (art. 20 RODO)

Co to znaczy: Masz prawo otrzymać dane w ustrukturyzowanym, powszechnie używanym formacie (JSON, CSV) oraz przesłać je innemu administratorowi (np. konkurencji).

Warunki skorzystania z prawa do przenoszenia:

  1. Przetwarzanie odbywa się na podstawie zgody (art. 6 ust. 1 lit. a RODO) LUB umowy (art. 6 ust. 1 lit. b RODO)
  2. Przetwarzanie odbywa się w sposób zautomatyzowany (nie dotyczy danych w dokumentach papierowych)

Jakie dane możesz przenieść:

TAK - dane, które Ty dostarczyłeś Administratorowi:

  • Dane z formularzy kontaktowych (imię, email, firma, treść zapytania)
  • Dane z umów (dane kontaktowe, NIP, adres)
  • Dane z komunikacji (emaile, treść wiadomości - bez załączników będących utworami Administratora)
  • Parametry konfiguracji wdrożonych systemów (ChatBot, VoiceAgent)
  • Statystyki użytkowania wdrożonych systemów

NIE - dane wytworzone przez Administratora:

  • Dokumentacja projektowa (utworzona przez nas)
  • Kod źródłowy systemów (własność intelektualna Administratora)
  • Notatki wewnętrzne z rozmów (nasze interpretacje, strategie)
  • Analizy, raporty wygenerowane przez nas

Format: JSON, CSV, PDF (do wyboru).

Termin realizacji: 30 dni od otrzymania żądania.

Opcjonalnie: Możemy przesłać dane bezpośrednio innemu administratorowi (jeśli jest to technicznie możliwe i podasz nam kontakt).

7.6 Prawo do sprzeciwu (art. 21 RODO)

Co to znaczy: Masz prawo w każdej chwili wnieść sprzeciw wobec przetwarzania Twoich danych, jeśli:

A. Sprzeciw wobec przetwarzania na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO)

Dotyczy:

  • Marketing bezpośredni (email, telefon)
  • Analityka Serwisu (Google Analytics)
  • Portfolio, case studies (publikacja logo Klienta)

Skutek sprzeciwu:

  • Administrator zaprzestaje przetwarzania, chyba że:
    • Wykażemy nadrzędne prawnie uzasadnione podstawy (np. dochodzenie roszczeń w toku)
    • Przetwarzanie służy ustaleniu, dochodzeniu lub obronie roszczeń

Termin realizacji: Natychmiastowy (w przypadku marketingu) LUB 30 dni (w przypadku innych celów - z uzasadnieniem, jeśli występują nadrzędne podstawy).

B. Sprzeciw wobec przetwarzania w celach marketingu bezpośredniego (art. 21 ust. 2-3 RODO)

Dotyczy:

  • Cold email
  • Newsletter
  • Telefon marketingowy
  • Reklamy spersonalizowane (LinkedIn Ads, Meta Ads)

Skutek sprzeciwu:

  • Administrator ZAWSZE zaprzestaje przetwarzania (brak wyjątków!)
  • "Unsubscribe" w emailu = automatyczny sprzeciw

Termin realizacji: Natychmiastowy (najpóźniej przy następnej wysyłce).

C. Sprzeciw wobec profilowania (art. 21 ust. 2 RODO)

Dotyczy:

  • Profilowanie w celach marketingowych (personalizacja treści, rekomendacje)
  • Analiza zachowań w Serwisie

Skutek sprzeciwu:

  • Zaprzestanie profilowania (dane ogólne mogą być dalej przetwarzane, ale bez analizy zachowań)

Termin realizacji: 30 dni od otrzymania żądania.

Jak wnieść sprzeciw:

7.7 Prawo do cofnięcia zgody (art. 7 ust. 3 RODO)

Co to znaczy: Jeśli przetwarzanie opiera się na zgodzie (art. 6 ust. 1 lit. a RODO), masz prawo cofnąć zgodę w dowolnym momencie.

Dotyczy:

  • Newsletter (zgoda na otrzymywanie treści marketingowych)
  • Profilowanie (zgoda na analizę zachowań w celach marketingowych)
  • Publikacja case study (zgoda na publikację pełnych danych, zdjęć)

Skutek cofnięcia:

  • Zaprzestanie przetwarzania w celach objętych zgodą
  • Cofnięcie zgody NIE wpływa na zgodność z prawem przetwarzania dokonanego przed cofnięciem
  • Cofnięcie zgody NIE wpływa na przetwarzanie na innych podstawach prawnych (np. wykonanie umowy, obowiązek prawny)

Jak cofnąć zgodę:

Termin realizacji: Natychmiastowy (newsletter) LUB 7 dni (inne zgody).

7.8 Prawo do wniesienia skargi do organu nadzorczego (art. 77 RODO)

Co to znaczy: Jeśli uważasz, że przetwarzanie Twoich danych narusza RODO, masz prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

Dane kontaktowe PUODO:

Urząd Ochrony Danych Osobowych (UODO) ul. Stawki 2, 00-193 Warszawa, Polska

📧 Email: kancelaria@uodo.gov.pl 📞 Telefon: +48 22 531 03 00 🌐 Strona internetowa: https://uodo.gov.pl 📝 Formularz online: https://uodo.gov.pl/pl/p/skarga

Jak złożyć skargę:

  1. Online: https://uodo.gov.pl/pl/p/skarga (formularz elektroniczny)
  2. Email: kancelaria@uodo.gov.pl (skan podpisanej skargi PDF)
  3. Poczta: Wysłać skargę na adres: ul. Stawki 2, 00-193 Warszawa
  4. Osobiście: Kancelaria UODO (ul. Stawki 2, Warszawa) - pon-pt 8:15-16:15

Co powinna zawierać skarga:

  • Twoje dane (imię, nazwisko, adres, email)
  • Dane Administratora (LessManual.ai, Bartłomiej Chudzik)
  • Opis naruszenia (co Administrator zrobił niezgodnie z RODO)
  • Dowody (korespondencja, screenshoty, umowy)
  • Żądanie (co ma zrobić PUODO: przeprowadzić kontrolę, nałożyć karę, nakazać usunięcie danych)

Termin rozpatrzenia: PUODO rozpatruje skargi w terminie do 3 miesięcy (możliwe przedłużenie o 3 miesiące w skomplikowanych sprawach).

8. JAK SKORZYSTAĆ Z PRAW

8.1 Metody kontaktu

Aby skorzystać z któregokolwiek z praw opisanych w sekcji 7, skontaktuj się z Administratorem:

📧 Email (preferowany): kontakt@lessmanual.ai ✉️ Poczta: Bartłomiej Chudzik, LessManual.ai, Cendrowice, 05-530, Polska

8.2 Wymagania formalne

A. Potwierdzenie tożsamości (art. 12 ust. 6 RODO)

Aby chronić Twoje dane przed nieautoryzowanym dostępem, możemy poprosić o potwierdzenie tożsamości przed realizacją żądania:

Metody weryfikacji:

  • Email z adresu, który mamy w bazie (automatyczna weryfikacja)
  • Podanie unikalnych danych, które tylko Ty znasz (np. numer umowy, data ostatniego zamówienia, ostatnie 4 cyfry rachunku bankowego)
  • Kopia dowodu osobistego (UWAGA: zamazuj numer PESEL, serię/numer dowodu - wystarczy imię, nazwisko, zdjęcie)

Jeśli nie możemy potwierdzić tożsamości, możemy odmówić realizacji żądania (art. 12 ust. 6 RODO) - poinformujemy Cię o przyczynie odmowy.

B. Forma żądania

Preferowana forma: Email (najszybsza realizacja).

Treść żądania powinna zawierać:

  • Imię i nazwisko
  • Email / telefon (kontakt zwrotny)
  • Typ żądania (np. "Żądam dostępu do moich danych osobowych zgodnie z art. 15 RODO")
  • Zakres żądania (jeśli dotyczy tylko części danych, np. "tylko dane marketingowe")

Wzór żądania (dostęp do danych):

Temat: Żądanie dostępu do danych osobowych (art. 15 RODO)

Szanowni Państwo,

Na podstawie art. 15 RODO żądam udzielenia informacji o przetwarzaniu moich danych osobowych oraz udostępnienia kopii moich danych osobowych.

Dane kontaktowe:
- Imię i nazwisko: [Twoje imię i nazwisko]
- Email: [Twój email]
- Telefon: [Twój telefon]

Proszę o przesłanie kopii danych w formacie JSON na adres email podany powyżej.

Z poważaniem,
[Twoje imię i nazwisko]

8.3 Termin odpowiedzi

30 dni od otrzymania żądania (art. 12 ust. 3 RODO).

Możliwe przedłużenie o 60 dni w przypadku złożonych żądań lub dużej liczby żądań - z uzasadnieniem (poinformujemy Cię w ciągu 30 dni).

Jeśli nie udzielimy odpowiedzi w terminie, masz prawo:

  • Złożyć skargę do PUODO
  • Dochodzić odszkodowania na drodze sądowej (art. 82 RODO)

8.4 Koszt realizacji żądania

Pierwsza realizacja każdego żądania jest BEZPŁATNA (art. 12 ust. 5 RODO).

Możemy naliczyć opłatę (administracyjny koszt wydania kopii) jeśli:

  • Żądasz wielokrotnie tej samej kopii danych w krótkim czasie (np. 3x w miesiącu)
  • Żądanie jest oczywiście bezzasadne (np. żądasz danych osoby trzeciej, nie podajesz wystarczających informacji do identyfikacji)

Jeśli naliczymy opłatę, poinformujemy Cię przed realizacją o kwocie i uzasadnieniu.

9. ŚRODKI BEZPIECZEŃSTWA

Administrator wdraża odpowiednie środki techniczne i organizacyjne zgodnie z art. 32 RODO ("Bezpieczeństwo przetwarzania") oraz art. 25 RODO ("Ochrona danych w fazie projektowania i domyślna ochrona danych"):

9.1 Środki techniczne

A. Szyfrowanie

Dane w tranzycie (in transit):

  • TLS 1.3 (Transport Layer Security) - 256-bit encryption
  • Certyfikaty SSL/TLS: Let's Encrypt (automatyczne odnawianie co 90 dni)
  • HSTS (HTTP Strict Transport Security) - wymuszenie HTTPS
  • Brak obsługi przestarzałych protokołów (SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1)

Dane at rest (w spoczynku):

  • AES-256 (Advanced Encryption Standard) - szyfrowanie na poziomie bazy danych (Supabase, Vercel)
  • Szyfrowanie dysków (full disk encryption) - Cloudflare, Vercel, Supabase
  • Klucze szyfrujące przechowywane w oddzielnym systemie (AWS KMS, Vault)

Backup:

  • Szyfrowane backupy (AES-256)
  • Backupy przechowywane w EU (Frankfurt, Amsterdam)
  • Rolling backup: 30 dni (starsze automatycznie nadpisywane)

B. Kontrola dostępu

Multi-Factor Authentication (MFA):

  • Obowiązek MFA dla wszystkich kont administracyjnych (Supabase, Vercel, n8n, ClickUp)
  • TOTP (Time-based One-Time Password) - Google Authenticator, Authy
  • Brak dostępu tylko na podstawie hasła

Role-Based Access Control (RBAC):

  • Zasada najmniejszych uprawnień (Principle of Least Privilege)
  • Role: Admin (full access), Developer (code), Support (read-only)
  • Logi dostępu: kto, kiedy, do czego uzyskał dostęp

Hasła:

  • Wymóg silnych haseł: min. 12 znaków, wielkie/małe litery, cyfry, znaki specjalne
  • Menedżer haseł: 1Password (zespołowy vault)
  • Brak przechowywania haseł w plain text

C. Monitoring i alerty

Real-time monitoring:

  • Sentry - monitoring błędów aplikacji, logi eksceptions (EU data residency)
  • Cloudflare Analytics - monitoring ruchu, wykrywanie ataków DDoS
  • Supabase Realtime - monitoring zapytań do bazy danych, slow queries

Alerty bezpieczeństwa:

  • Slack - natychmiastowe powiadomienia o:
    • Nieudane próby logowania (>5 w ciągu 15 min)
    • Podejrzane zapytania do API (SQL injection attempts, XSS)
    • Spike ruchu (potencjalny DDoS)
    • Downtime (uptime monitoring: UptimeRobot, Pingdom)
  • Email - daily security digest (podsumowanie incydentów)

Logi bezpieczeństwa:

  • Przechowywane przez 90 dni
  • Zawierają: timestamp, IP, user agent, endpoint, status HTTP, response time
  • Regularny przegląd (tygodniowy) w poszukiwaniu anomalii

D. Firewall i ochrona przed atakami

Cloudflare WAF (Web Application Firewall):

  • Ochrona przed DDoS (L3/L4/L7)
  • Ochrona przed SQL injection, XSS, CSRF
  • Rate limiting (maksymalnie 100 requestów/minutę per IP dla API endpoints)
  • Bot detection (blokowanie złośliwych botów, scraping)

Supabase Row Level Security (RLS):

  • Każdy wiersz w bazie danych ma politykę dostępu (kto może odczytać/modyfikować)
  • Brak możliwości bezpośredniego dostępu do danych bez uwierzytelnienia
  • Policy: Klient widzi tylko swoje dane (nie danych innych Klientów)

OWASP Top 10 compliance:

  • Regularne testy penetracyjne (co 12 miesięcy)
  • Dependency scanning (automatyczne sprawdzanie podatności w bibliotekach - Snyk, Dependabot)
  • SAST/DAST (Static/Dynamic Application Security Testing) - przed każdym deploymentem

9.2 Środki organizacyjne

A. Polityki i procedury

Polityka Bezpieczeństwa Informacji (ISO 27001-inspired):

  • Zasady ochrony danych
  • Procedury backup i disaster recovery
  • Plan reakcji na incydenty (Incident Response Plan)
  • Szkolenia zespołu (co 6 miesięcy)

Procedura Data Breach (naruszenia ochrony danych):

  • Wykrycie naruszenia → zawiadomienie PUODO w ciągu 72h (art. 33 RODO)
  • Zawiadomienie osób, których dane dotyczą (jeśli wysokie ryzyko dla praw i wolności) - niezwłocznie (art. 34 RODO)
  • Post-mortem: analiza przyczyn, wdrożenie środków zapobiegawczych

Umowy powierzenia (DPA - Data Processing Agreement):

  • Wszystkie Procesory (Supabase, Vercel, Anthropic, etc.) mają podpisane DPA zgodnie z art. 28 RODO
  • Audyt Procesorów: roczny przegląd zgodności (certyfikaty SOC 2, ISO 27001, DPF)

B. Szkolenia zespołu

Onboarding security training:

  • Każdy nowy członek zespołu przechodzi szkolenie z RODO i bezpieczeństwa danych (4h)
  • Testy wiedzy (quiz) - wymagane 90% poprawnych odpowiedzi

Ongoing training:

  • Co 6 miesięcy: odświeżenie wiedzy (2h)
  • Ad-hoc: szkolenie po incydencie bezpieczeństwa (lessons learned)

Phishing awareness:

  • Symulowane ataki phishingowe (co kwartał)
  • Raportowanie podejrzanych emaili (dedykowany kanał Slack)

C. Audyty i compliance

Wewnętrzne audyty:

  • Co 12 miesięcy: przegląd polityk bezpieczeństwa
  • Co kwartał: przegląd dostępów (usuwanie nieaktywnych kont)
  • Co miesiąc: przegląd logów bezpieczeństwa

Zewnętrzne audyty:

  • Testy penetracyjne (penetration testing) - co 12 miesięcy (firma zewnętrzna)
  • Audyt RODO (Privacy audit) - co 24 miesiące (prawnik specjalista RODO)

9.3 Backup i Disaster Recovery

Backup Policy:

  • Daily automated backups (Supabase: 00:00 UTC, Vercel: continuous)
  • Retencja: 30 dni (rolling backup - starsze nadpisywane)
  • Lokalizacja: EU (Frankfurt, Amsterdam)
  • Szyfrowanie: AES-256
  • Testy odtwarzania: co kwartał (test restore z backupu)

Disaster Recovery Plan (DRP):

  • RTO (Recovery Time Objective): 4h (maksymalny czas przywrócenia systemu)
  • RPO (Recovery Point Objective): 24h (maksymalna utrata danych)
  • Failover: Automatyczny failover do backup region (Vercel multi-region, Supabase EU failover)

Business Continuity Plan (BCP):

  • Plan działania w przypadku:
    • Długotrwałego downtime (>4h)
    • Atak ransomware
    • Utrata dostępu do kluczowych systemów
  • Alternatywne kanały komunikacji (backup email, telefon)

9.4 Bezpieczeństwo w Development Lifecycle

Secure SDLC (Software Development Lifecycle):

1. Development:

  • Code review (każdy PR wymaga akceptacji drugiego developera)
  • Git branching strategy (main = production, staging, feature branches)
  • Secrets management: NIGDY nie commituj secrets do Git (API keys, passwords)
    • Użycie .env.local (gitignored)
    • Secrets w Vercel Environment Variables (encrypted at rest)

2. Testing:

  • Unit tests, integration tests (automatyczne przed każdym deploymentem)
  • Security tests (Snyk dependency scanning, OWASP ZAP - automatyczne)

3. Staging:

  • Deployment na staging environment (identyczny jak production, ale izolowany)
  • Manual QA + automated tests

4. Production:

  • Deployment tylko po przejściu wszystkich testów
  • Rollback plan (możliwość natychmiastowego rollbacku do poprzedniej wersji)

10. PROFILOWANIE I ZAUTOMATYZOWANE DECYZJE

10.1 Czy stosujemy profilowanie?

TAK, w ograniczonym zakresie.

Definicja profilowania (art. 4 pkt 4 RODO): "Dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się."

10.2 Jakie profilowanie stosujemy?

A. Profilowanie w celach marketingowych

Cel: Personalizacja treści marketingowych (email, LinkedIn Ads).

Jak to działa:

  • Analiza zachowań w Serwisie (które podstrony odwiedzasz, ile czasu spędzasz, z jakiego źródła przyszedłeś)
  • Segmentacja: "zainteresowany ChatBotem" vs "zainteresowany VoiceAgent" vs "zainteresowany Content Automation"
  • Wysyłka spersonalizowanych emaili (np. "Widzę, że interesuje Cię ChatBot - oto case study e-commerce")

Podstawa prawna:

  • Art. 6 ust. 1 lit. a RODO (zgoda) - dla profilowania wykraczającego poza podstawowe segmentacje
  • Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes) - dla podstawowych segmentacji

Prawo sprzeciwu:

  • TAK - możesz wnieść sprzeciw w każdej chwili (art. 21 ust. 2 RODO)
  • Link "Unsubscribe" w emailu LUB kontakt: kontakt@lessmanual.ai

Skutek sprzeciwu: Zaprzestanie profilowania (otrzymasz tylko ogólne emaile marketingowe, bez personalizacji).

B. Analityka użytkowania Serwisu

Cel: Optymalizacja UX, zrozumienie które treści są najbardziej interesujące.

Jak to działa:

  • Google Analytics (EU, GDPR-friendly, no cookies):
    • Które podstrony są najczęściej odwiedzane
    • Średni czas spędzony na stronie
    • Źródło ruchu (Google, LinkedIn, direct)
  • Agregacja danych (np. "80% użytkowników przychodzi z LinkedIn")

Podstawa prawna:

  • Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora: optymalizacja Serwisu)

Prawo sprzeciwu:

  • TAK - wycofaj zgodę w ustawieniach cookies lub użyj Google Analytics Opt-out Add-on

C. Lead scoring (dla zespołu sprzedaży)

Cel: Priorytetyzacja leadów (którzy Klienci mają największe prawdopodobieństwo konwersji).

Jak to działa:

  • Analiza zachowań (ile razy odwiedził Serwis, czy otworzył email, czy ściągnął case study)
  • Scoring: 0-100 pkt (im więcej interakcji, tym wyższa punktacja)
  • Wysokie score → priorytet dla CSO (Sales)

Podstawa prawna:

  • Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora: optymalizacja sprzedaży)

Prawo sprzeciwu:

Skutek sprzeciwu: Zaprzestanie lead scoring (będziesz traktowany jak każdy inny lead, bez priorytetyzacji).

10.3 Czy stosujemy w pełni zautomatyzowane decyzje (art. 22 RODO)?

NIE.

Definicja w pełni zautomatyzowanej decyzji (art. 22 ust. 1 RODO): "Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa."

Co to znaczy w praktyce:

  • Decyzja podejmowana wyłącznie przez algorytm/AI (bez udziału człowieka)
  • Decyzja ma skutki prawne (np. odmowa kredytu, rozwiązanie umowy) LUB istotnie wpływa na osobę (np. odmowa zatrudnienia, wysoka cena ubezpieczenia)

LessManual.ai NIE stosuje takich decyzji:

  • Lead scoring → Rekomendacja dla człowieka (CSO), ale decyzję o kontakcie podejmuje człowiek
  • Segmentacja marketingowa → Automatyczne wysyłanie emailów, ale nie ma skutków prawnych (możesz zrezygnować w każdej chwili)
  • Analityka Serwisu → Agregacja danych, brak decyzji wpływających na Użytkownika

Jeśli kiedykolwiek wdrożymy w pełni zautomatyzowane decyzje (np. automatyczna kwalifikacja do programu lojalnościowego), poinformujemy o tym wyraźnie i zapewnimy:

  • Prawo do uzyskania interwencji ludzkiej (art. 22 ust. 3 RODO)
  • Prawo do wyrażenia własnego stanowiska
  • Prawo do zakwestionowania decyzji

11. PLIKI COOKIES

11.1 Odesłanie do Polityki Cookies

Szczegółowe informacje o plikach cookies (ciasteczkach) znajdują się w osobnym dokumencie:

Polityka Cookies LessManual.ai

11.2 Podsumowanie (TL;DR)

LessManual.ai stosuje minimalistyczne podejście do cookies:

Cookies niezbędne (techniczne):

  • Brak cookies session (Supabase używa localStorage, nie cookies)
  • Brak cookies uwierzytelnienia (JWT token w localStorage)

Cookies funkcjonalne:

  • Cal.com - zapamiętanie strefy czasowej (booking spotkań)

Cookies analityczne:

  • Google Analytics - cookies: _ga, _gid, _gat (identyfikacja użytkowników, analiza ruchu)

Cookies marketingowe:

  • LinkedIn Ads - pixel śledzący (tylko jeśli wyrażasz zgodę)
  • Meta Ads (Facebook/Instagram) - pixel śledzący (tylko jeśli wyrażasz zgodę)

WAŻNE: Możesz odrzucić cookies marketingowe (banner zgody przy pierwszej wizycie). Cookies niezbędne są zawsze aktywne (bez nich Serwis nie działa poprawnie).

12. ZMIANY POLITYKI

12.1 Prawo do zmiany Polityki

Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności w każdym momencie, w szczególności w przypadku:

  • Zmian w przepisach prawa (RODO, ustawa o ochronie danych osobowych, dyrektywa ePrivacy)
  • Zmian w technologiach przetwarzania (nowe narzędzia, Procesorzy)
  • Zmian w zakresie Usług (nowe produkty, funkcjonalności)
  • Zaleceń PUODO lub wytycznych EDPB (European Data Protection Board)

12.2 Powiadomienie o zmianach

A. Istotne zmiany (wpływające na prawa osób, których dane dotyczą)

Przykłady istotnych zmian:

  • Nowa kategoria odbiorców danych (np. nowy Procesor w USA)
  • Nowy cel przetwarzania (np. rozpoczęcie profilowania)
  • Zmiana podstawy prawnej (np. z uzasadnionego interesu na zgodę)
  • Wydłużenie okresu przechowywania danych

Procedura powiadamiania:

  1. Email do wszystkich Klientów - minimum 14 dni przed wejściem w życie nowej Polityki
  2. Banner w Serwisie - widoczny przez 30 dni po wejściu w życie
  3. Możliwość sprzeciwu - jeśli nie zgadzasz się z nowymi zasadami, możesz:
    • Wnieść sprzeciw (kontakt: kontakt@lessmanual.ai)
    • Wypowiedzieć umowę (bez okresów wypowiedzenia, w ciągu 30 dni od powiadomienia)

B. Nieistotne zmiany (nie wpływające na prawa)

Przykłady nieistotnych zmian:

  • Aktualizacja danych kontaktowych (nowy email, telefon)
  • Doprecyzowanie definicji (bez zmiany zakresu przetwarzania)
  • Poprawki edytorskie (literówki, formatowanie)

Procedura powiadamiania:

  • Banner w Serwisie (jednorazowe wyświetlenie przy następnej wizycie)
  • Historia zmian na dole Polityki (data + podsumowanie zmian)

12.3 Historia zmian

Aktualna wersja: 1.0 (data wejścia w życie: 30 października 2025)

Poprzednie wersje:

  • Brak (pierwsza wersja Polityki)

13. SZCZEGÓLNE POSTANOWIENIA DLA POLSKI

13.1 Podstawy prawne polskie

Oprócz RODO, Administrator stosuje się do następujących polskich przepisów:

A. Ustawa o ochronie danych osobowych (z dnia 10 maja 2018 r.)

  • Art. 10 ust. 1 - obowiązek prowadzenia rejestru czynności przetwarzania (jeśli dotyczy)
  • Art. 12 - zgłaszanie naruszeń ochrony danych osobowych do PUODO (72h)
  • Art. 18 - podstawy prawne przetwarzania danych w celach archiwalnych, badań naukowych

B. Prawo telekomunikacyjne (ustawa z dnia 16 lipca 2004 r.)

  • Art. 173 - wymóg zgody na przechowywanie cookies marketingowych (implementacja dyrektywy ePrivacy)
    • Wyjątek: Cookies techniczne niezbędne do świadczenia usług (nie wymagają zgody)
  • Art. 172 - zakaz telemarketingu bez zgody

C. Ustawa o świadczeniu usług drogą elektroniczną (z dnia 18 lipca 2002 r.)

  • Art. 10 ust. 2 - wymóg zgody na otrzymywanie informacji handlowych drogą elektroniczną (email, SMS)
  • Art. 13 ust. 1 - zakaz spamu (wysyłka bez zgody)

WAŻNE: Administrator przestrzega zakazu spamu - nigdy nie wysyłamy emaili marketingowych bez zgody lub prawnie uzasadnionego interesu (B2B marketing bezpośredni - art. 10 ust. 2 wyjątek "soft opt-in").

D. Ustawa o rachunkowości (z dnia 29 września 1994 r.)

  • Art. 74 - obowiązek przechowywania faktur przez 5 lat

E. Kodeks cywilny (ustawa z dnia 23 kwietnia 1964 r.)

  • Art. 118 - 6-letnie przedawnienie roszczeń (podstawa dla przechowywania umów przez 6 lat)

13.2 PUODO - Prezes Urzędu Ochrony Danych Osobowych

Organ nadzorczy w Polsce:

Urząd Ochrony Danych Osobowych (UODO) ul. Stawki 2, 00-193 Warszawa, Polska

📧 Email: kancelaria@uodo.gov.pl 📞 Telefon: +48 22 531 03 00 🌐 Strona internetowa: https://uodo.gov.pl 📝 Formularz skargi online: https://uodo.gov.pl/pl/p/skarga

Uprawnienia PUODO:

  • Przeprowadzanie kontroli przestrzegania RODO
  • Nakładanie kar administracyjnych (do 20 mln EUR lub 4% globalnego rocznego obrotu)
  • Nakazywanie usunięcia danych
  • Ograniczanie przetwarzania
  • Zawieszanie przekazywania danych poza EOG

Twoje prawa wobec PUODO:

  • Złożenie skargi (jeśli uważasz, że Administrator narusza RODO)
  • Wniosek o wszczęcie kontroli
  • Dostęp do decyzji PUODO (rejestry publiczne)

13.3 Rejestr Czynności Przetwarzania (art. 30 RODO)

Administrator prowadzi Rejestr Czynności Przetwarzania zgodnie z art. 30 RODO.

Rejestr zawiera:

  • Nazwy i dane kontaktowe Administratora
  • Cele przetwarzania
  • Kategorie osób, których dane dotyczą (Klienci, Użytkownicy Serwisu, Leady)
  • Kategorie danych osobowych (podstawowe, techniczne, transakcyjne, komunikacyjne)
  • Kategorie odbiorców (Procesorzy: Supabase, Vercel, Anthropic, etc.)
  • Przekazywanie danych poza EOG (USA - SCC, DPF)
  • Okresy przechowywania
  • Środki bezpieczeństwa techniczne i organizacyjne

Dostęp do Rejestru:

  • PUODO - na żądanie (podczas kontroli)
  • Osoby, których dane dotyczą - na żądanie (w ramach prawa dostępu, art. 15 RODO)

Kontakt w sprawie Rejestru: kontakt@lessmanual.ai

14. POSTANOWIENIA KOŃCOWE

14.1 Dane kontaktowe Administratora

Bartłomiej Chudzik LessManual.ai Cendrowice, 05-530, Polska NIP: 1231589909

📧 Email: kontakt@lessmanual.ai 🌐 Strona internetowa: https://lessmanual.ai

W sprawach dotyczących ochrony danych osobowych: kontakt@lessmanual.ai (Subject: "RODO - [Twoje imię i nazwisko]")

14.2 Obowiązek informacyjny (art. 13-14 RODO)

Niniejsza Polityka Prywatności stanowi realizację obowiązku informacyjnego wynikającego z art. 13 RODO (informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą) oraz art. 14 RODO (informacje podawane w przypadku, gdy danych osobowych nie uzyskano od osoby, której dane dotyczą).

Administrator spełnił obowiązek informacyjny poprzez:

  • Publikację niniejszej Polityki na stronie https://lessmanual.ai/legal/polityka-prywatnosci
  • Link do Polityki w każdym formularzu kontaktowym, checkboxie RODO, stopce emaili
  • Informację w pierwszym emailu kontaktowym (po zapytaniu z formularza)

14.3 Prawo właściwe i jurysdykcja

Prawo właściwe: Niniejsza Polityka podlega prawu polskiemu oraz Rozporządzeniu RODO (UE) 2016/679.

Jurysdykcja: W przypadku sporów dotyczących ochrony danych osobowych, właściwy jest sąd polski zgodnie z miejscem zamieszkania/siedziby Administratora (Cendrowice, Polska) lub miejscem zamieszkania osoby, której dane dotyczą (zgodnie z art. 79 ust. 2 RODO - osoba ma wybór).

14.4 Klauzula salwatoryjna

W przypadku uznania któregokolwiek postanowienia niniejszej Polityki za nieważne lub nieskuteczne, pozostałe postanowienia pozostają w mocy. Nieważne postanowienie zostanie zastąpione postanowieniem ważnym, najbliższym zamierzeniu stron.

14.5 Wersje językowe

Niniejsza Polityka Prywatności została sporządzona w języku polskim. W przypadku tłumaczeń na inne języki (angielski, niemiecki), wersja polska jest wersją wiążącą.

15. PODSUMOWANIE I KONTAKT

15.1 Podsumowanie kluczowych informacji

Temat Kluczowe informacje
Administrator Bartłomiej Chudzik, LessManual.ai, Cendrowice, Polska
Cele przetwarzania Świadczenie Usług, marketing, obowiązki prawne, bezpieczeństwo IT, dochodzenie roszczeń
Podstawy prawne Umowa (art. 6.1.b), obowiązek prawny (6.1.c), uzasadniony interes (6.1.f), zgoda (6.1.a)
Odbiorcy danych Procesorzy (Supabase, Vercel, Anthropic, ElevenLabs, Google Analytics, Stripe, ClickUp, etc.), organy publiczne (na żądanie)
Przekazanie poza EOG USA (Standardowe Klauzule Umowne SCC, EU-US Data Privacy Framework DPF, dodatkowe zabezpieczenia Schrems II)
Okres przechowywania 5 lat (faktury), 6 lat (umowy), 3 lata (marketing), 90 dni (logi bezpieczeństwa)
Prawa osób Dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw, cofnięcie zgody
Skarga do PUODO https://uodo.gov.pl, kancelaria@uodo.gov.pl, ul. Stawki 2, Warszawa
Profilowanie Marketing, analityka, lead scoring - prawo sprzeciwu. BRAK w pełni zautomatyzowanych decyzji (art. 22 RODO)
Bezpieczeństwo TLS 1.3, AES-256, MFA, RBAC, monitoring 24/7, backup codziennie, procedura data breach <72h
Cookies Minimalistyczne (brak cookies analitycznych - Google Analytics), marketingowe tylko za zgodą
Zmiany Polityki Powiadomienie email 14 dni przed istotnymi zmianami

15.2 Pytania? Skontaktuj się z nami

Jeśli masz pytania dotyczące niniejszej Polityki Prywatności lub przetwarzania Twoich danych osobowych, skontaktuj się z nami:

📧 Email: kontakt@lessmanual.ai (Subject: "RODO - [Twoje pytanie]") ✉️ Poczta: Bartłomiej Chudzik, LessManual.ai, Cendrowice, 05-530, Polska

Czas odpowiedzi: 7 dni roboczych (pytania ogólne), 30 dni (żądania dostępu, usunięcia, etc. zgodnie z RODO).

15.3 Dokumenty powiązane

Niniejsza Polityka Prywatności została przygotowana z najwyższą starannością i zgodnie z najlepszymi praktykami RODO oraz polskiego prawa ochrony danych osobowych.

Administrator zobowiązuje się do przestrzegania wszystkich postanowień niniejszej Polityki oraz do ciągłego doskonalenia procesów ochrony danych osobowych.

Data wejścia w życie: 30 października 2025 Wersja: 1.0

Bartłomiej Chudzik LessManual.ai Administrator Danych Osobowych

Last updated: November 12, 2025