Dokument prawny

Polityka Prywatności

Obowiązuje od: 12 maja 2026 · veribu.io

§1. Administrator danych

Administratorem danych osobowych Użytkowników serwisu veribu.io (dalej: „Serwis") jest [NAZWA SPÓŁKI] z siedzibą w [MIASTO], [ADRES], NIP: [NIP] (dalej: „Administrator" lub „Operator").

Kontakt w sprawach dotyczących przetwarzania danych osobowych: kontakt@veribu.io.

Podstawą prawną przetwarzania danych jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: „RODO") oraz ustawa o ochronie danych osobowych z dnia 10 maja 2018 r.

§2. Jakie dane zbieramy

2.1. Dane konta (rejestracja): adres email, hasło (przechowywane wyłącznie jako hash bcrypt — nigdy w postaci jawnej), opcjonalnie imię/nazwa. Data potwierdzenia adresu email oraz data akceptacji Regulaminu i Polityki Prywatności.

2.2. Dane lokalizacji biznesu (opcjonalne): adres siedziby, kod pocztowy, promień obsługi. Podawane przez Użytkownika w panelu „Moje konto" i wykorzystywane do precyzyjniejszych analiz lokalizacyjnych (np. saturacja rynku, średnie wynagrodzenia w województwie).

2.3. Dane do faktury (opcjonalne): nazwa firmy, NIP, adres rozliczeniowy. Wykorzystywane wyłącznie do wystawiania dokumentów księgowych za zakup pakietów płatnych.

2.4. Dane wprowadzone do formularzy analizy: wartości liczbowe (przychody, koszty, zatrudnienie, marże), branża, dane jakościowe opisujące specyfikę firmy. Przechowywane tylko wtedy, gdy Użytkownik świadomie zapisze analizę przez funkcję „Zapisz analizę".

2.5. Wygenerowane raporty AI: wynikowe raporty z analiz — tekst, wskaźniki, rekomendacje. Powiązane z kontem Użytkownika i dostępne wyłącznie dla niego (poza kontami administracyjnymi w celach diagnostycznych).

2.6. Historia płatności: data transakcji, kwota, plan, status, identyfikator transakcji Przelewy24. Wymagane przepisami o rachunkowości (5 lat zgodnie z ustawą o VAT).

2.7. Odpowiedzi na ankiety satysfakcji: ocena przydatności analizy (skala 1-10), opcjonalne uwagi tekstowe („co wymaga poprawy", „czego brakuje"), data wypełnienia, świadoma zgoda RODO na przetwarzanie. Patrz §3.7 — dedykowana podstawa prawna.

2.8. Dane techniczne i analityczne: adres IP (tylko jako hash z sekretem, nigdy w postaci jawnej), typ przeglądarki (User-Agent — zanonimizowany), ścieżka odwiedzanej strony, adres odsyłający, znacznik czasu. Cookie pierwszej strony veribu_vid (identyfikator anonimowego odwiedzającego, ważność 180 dni). Endpoint analityki respektuje nagłówek DNT: 1.

2.9. Drafty (wersje robocze formularzy): niedokończone formularze analiz zapisywane na koncie Użytkownika. Wygasają automatycznie po 90 dniach od ostatniej edycji.

§3. Cele i podstawy prawne przetwarzania

3.1. Świadczenie usług (logowanie, generowanie analiz, zapisywanie raportów): art. 6 ust. 1 lit. b RODO — wykonanie umowy o świadczenie usług drogą elektroniczną.

3.2. Realizacja płatności i wystawianie dokumentów księgowych: art. 6 ust. 1 lit. c RODO — wypełnienie obowiązku prawnego (ustawa o rachunkowości, ustawa o VAT).

3.3. Wysyłka maili transakcyjnych (aktywacja konta, reset hasła, zaproszenia Programu poleceń): art. 6 ust. 1 lit. b RODO — wykonanie umowy.

3.4. Bezpieczeństwo Serwisu, zapobieganie nadużyciom i fraudom (rate limiting, audyt logowań, monitoring): art. 6 ust. 1 lit. f RODO — uzasadniony interes Administratora.

3.5. Analityka odwiedzin Serwisu (zanonimizowana): art. 6 ust. 1 lit. f RODO — uzasadniony interes (rozwój produktu, optymalizacja UX). Dane są zhashowane — nie pozwalają na identyfikację konkretnej osoby.

3.6. Mail follow-up z zaproszeniem do ankiety satysfakcji: art. 6 ust. 1 lit. f RODO — uzasadniony interes (pozyskanie feedbacku od istniejących klientów). Można w każdej chwili zrezygnować z otrzymywania takich wiadomości przez kontakt z Administratorem.

3.7. Zbieranie odpowiedzi na ankietę satysfakcji: art. 6 ust. 1 lit. a RODO — świadoma zgoda Użytkownika, wyrażona przez zaznaczenie checkbox-a w formularzu ankiety. Zgodę można w każdej chwili wycofać przez kontakt z Administratorem (wycofanie nie wpływa na zgodność z prawem przetwarzania, którego dokonano przed wycofaniem).

§4. Komu dane są udostępniane

Administrator powierza dane następującym podmiotom przetwarzającym (procesorom):

4.1. Anthropic PBC (USA) — dostawca modelu sztucznej inteligencji Claude AI, który generuje treść analiz na podstawie danych wprowadzonych przez Użytkownika. Transfer poza Europejski Obszar Gospodarczy odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską. Polityka prywatności Anthropic: anthropic.com/privacy.

4.2. PayPro SA (Przelewy24) — operator płatności, przetwarza dane transakcyjne i kontaktowe niezbędne do realizacji płatności online. Polityka prywatności: przelewy24.pl.

4.3. Hetzner Online GmbH (Niemcy) — dostawca infrastruktury hostingowej. Dane przechowywane w centrum danych na terenie UE. Polityka prywatności: hetzner.com.

4.4. Dostawca usług SMTP — używany wyłącznie do wysyłki maili transakcyjnych (aktywacja konta, reset hasła, zaproszenia, follow-up ankiet). Treść maili nie zawiera danych wrażliwych.

4.5. Administrator nie sprzedaje, nie wynajmuje i nie udostępnia danych Użytkowników do celów marketingowych podmiotom trzecim.

4.6. Dane mogą zostać udostępnione organom państwowym wyłącznie na podstawie obowiązujących przepisów prawa (np. nakaz sądowy).

§5. Jak długo przechowujemy dane

5.1. Dane konta i analiz: przez cały okres aktywnego konta. Po usunięciu konta — niezwłocznie kasowane (poza danymi wymaganymi prawem, patrz 5.2).

5.2. Dane księgowe i transakcyjne: 5 lat od końca roku obrotowego, w którym dokonano transakcji — zgodnie z ustawą o rachunkowości i ustawą o VAT.

5.3. Drafty: 90 dni od ostatniej edycji — automatycznie kasowane przez zadanie cykliczne.

5.4. Logi techniczne i analityka: do 24 miesięcy (zanonimizowane).

5.5. Odpowiedzi na ankietę satysfakcji: do 24 miesięcy od daty wypełnienia. Po tym okresie są usuwane lub w pełni anonimizowane (oddzielenie odpowiedzi od identyfikatora użytkownika).

5.6. Tokeny resetu hasła i aktywacji konta: automatycznie tracą ważność po użyciu lub po godzinie (reset hasła) / 24 godzinach (aktywacja).

§6. Twoje prawa

Zgodnie z RODO, Użytkownik ma prawo do:

6.1. Dostępu do swoich danych (art. 15 RODO) — w tym uzyskania kopii.

6.2. Sprostowania danych nieprawidłowych (art. 16 RODO).

6.3. Usunięcia danych („prawo do bycia zapomnianym", art. 17 RODO) — z wyłączeniem danych przechowywanych na podstawie obowiązku prawnego (księgowość).

6.4. Ograniczenia przetwarzania (art. 18 RODO).

6.5. Przenoszenia danych (art. 20 RODO) — otrzymanie własnych danych w formacie ustrukturyzowanym.

6.6. Wniesienia sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie (art. 21 RODO).

6.7. Wycofania zgody w dowolnym momencie — dotyczy danych przetwarzanych na podstawie zgody (m.in. odpowiedzi ankietowe). Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano przed jej wycofaniem.

6.8. Wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

Aby skorzystać z któregoś z powyższych praw, skontaktuj się z nami pod adresem kontakt@veribu.io. Odpowiadamy na zgłoszenia w terminie maksymalnie 30 dni.

§7. Transfer danych poza EOG

Część danych (treść analiz wysyłana do modelu AI) jest przekazywana do Anthropic PBC z siedzibą w Stanach Zjednoczonych. Transfer odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych decyzją Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 r., co zapewnia odpowiedni poziom ochrony danych wymagany przez RODO.

Pozostałe dane są przetwarzane wyłącznie w Europejskim Obszarze Gospodarczym.

§8. Pliki cookies

8.1. Serwis używa wyłącznie cookies pierwszej strony (first-party) — nie wykorzystujemy zewnętrznych narzędzi reklamowych ani trackerów typu Google Analytics, Facebook Pixel.

8.2. Cookies funkcjonalne:

  • next-auth.session-token — token sesji zalogowanego Użytkownika (niezbędny do działania logowania).
  • veribu_vid — anonimowy identyfikator odwiedzającego (analityka, ważność 180 dni). Respektuje DNT.

8.3. Można w każdej chwili usunąć cookies przez ustawienia przeglądarki. Usunięcie cookies sesyjnych spowoduje wylogowanie z konta.

§9. Bezpieczeństwo danych

9.1. Hasła Użytkowników są przechowywane wyłącznie jako hash kryptograficzny (bcrypt z 12 rundami) — pliku z hasłami w postaci jawnej nie ma na żadnym etapie.

9.2. Klucze API zarządzane z panelu administracyjnego są szyfrowane przy zapisie do bazy algorytmem AES-256-GCM. Sam dump bazy nie pozwala ich odczytać — wymagany jest dodatkowo klucz główny przechowywany poza bazą.

9.3. Komunikacja między Użytkownikiem a Serwisem jest szyfrowana protokołem TLS (HTTPS) z certyfikatem zaufanego urzędu certyfikacji.

9.4. Tokeny resetu hasła i aktywacji konta są przechowywane w bazie wyłącznie jako hash SHA-256 — raw token istnieje tylko w wysłanym mailu i nie da się go odtworzyć z bazy.

9.5. Dostęp do panelu administracyjnego mają wyłącznie osoby z uprawnieniami przyznanymi przez Administratora.

§10. Zmiany Polityki Prywatności

10.1. Administrator zastrzega prawo do aktualizacji niniejszej Polityki Prywatności. O istotnych zmianach Użytkownicy posiadający konto zostaną powiadomieni drogą e-mailową z co najmniej 14-dniowym wyprzedzeniem.

10.2. Aktualna wersja Polityki jest zawsze dostępna pod adresem veribu.io/polityka-prywatnosci.

10.3. Pytania dotyczące niniejszej Polityki kierować do: kontakt@veribu.io.

Ostatnia aktualizacja: 12 maja 2026