Politica de confidențialitate

Wersja 1.0 · 1 iunie 2026

Politica de confidențialitate este disponibilă exclusiv în limba polonă (versiune obligatorie din punct de vedere juridic). Traducerea în română va fi disponibilă în curând.

1. Administrator danych

Administratorem danych osobowych jest:

SPOTMEUP spółka z ograniczoną odpowiedzialnością

ul. Stefana Okrzei 1A / P. X, 03-715 Warszawa, Polska

KRS: 0001190579 · NIP: 1133177347 · REGON: 542534058

Sąd Rejonowy dla m.st. Warszawy, kapitał zakładowy: 5 000 zł (opłacony w całości)

Reprezentacja: Agnieszka Koper — Prezes Zarządu (każdy członek zarządu samodzielnie)

Spółka prowadzi platformę ArchiPuro dostępną pod adresem archipuro.com, dedykowaną pracowniom architektonicznym i architektom wnętrz (dalej: “Administrator” lub “ArchiPuro”).

Kontakt w sprawach danych osobowych: kontakt@archipuro.com

1a. Inspektor Ochrony Danych (IOD)

Administrator nie powołał Inspektora Ochrony Danych, ponieważ nie zachodzą przesłanki obowiązkowego powołania IOD określone w art. 37 ust. 1 RODO (Administrator nie jest organem publicznym, nie prowadzi przetwarzania na dużą skalę szczególnych kategorii danych, ani nie wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę).

We wszystkich sprawach dotyczących ochrony danych osobowych prosimy o kontakt bezpośredni z Administratorem: kontakt@archipuro.com.

2. Jakie dane zbieramy

W ramach korzystania z Serwisu przetwarzamy następujące kategorie danych:

Dane właścicieli pracowni

  • Imię i nazwisko
  • Adres e-mail
  • Numer telefonu
  • NIP i nazwa firmy
  • Adres siedziby

Dane pracowników pracowni

  • Imię i nazwisko
  • Adres e-mail służbowy
  • Rola w systemie (administrator, projektant, asystent)

Dane klientów pracowni

Przetwarzane w imieniu Pracowni (Pracownia jako administrator tych danych):

  • Imię i nazwisko
  • Adres e-mail
  • Numer telefonu
  • Adres nieruchomości (jeśli podany)
  • Historia projektów i komunikacji

Dane projektowe

  • Pliki projektowe (rzuty, wizualizacje, specyfikacje)
  • Kosztorysy i budżety
  • Umowy i dokumenty
  • Wybór materiałów i dostawców

Dane techniczne

  • Adres IP
  • Typ przeglądarki i systemu operacyjnego
  • Czas i data wizyty
  • Strony odwiedzone w Serwisie

Dane płatnicze

Płatności obsługiwane są przez Stripe. Nie przechowujemy danych kart płatniczych, kodów BLIK ani danych autoryzacyjnych. Przechowujemy jedynie informacje o statusie płatności i historii transakcji.

3. Cele przetwarzania

  • Świadczenie usługi — zarządzanie projektami, CRM, faktury, materiały, harmonogramy, dokumenty.
  • Faktury i księgowość — wystawianie faktur VAT, rozliczenia, raporty finansowe.
  • Komunikacja — powiadomienia systemowe, e-maile transakcyjne, wsparcie techniczne.
  • AI Asystent — generowanie sugestii materiałów, analiza kosztorysów, podsumowania spotkań, automatyzacja zadań.
  • Marketplace materiałów — prezentacja produktów dostawców, realizacja zamówień.
  • Portal klienta — udostępnianie postępów projektu klientom pracowni.
  • Analityka i rozwój — anonimowe statystyki użytkowania w celu ulepszania produktu.
  • Bezpieczeństwo — wykrywanie i zapobieganie nieautoryzowanemu dostępowi.

4. Podstawy prawne (RODO)

Przetwarzamy dane osobowe na następujących podstawach prawnych:

  • Art. 6 ust. 1 lit. b RODO — wykonanie umowy: świadczenie usługi ArchiPuro, obsługa konta i subskrypcji, przechowywanie plików projektowych.
  • Art. 6 ust. 1 lit. a RODO — zgoda: komunikacja marketingowa, cookies analityczne, newsletter.
  • Art. 6 ust. 1 lit. f RODO — uzasadniony interes: analityka i rozwój produktu, bezpieczeństwo systemu, dochodzenie roszczeń.
  • Art. 6 ust. 1 lit. c RODO — obowiązek prawny: prowadzenie księgowości, wystawianie faktur, przechowywanie dokumentacji podatkowej.

5. Powierzenie przetwarzania (art. 28 RODO)

W relacji Pracownia – Klient Pracowni, to Pracownia jest administratorem danych osobowych swoich klientów. ArchiPuro (SPOTMEUP sp. z o.o.) działa wyłącznie jako podmiot przetwarzający (procesor) na podstawie umowy powierzenia przetwarzania danych (DPA — Data Processing Agreement) zawieranej przy rejestracji konta Pracowni.

Treść DPA spełnia wymagania art. 28 ust. 3 RODO i obejmuje w szczególności:

  • przedmiot, czas trwania, charakter i cel przetwarzania,
  • rodzaj danych osobowych i kategorie osób, których dane dotyczą,
  • obowiązki i prawa Pracowni jako administratora,
  • zobowiązanie ArchiPuro do przetwarzania danych wyłącznie na udokumentowane polecenie Pracowni,
  • obowiązek zachowania poufności przez osoby upoważnione do przetwarzania,
  • środki bezpieczeństwa zgodne z art. 32 RODO (TLS, szyfrowanie at-rest, RBAC, audyty),
  • warunki korzystania z dalszych podmiotów przetwarzających (subprocesorów — lista w sekcji 6),
  • obowiązek pomocy Pracowni w realizacji praw osób, których dane dotyczą,
  • obowiązek zgłoszenia naruszenia ochrony danych w terminie 72h,
  • warunki zwrotu lub usunięcia danych po zakończeniu świadczenia usługi.

Pracownia odpowiada za zapewnienie właściwej podstawy prawnej do przetwarzania danych swoich klientów oraz za realizację ich praw wynikających z RODO. Egzemplarz DPA dostępny jest na żądanie pod adresem kontakt@archipuro.com.

6. Udostępnianie danych

Dane mogą być przekazywane następującym podmiotom przetwarzającym:

  • Stripe — obsługa płatności online (USA, Standard Contractual Clauses). Certyfikacja PCI DSS Level 1.
  • Neon — baza danych PostgreSQL (serwery w EU). Dane przechowywane na terenie Unii Europejskiej.
  • Vercel — hosting aplikacji i CDN (USA, Standard Contractual Clauses).
  • Anthropic — przetwarzanie zapytań AI (USA, Standard Contractual Clauses). Dane przesyłane do AI są ograniczone do minimum niezbędnego do realizacji funkcji. Dane nie są wykorzystywane do trenowania modeli.
  • Resend — wysyłka e-maili transakcyjnych i powiadomień (USA, Standard Contractual Clauses).

W przypadku transferu danych poza EOG stosujemy Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską.

7. Okres przechowywania

  • Dane konta — do momentu usunięcia konta + 30 dni na trwałe usunięcie danych.
  • Pliki projektowe — 12 miesięcy po zakończeniu projektu (lub do ręcznego usunięcia przez Użytkownika, jeśli wcześniej).
  • Dane księgowe — 5 lat zgodnie z wymogami prawa podatkowego.
  • Dane analityczne — zanonimizowane, przechowywane bezterminowo.
  • Logi AI — 90 dni, następnie automatyczne usunięcie.
  • Kopie zapasowe — 30 dni retencji.

8. Prawa użytkownika

Zgodnie z RODO przysługuje Ci prawo do:

  • Dostępu — uzyskania informacji o przetwarzanych danych osobowych.
  • Sprostowania — poprawienia nieprawidłowych lub niekompletnych danych.
  • Usunięcia — żądania usunięcia danych (“prawo do bycia zapomnianym”).
  • Ograniczenia przetwarzania — żądania tymczasowego wstrzymania przetwarzania.
  • Przenoszenia danych — otrzymania danych w formacie nadającym się do odczytu maszynowego (CSV/JSON).
  • Sprzeciwu — wniesienia sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie.
  • Cofnięcia zgody — w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania sprzed cofnięcia.
  • Skargi do UODO — wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).

Realizacja praw: kontakt@archipuro.com. Odpowiadamy w ciągu 30 dni od otrzymania żądania.

9. Pliki cookies

Serwis wykorzystuje pliki cookies (ciasteczka) zgodnie z art. 173 Prawa telekomunikacyjnego (implementacja dyrektywy ePrivacy) w następujących kategoriach:

Cookies niezbędne (nie wymagają zgody)

NazwaCelCzas
crm_sessionSesja zalogowanego użytkownika (JWT)7 dni
cookie_consentZapamiętanie wyboru w banerze cookies12 miesięcy
NEXT_LOCALEWybrany język interfejsu (PL/EN/UK)12 miesięcy

Podstawa: art. 6 ust. 1 lit. f RODO (uzasadniony interes — prawidłowe działanie Serwisu) oraz art. 173 ust. 3 Prawa telekomunikacyjnego (cookies niezbędne do świadczenia usługi).

Cookies analityczne (wymagają zgody)

DostawcaCelCzas
Vercel AnalyticsAnonimowa analityka odsłon i wydajności (bez identyfikacji użytkownika, bez fingerprintingu)do 24 miesięcy

Podstawa: art. 6 ust. 1 lit. a RODO (zgoda). Cookies analityczne instalowane są wyłącznie po zaakceptowaniu w banerze. Brak zgody nie ogranicza dostępu do Serwisu.

Użytkownik może w dowolnym momencie wycofać zgodę poprzez wyczyszczenie cookies w przeglądarce lub kontakt z Administratorem. Większość przeglądarek pozwala na zarządzanie cookies w ustawieniach prywatności. Wyłączenie cookies niezbędnych może uniemożliwić korzystanie z Serwisu.

Serwis nie używa cookies marketingowych, nie korzysta z Google Analytics, Meta Pixel ani innych narzędzi reklamowych third-party. Lista cookies jest na bieżąco aktualizowana — obowiązująca wersja jest zawsze dostępna w niniejszej Polityce.

9a. Profilowanie i zautomatyzowane podejmowanie decyzji

Zgodnie z art. 22 RODO informujemy:

  • Nie podejmujemy zautomatyzowanych decyzjiwywołujących skutki prawne lub w podobny sposób istotnie wpływających na użytkownika (np. odmów usług, automatycznego scoringu kredytowego, automatycznych rozwiązań umowy).
  • AI Asystentgeneruje sugestie (wybór materiałów, podsumowania spotkań, szkice komunikacji) wyłącznie jako rekomendacje — każda decyzja końcowa jest podejmowana przez człowieka (architekta, użytkownika).
  • Profilowanie w rozumieniu RODO występuje wyłącznie w funkcjach AI Asystenta, wyłącznie w obrębie konta jednej Pracowni i wyłącznie w celu wsparcia pracy operacyjnej. Dane nie są łączone między Pracowniami ani wykorzystywane do celów marketingowych.
  • Użytkownik ma prawo do wyrażenia własnego stanowiska, zakwestionowania sugestii AI i żądania interwencji człowieka — w praktyce wystarczy nie zaakceptować sugestii w interfejsie, a w sprawach formalnych skierować zapytanie na kontakt@archipuro.com.
  • Użytkownik może w dowolnym momencie wyłączyć funkcje AIw ustawieniach konta — korzystanie z Serwisu nie jest od nich uzależnione.

10. Bezpieczeństwo

Stosujemy następujące środki techniczne i organizacyjne w celu ochrony danych:

  • Szyfrowanie TLS/SSL — cała komunikacja z Serwisem jest szyfrowana.
  • Hashowanie haseł (bcrypt) — hasła nie są przechowywane w postaci jawnej.
  • Kontrola dostępu RBAC — role i uprawnienia ograniczają dostęp do danych.
  • Audyty bezpieczeństwa — regularne przeglądy zabezpieczeń systemu.
  • Szyfrowanie plików — pliki projektowe przechowywane w szyfrowanej chmurze.
  • Stripe PCI DSS Level 1 — dane płatnicze przetwarzane przez certyfikowanego dostawcę.

11. AI i przetwarzanie danych

ArchiPuro wykorzystuje modele sztucznej inteligencji dostarczane przez Anthropic, PBC (model Claude). Korzystamy z planu Anthropic z umową DPA i wyłączonym treningiem na danych klienta (Zero Data Retention — ZDR opt-in).

Jakie dane są przesyłane do AI

Przekazujemy do AI wyłącznie minimalny zakres danych niezbędny do realizacji konkretnej funkcji uruchomionej przez użytkownika:

  • Treść zapytania użytkownika (np. polecenie do AI Asystenta).
  • Kontekst projektu (nazwa, status, kosztorys, harmonogram) — tylko gdy funkcja tego wymaga.
  • Notatki ze spotkań (transkrypcja audio) — tylko przy ręcznym uruchomieniu funkcji podsumowania.
  • Dane klienta pracowni (imię, e-mail) — tylko gdy zapytanie wprost dotyczy danego klienta i wyłącznie w niezbędnym zakresie.

Co NIE jest przesyłane do AI

  • Hasła, tokeny autoryzacyjne, klucze API.
  • Dane płatnicze (numery kart, kody BLIK — obsługiwane przez Stripe).
  • Pełne pliki projektowe (PDF, DWG, JPG) — AI otrzymuje wyłącznie metadane.
  • Numer NIP klienta i dane finansowe spoza zakresu konkretnego zapytania.

Gwarancje

  • Brak treningu modeli — dane przesyłane do Anthropic nie są wykorzystywane do trenowania ani fine-tuningu modeli (gwarancja umowna).
  • Lokalizacja — przetwarzanie odbywa się w infrastrukturze Anthropic w USA, na podstawie Standard Contractual Clauses (SCC) Komisji Europejskiej.
  • Logi po naszej stronie — przechowywane przez 90 dni w celach diagnostyki i naliczania kosztów, następnie automatycznie usuwane.
  • Wyłączenie — użytkownik może wyłączyć funkcje AI w ustawieniach konta; Serwis działa bez nich.

12. Dane z usług Google (Kalendarz i Dysk)

ArchiPuro umożliwia opcjonalne połączenie konta Google użytkownika w celu integracji z Kalendarzem Google i Dyskiem Google. Połączenie jest dobrowolne, inicjowane wyłącznie przez użytkownika i nie jest wymagane do korzystania z Serwisu.

Jakie dane Google przetwarzamy i w jakim celu

  • Kalendarz Google (calendar.events) — odczyt i zapis wydarzeń, aby synchronizować spotkania i terminy projektowe między ArchiPuro a kalendarzem użytkownika.
  • Adres e-mail (userinfo.email) — identyfikacja połączonego konta.

Ograniczone wykorzystanie (Google API Limited Use)

Wykorzystanie informacji otrzymanych z interfejsów API Google odbywa się zgodnie z Google API Services User Data Policy, w tym z wymogami Limited Use:

  • Dane z Google wykorzystujemy wyłącznie do dostarczenia i utrzymania funkcji widocznych dla użytkownika (integracja Kalendarza Google).
  • Nie sprzedajemy danych Google i nie wykorzystujemy ich do reklam.
  • Nie wykorzystujemy danych Google do trenowania ani fine-tuningu modeli sztucznej inteligencji.
  • Nie udostępniamy danych Google podmiotom trzecim poza zakresem niezbędnym do świadczenia usługi, wymogami prawa lub za wyraźną zgodą użytkownika.
  • Dostęp człowieka do danych Google jest wyłączony, z wyjątkiem: zgody użytkownika, bezpieczeństwa (np. badanie nadużycia), wymogu prawa lub przetwarzania zagregowanego/zanonimizowanego na potrzeby utrzymania.

Przechowywanie i cofnięcie dostępu

  • Tokeny autoryzacyjne Google przechowujemy w postaci zaszyfrowanej i nie są przesyłane do AI ani podmiotów trzecich.
  • Tokeny autoryzacyjne Google są przechowywane przez czas trwania aktywnego połączenia integracji. Po rozłączeniu konta są usuwane w ciągu 24 godzin.
  • Użytkownik może w dowolnym momencie odłączyć konto Google w ustawieniach ArchiPuro oraz cofnąć dostęp w ustawieniach uprawnień konta Google.
  • Po odłączeniu konta przechowywane tokeny są usuwane.

13. Zmiany polityki prywatności

O zmianach polityki prywatności informujemy drogą mailową co najmniej 14 dni przed ich wejściem w życie. Aktualna wersja polityki jest zawsze dostępna pod adresem archipuro.com/prywatnosc.

Kontakt w sprawach ochrony danych osobowych: kontakt@archipuro.com