Polityka prywatności

Dokument z dnia 11.05.2026r. v1.0

§1. POSTANOWIENIA OGÓLNE

1. Administratorem danych osobowych jest Airtilion Sp. z o.o. z siedzibą w Tarnowie, Słoneczna 32/9, 33-100 Tarnów, NIP: 8733299720, KRS: 0001143482 (dalej: "Administrator").
2. Kontakt z Administratorem jest możliwy pod adresem e-mail: contact@airtilion.com lub kontakt@miverto.pl
3. Administrator przetwarza dane zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO).

§2. ZAKRES I CEL PRZETWARZANIA DANYCH

Przetwarzamy dane w następujących grupach:

1. Dane Klientów (Użytkowników Panelu):
• Zakres (Biznes): Nazwa firmy, NIP, adres, e-mail, telefon, Stripe Customer/Subscription ID, daty płatności, klucze API, kody promocyjne, logi transakcyjne, faktury.
• Zakres (Osoby prywatne): Imię i nazwisko, e-mail, telefon, Stripe Customer/Subscription ID, logi transakcyjne.
• Cel: Realizacja umowy o świadczenie usług (MiVerto), obsługa płatności, wystawianie faktur, obsługa programu partnerskiego, komunikacja techniczna.
• Podstawa: Art. 6 ust. 1 lit. b (wykonanie umowy) oraz lit. c (obowiązek prawny/księgowy).
2. Dane Użytkowników Końcowych (Klientów naszych Klientów):
• Zakres: Adres URL strony z czatem, podsumowania rozmów, dane przeglądarki (język, platforma, referrer, screenRes, userAgent).
• Dane Osobowe (po akceptacji w czacie): Imię, nazwisko, e-mail, telefon, numery przesyłek, dane do newslettera/rezerwacji, wartość poleconych produktów.
• Cel: Świadczenie usługi asystenta AI dla Klienta, analityka skuteczności sprzedaży bota.
• Podstawa: Administrator przetwarza te dane jako Procesor na zlecenie Klienta zgodnie z umową powierzenia danych (patrz: Załącznik nr 1 – DPA)
3. Dane Użytkowników Końcowych (Klientów naszych Klientów):
• Zakres: Odczytana treść stron WWW, pliki PDF/TXT/CSV/XLSX/DOCX (oryginalne i zwektoryzowane), listy produktów, avatary botów.
• Cel: Trenowanie i personalizacja odpowiedzi asystenta AI w ramach konkretnej organizacji.

§3. ODBIORCY DANYCH I SUBPROCESORZY

Dla zapewnienia najwyższej jakości usług, korzystamy z usług sprawdzonych dostawców:

1. Supabase: Przechowywanie bazy danych (serwery w EOG).
2. Google (Gemini & Embeddings): Silnik sztucznej inteligencji i wektoryzacja danych.
3. Stripe: Obsługa płatności online i danych subskrypcyjnych.
4. Fakturownia:S ystem do wystawiania i przechowywania faktur VAT.
5. Partnerzy: W ramach programu partnerskiego, Partner widzi nazwę poleconej organizacji, pakiet, status płatności oraz wysokość prowizji (brak dostępu do treści rozmów bota oraz szczegółowych informacji).

§4. TRANSFER POZA EOG

Niektóre z naszych narzędzi (Google, Stripe) mogą przechowywać dane w USA. Zapewniamy bezpieczeństwo poprzez stosowanie Standardowych Klauzul Umownych (SCC) oraz wybór dostawców certyfikowanych w ramach Data Privacy Framework.

§5. CZAS PRZECHOWYWANIA DANYCH

1. Dane konta: Przez okres trwania umowy oraz do czasu przedawnienia roszczeń (zazwyczaj 3 lata).
2. Dane księgowe (faktury): Przez okres 5 lat zgodnie z wymogami prawa podatkowego.
3. Leady i historia rozmów: Przez okres zdefiniowany przez Klienta w panelu lub do czasu usunięcia organizacji.

§6. TECHNIKI MARKETINGOWE

1. Analityka (Google Analytics / Search Console): Analiza ruchu na stronie miverto.pl..
2. Marketing (FB Pixel / GTM):W celach remarketingowych (wyświetlanie reklam osobom, które odwiedziły serwis).
3. Użytkownik może zarządzać cookies poprzez baner na stronie lub ustawienia przeglądarki. Nie stosujemy profilowania wywołującego skutki prawne.

§7. PLIKI COOKIES

1. Serwis korzysta z plików cookies (sesyjnych i stałych) oraz podobnych technologii w celach:
• Niezbędnych: Umożliwienie logowania, utrzymanie sesji (Supabase Auth) i płatności (Stripe).
• Analitycznych: Monitorowanie ruchu na stronie (Google Analytics, Search Console).
• Marketingowych: Z wykorzystaniem Google Tag Manager (GTM) oraz Facebook Pixel w celu mierzenia skuteczności reklam i remarketingu.
2. Zgodę na pliki analityczne i marketingowe można w każdej chwili wycofać, korzystając z banera cookies na stronie lub w ustawieniach przeglądarki.

§8. PRAWA UŻYTKOWNIKÓW

Zgodnie z RODO, każdemu Użytkownikowi przysługuje prawo: dostępu do swoich danych (art. 15 RODO), sprostowania (art. 16 RODO), usunięcia ("prawo do bycia zapomnianym" - art. 17 RODO), ograniczenia przetwarzania (art. 18 RODO), przenoszenia danych (art. 20 RODO) oraz wniesienia sprzeciwu (art. 21 RODO). Użytkownik ma również prawo wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych w Warszawie), jeśli uzna, że przetwarzanie narusza prawo.

§9. BEZPIECZEŃSTWO

Administrator stosuje certyfikaty SSL, szyfrowanie bazy danych, bezpieczne haszowanie haseł (Supabase Auth) oraz rygorystyczną kontrolę dostępu do infrastruktury serwerowej

ZAŁĄCZNIK NR 1: UMOWA POWIERZENIA PRZETWARZANIA DANYCH (DPA)

§1. PRZEDMIOT UMOWY

Klient powierza Administratorowi (Airtilion Sp. z o.o.) przetwarzanie danych osobowych użytkowników końcowych (leady, historia rozmów) w celu świadczenia usługi asystenta AI.

§2. ZAKRES I KATEGORIE DANYCH

1. Kategorie osób: Osoby odwiedzające stronę Klienta i korzystające z czatu.
2. Zakres: Imię, nazwisko, e-mail, telefon, dane techniczne przeglądarki, treść zapytań, dane kontekstowe (np. nr zamówienia).

§3. OBOWIĄZKI PROCESORA

1. Procesor przetwarza dane wyłącznie na polecenie Klienta (wynikające z konfiguracji bota).
2. Procesor zapewnia poufność danych przez upoważnionych pracowników.
3. Procesor umożliwia Klientowi realizację praw osób, których dane dotyczą (usuwanie/eksport leadów).
4. Procesor zobowiązuje się powiadomić Klienta o każdym stwierdzonym naruszeniu ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Powiadomienie powinno zawierać co najmniej opis charakteru naruszenia oraz wskazanie punktu kontaktowego, u którego można uzyskać więcej informacji.

§4. SUB-PROCESORZY

Klient wyraża zgodę na korzystanie przez Procesora z usług sub-procesorów wymienionych w Polityce Prywatności (Supabase, Google, Stripe, Fakturownia).

§5. ODPOWIEDZIALNOŚĆ

Procesor odpowiada za szkody spowodowane przetwarzaniem tylko wtedy, gdy nie dopełnił obowiązków nałożonych na niego przez RODO.