Polityka Prywatności — ugodakonsumencka.pl
Wersja: 1.0 Data wejścia w życie: 22 marca 2026 r. Ostatnia aktualizacja: 22 marca 2026 r.
1. INFORMACJE OGÓLNE
1.1. Administrator Danych Osobowych
Administratorem danych osobowych przetwarzanych za pośrednictwem serwisu internetowego ugodakonsumencka.pl (dalej: "Serwis") jest:
KANCELARIA POMOCY PRAWNEJ FINTEO Sp. z o.o. ul. Antoniego Madalińskiego 1K/26, 80-034 Gdańsk NIP: 5833513223 KRS: 0001113990 Adres e-mail do spraw ochrony danych: [email protected] Adres e-mail ogólny: [email protected] Telefon: +48 666 168 802
(dalej: "Administrator")
1.2. Zakres Polityki
Niniejsza Polityka Prywatności (dalej: "Polityka") opisuje zasady zbierania, przetwarzania, przechowywania i ochrony danych osobowych wyłącznie w kontekście:
a) korzystania z serwisu internetowego ugodakonsumencka.pl — portalu edukacyjnego o restrukturyzacji zadłużenia i ugodach konsumenckich (dalej: "Expert");
b) integracji z platformami Meta Platforms, Inc. — w szczególności Facebook, Facebook Messenger, WhatsApp Business — w zakresie Fanpage'a "Ugoda Konsumencka";
c) publikacji treści edukacyjnych na platformie TikTok;
d) automatyzacji obsługi klienta i komunikacji z wykorzystaniem API Meta oraz sztucznej inteligencji;
e) przetwarzania danych pozyskanych za pośrednictwem formularzy kontaktowych, kalkulatorów i narzędzi interaktywnych dostępnych w Serwisie.
Niniejsza Polityka dotyczy wyłącznie serwisu ugodakonsumencka.pl. Pozostałe domeny Administratora (np. app.ninjabot.pl) posiadają odrębne polityki prywatności.
1.3. Podstawy prawne
Przetwarzanie danych osobowych odbywa się zgodnie z:
- Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: "RODO");
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 z późn. zm.);
- Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 Nr 144, poz. 1204 z późn. zm.);
- Ustawa z dnia 16 lipca 2004 r. — Prawo telekomunikacyjne (Dz.U. 2004 Nr 171, poz. 1800 z późn. zm.);
- Warunkami Platformy Meta (Meta Platform Terms) oraz Polityką Programistów Meta (Developer Policies);
- Polityką biznesową WhatsApp (WhatsApp Business Policy);
- Warunkami Platformy TikTok (TikTok Platform Terms) oraz TikTok for Business Policies.
1.4. Definicje
- Serwis — strona internetowa ugodakonsumencka.pl;
- Expert — portal edukacyjny o restrukturyzacji zadłużenia i ugodach konsumenckich, prowadzony pod domeną ugodakonsumencka.pl;
- Fanpage — strona "Ugoda Konsumencka" na platformie Facebook (ID: 951127444757145);
- Aplikacja Meta — NinjaBot Automat (App ID: 898066436524377);
- Platforma — system NinjaBot obsługujący automatyzację marketingową i komunikację;
- AI — sztuczna inteligencja Anthropic Claude wykorzystywana do automatyzacji odpowiedzi;
- NinjaBox — interaktywny kokpit dla użytkownika (kalkulator, formularz kontaktowy, booking);
- Użytkownik — każda osoba fizyczna odwiedzająca Serwis, wchodząca w interakcję z Fanpage'em lub komunikująca się z Administratorem za pośrednictwem kanałów cyfrowych.
2. DANE ZBIERANE W RAMACH INTEGRACJI Z META
2.1. Informacje ogólne o integracji
Aplikacja NinjaBot Automat (App ID: 898066436524377) obsługuje Fanpage "Ugoda Konsumencka" (ID: 951127444757145) na platformie Facebook. Aplikacja korzysta z następujących uprawnień Meta Graph API. Dla każdego uprawnienia poniżej wskazano: zakres zbieranych danych, cel przetwarzania, podstawę prawną RODO i okres przechowywania.
2.1.1. pages_read_user_content
| Parametr | Opis |
|---|---|
| Zakres danych | Treść postów, komentarzy i reakcji użytkowników opublikowanych na Fanpage'u "Ugoda Konsumencka" (ID: 951127444757145). Obejmuje: treść tekstową komentarza, identyfikator autora komentarza (Facebook User ID), datę i czas publikacji, ewentualne załączniki (zdjęcia, linki). |
| Cel przetwarzania | (1) Monitorowanie komentarzy w celu szybkiego reagowania na zapytania osób zainteresowanych ugodami konsumenckimi i restrukturyzacją zadłużenia; (2) Moderacja treści — usuwanie spamu, treści obraźliwych, oszustw; (3) Analiza potrzeb i nastrojów użytkowników w celu poprawy jakości treści edukacyjnych; (4) Identyfikacja osób potrzebujących pilnej pomocy prawnej w zakresie oddłużania. |
| Podstawa prawna | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora polegający na obsłudze klienta, moderacji Fanpage'a i zapewnieniu bezpieczeństwa komunikacji. |
| Okres przechowywania | Dane przechowywane przez okres istnienia komentarza na Fanpage'u lub do 24 miesięcy w bazie danych Platformy, w zależności od tego co nastąpi wcześniej. |
| Co NIE jest zbierane | Prywatne dane profilowe użytkowników komentujących (lista znajomych, data urodzenia, adres zamieszkania, numer telefonu). |
2.1.2. pages_manage_posts
| Parametr | Opis |
|---|---|
| Zakres danych | Treści postów tworzonych, edytowanych i usuwanych za pośrednictwem Platformy na Fanpage'u "Ugoda Konsumencka". Obejmuje: tekst postu, załączniki multimedialne (grafiki, wideo), linki, ustawienia publikacji (data, czas, widoczność). |
| Cel przetwarzania | (1) Publikacja postów edukacyjnych o ugodach konsumenckich, oddłużaniu, restrukturyzacji zadłużenia, ochronie majątku; (2) Planowanie treści marketingowych (content calendar); (3) Edycja i aktualizacja istniejących publikacji; (4) Automatyczna publikacja treści generowanych z pomocą AI. |
| Podstawa prawna | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora polegający na prowadzeniu działalności marketingowej i edukacyjnej. |
| Okres przechowywania | Treści przechowywane przez okres ich publikacji na Fanpage'u. Kopie robocze w Platformie — do 36 miesięcy. |
| Co NIE jest zbierane | Dane osobowe użytkowników Facebooka nie będą dodawane do treści postów bez ich wyraźnej zgody. |
2.1.3. pages_messaging
| Parametr | Opis |
|---|---|
| Zakres danych | Treść wiadomości wymienianych między Fanpage'em a użytkownikami za pośrednictwem Facebook Messenger. Obejmuje: tekst wiadomości, załączniki przesłane przez użytkownika (zdjęcia, dokumenty), identyfikator użytkownika (PSID — Page-Scoped User ID), datę i czas wiadomości, metadane konwersacji. |
| Cel przetwarzania | (1) Automatyczna obsługa zapytań za pomocą AI (Anthropic Claude) — odpowiedzi na pytania o ugody konsumenckie, proces oddłużania, warunki współpracy; (2) Przekierowanie złożonych zapytań do konsultanta ludzkiego; (3) Zbieranie danych kontaktowych (za wyraźną zgodą użytkownika) w celu umówienia konsultacji; (4) Analiza częstotliwości i typów zapytań w celu poprawy jakości obsługi. |
| Podstawa prawna | Art. 6 ust. 1 lit. a RODO (zgoda — użytkownik inicjuje konwersację) oraz Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — obsługa klienta). |
| Okres przechowywania | Treść konwersacji: do 24 miesięcy od ostatniej wiadomości. Dane kontaktowe pozyskane w toku konwersacji: do 36 miesięcy lub do wycofania zgody. |
| Co NIE jest zbierane | Administrator nie uzyskuje dostępu do prywatnych wiadomości użytkowników z innymi osobami/stronami. Dostęp ograniczony wyłącznie do konwersacji z Fanpage'em "Ugoda Konsumencka". |
| Informacja o AI | Odpowiedzi automatyczne są generowane przez model Anthropic Claude. Użytkownik jest informowany o wykorzystaniu AI na początku konwersacji. Szczegóły w sekcji 6 niniejszej Polityki. |
2.1.4. whatsapp_business_messaging
| Parametr | Opis |
|---|---|
| Zakres danych | Treść wiadomości wymienianych za pośrednictwem WhatsApp Business API między numerem biznesowym Administratora a użytkownikami. Obejmuje: tekst wiadomości, numer telefonu użytkownika, datę i czas wiadomości, status doręczenia, ewentualne załączniki. |
| Cel przetwarzania | (1) Komunikacja z osobami zainteresowanymi ugodami konsumenckimi i oddłużaniem; (2) Automatyczne odpowiedzi AI na częste pytania; (3) Wysyłanie powiadomień o statusie sprawy (za zgodą); (4) Umówienie konsultacji telefonicznych lub wideo. |
| Podstawa prawna | Art. 6 ust. 1 lit. a RODO (zgoda — użytkownik inicjuje kontakt lub wyraził zgodę na komunikację) oraz Art. 6 ust. 1 lit. b RODO (wykonanie umowy lub działania przed zawarciem umowy). |
| Okres przechowywania | Treść konwersacji: do 24 miesięcy. Numer telefonu i dane kontaktowe: do 36 miesięcy lub do wycofania zgody. |
| Co NIE jest zbierane | Lokalizacja użytkownika, lista kontaktów, zdjęcie profilowe WhatsApp, status "ostatnio widziany". |
2.1.5. whatsapp_business_management
| Parametr | Opis |
|---|---|
| Zakres danych | Dane konfiguracyjne konta WhatsApp Business (WABA): numery telefonów przypisane do konta, szablony wiadomości, ustawienia profilu biznesowego, metryki doręczalności. |
| Cel przetwarzania | (1) Zarządzanie kontem WhatsApp Business; (2) Tworzenie i zarządzanie szablonami wiadomości; (3) Monitorowanie jakości doręczalności; (4) Konfiguracja automatyzacji. |
| Podstawa prawna | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora polegający na prawidłowym funkcjonowaniu kanału komunikacji. |
| Okres przechowywania | Dane konfiguracyjne: przez okres korzystania z WhatsApp Business API. Metryki: do 12 miesięcy. |
| Co NIE jest zbierane | Uprawnienie to nie daje dostępu do treści wiadomości użytkowników — jedynie do konfiguracji konta WABA. |
2.1.6. pages_show_list
| Parametr | Opis |
|---|---|
| Zakres danych | Lista stron (Fanpage'ów) zarządzanych przez Administratora na platformie Facebook. Obejmuje: nazwy stron, identyfikatory (Page ID), kategorie, podstawowe metryki. |
| Cel przetwarzania | Wyświetlanie listy dostępnych stron w panelu zarządzania Platformy NinjaBot w celu wyboru strony do obsługi. |
| Podstawa prawna | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (zarządzanie własnymi zasobami). |
| Okres przechowywania | Dane przechowywane przez okres aktywności integracji. |
| Co NIE jest zbierane | Uprawnienie nie daje dostępu do danych użytkowników odwiedzających strony. |
2.1.7. pages_manage_metadata
| Parametr | Opis |
|---|---|
| Zakres danych | Metadane Fanpage'a "Ugoda Konsumencka": nazwa, opis, kategoria, godziny otwarcia, adres, zdjęcie profilowe, zdjęcie w tle, ustawienia strony. |
| Cel przetwarzania | (1) Aktualizacja informacji o firmie na Fanpage'u; (2) Zmiana ustawień strony (np. godziny odpowiedzi, kategoria); (3) Zapewnienie spójności informacji między Serwisem a Fanpage'em. |
| Podstawa prawna | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (zarządzanie własną stroną na Facebooku). |
| Okres przechowywania | Dane konfiguracyjne: przez okres aktywności strony. |
| Co NIE jest zbierane | Dane osobowe użytkowników odwiedzających lub obserwujących Fanpage. |
2.1.8. pages_manage_engagement
| Parametr | Opis |
|---|---|
| Zakres danych | Dane dotyczące interakcji z Fanpage'em: odpowiedzi na komentarze, usuwanie komentarzy, ukrywanie komentarzy, banowanie użytkowników naruszających regulamin. |
| Cel przetwarzania | (1) Moderacja komentarzy i treści na Fanpage'u; (2) Odpowiadanie na komentarze użytkowników (ręcznie lub automatycznie przez AI); (3) Ochrona społeczności przed spamem i treściami oszukańczymi; (4) Budowanie zaangażowania poprzez interakcję z odbiorcami. |
| Podstawa prawna | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (moderacja, ochrona reputacji, obsługa klienta). |
| Okres przechowywania | Logi moderacji: do 12 miesięcy. Dane o zbanowanych użytkownikach: do 36 miesięcy (w celu zapobiegania ponownemu naruszeniu). |
| Co NIE jest zbierane | Prywatne dane profilowe moderowanych użytkowników. |
2.1.9. pages_read_engagement
| Parametr | Opis |
|---|---|
| Zakres danych | Metryki zaangażowania Fanpage'a: liczba polubień, komentarzy, udziałów, zasięg postów, dane demograficzne odbiorców (zagregowane), godziny aktywności odbiorców. |
| Cel przetwarzania | (1) Analiza skuteczności treści edukacyjnych; (2) Optymalizacja harmonogramu publikacji; (3) Raportowanie efektywności działań marketingowych; (4) Identyfikacja tematów o największym zainteresowaniu (np. ugody, upadłość, ochrona nieruchomości). |
| Podstawa prawna | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (analiza efektywności marketingu). |
| Okres przechowywania | Dane analityczne (zagregowane): do 36 miesięcy. |
| Co NIE jest zbierane | Dane umożliwiające identyfikację poszczególnych użytkowników w ramach metryk zaangażowania. Dane mają charakter zagregowany i statystyczny. |
2.1.10. publish_video
| Parametr | Opis |
|---|---|
| Zakres danych | Pliki wideo publikowane na Fanpage'u "Ugoda Konsumencka" w formacie Facebook Reels. Obejmuje: plik wideo, tytuł, opis, miniaturka, ustawienia publikacji. |
| Cel przetwarzania | (1) Publikacja krótkich filmów edukacyjnych o oddłużaniu i ugodach konsumenckich (Facebook Reels); (2) Zwiększenie zasięgu treści edukacyjnych; (3) Cross-posting treści wideo z TikTok na Facebook. |
| Podstawa prawna | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (działalność edukacyjna i marketingowa). |
| Okres przechowywania | Pliki wideo: przez okres ich publikacji na Fanpage'u. Kopie robocze: do 12 miesięcy. |
| Co NIE jest zbierane | Dane osobowe widzów filmów. Statystyki oglądania mają charakter zagregowany. |
2.1.11. pages_manage_ads
| Parametr | Opis |
|---|---|
| Zakres danych | Dane konfiguracyjne kampanii reklamowych powiązanych z Fanpage'em: ustawienia targetowania (kryteria demograficzne, zainteresowania — w formie zagregowanej), budżety, harmonogramy, treści reklamowe, metryki wydajności. |
| Cel przetwarzania | (1) Tworzenie i zarządzanie kampaniami reklamowymi promującymi usługi oddłużeniowe; (2) Optymalizacja kampanii na podstawie wyników; (3) Zarządzanie budżetami reklamowymi. |
| Podstawa prawna | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (marketing własnych usług). |
| Okres przechowywania | Dane kampanii: do 36 miesięcy po zakończeniu kampanii (dla celów analitycznych i rozliczeniowych). |
| Co NIE jest zbierane | Dane identyfikujące konkretnych użytkowników, którym wyświetlono reklamę. Targetowanie odbywa się na poziomie zagregowanych kryteriów Meta. |
2.1.12. ads_read
| Parametr | Opis |
|---|---|
| Zakres danych | Dane do odczytu dotyczące kampanii reklamowych: metryki wydajności (CTR, CPC, CPM, konwersje), statystyki wyświetleń, dane o grupach odbiorców (zagregowane). |
| Cel przetwarzania | (1) Monitorowanie skuteczności kampanii reklamowych; (2) Raportowanie ROI; (3) Analiza efektywności poszczególnych kreacji reklamowych; (4) Podejmowanie decyzji o optymalizacji budżetów. |
| Podstawa prawna | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (analiza efektywności marketingu). |
| Okres przechowywania | Metryki zagregowane: do 36 miesięcy. |
| Co NIE jest zbierane | Dane osobowe indywidualnych odbiorców reklam. Wszystkie metryki mają charakter zagregowany. |
2.1.13. ads_management
| Parametr | Opis |
|---|---|
| Zakres danych | Pełny dostęp do zarządzania kampaniami reklamowymi: tworzenie, edycja, pauzowanie, usuwanie kampanii; zarządzanie kontami reklamowymi; konfiguracja piksela; zarządzanie grupami niestandardowych odbiorców. |
| Cel przetwarzania | (1) Kompleksowe zarządzanie ekosystemem reklamowym Meta; (2) Tworzenie grup niestandardowych odbiorców na podstawie interakcji z Fanpage'em i Serwisem; (3) Optymalizacja kampanii z wykorzystaniem automatyzacji; (4) Zarządzanie Facebook Pixel. |
| Podstawa prawna | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (prowadzenie działalności marketingowej) oraz Art. 6 ust. 1 lit. a RODO (zgoda — w zakresie danych zbieranych przez Pixel, po akceptacji cookies). |
| Okres przechowywania | Dane kampanii: do 36 miesięcy. Grupy niestandardowych odbiorców: do 180 dni (zgodnie z polityką Meta). |
| Co NIE jest zbierane | Administrator nie eksportuje danych osobowych z grup niestandardowych odbiorców Meta. Dane pozostają na platformie Meta. |
2.1.14. Ads Management Standard Access
| Parametr | Opis |
|---|---|
| Zakres danych | Rozszerzony poziom dostępu do API reklamowego Meta (Standard Access), umożliwiający: większe limity wywołań API, dostęp do zaawansowanych funkcji targetowania, zarządzanie wieloma kontami reklamowymi. |
| Cel przetwarzania | (1) Zapewnienie stabilnej i wydajnej integracji z Meta Ads API; (2) Obsługa większej liczby kampanii jednocześnie; (3) Dostęp do zaawansowanych narzędzi optymalizacyjnych. |
| Podstawa prawna | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (efektywne prowadzenie działalności marketingowej). |
| Okres przechowywania | Jak w punktach 2.1.11-2.1.13. |
| Dodatkowe informacje | Standard Access nie zmienia zakresu zbieranych danych — jedynie podnosi limity techniczne API. |
2.1.15. leads_retrieval
| Parametr | Opis |
|---|---|
| Zakres danych | Dane pozyskane z formularzy Lead Ads na Facebooku. Obejmuje: imię, nazwisko, numer telefonu, adres e-mail, oraz ewentualne odpowiedzi na pytania niestandardowe (np. "Jaka jest szacunkowa kwota Twojego zadłużenia?", "Czy posiadasz nieruchomość?"). |
| Cel przetwarzania | (1) Pozyskiwanie leadów — osób zainteresowanych ugodami konsumenckimi i oddłużaniem; (2) Kontakt telefoniczny lub mailowy w celu umówienia konsultacji; (3) Wstępna kwalifikacja leada (ocena sytuacji zadłużeniowej); (4) Przekazanie leada do odpowiedniego doradcy. |
| Podstawa prawna | Art. 6 ust. 1 lit. a RODO (zgoda — użytkownik dobrowolnie wypełnia formularz Lead Ads i akceptuje przetwarzanie danych) oraz Art. 6 ust. 1 lit. b RODO (działania przed zawarciem umowy — na żądanie osoby, której dane dotyczą). |
| Okres przechowywania | Dane leadów: do 36 miesięcy od pozyskania lub do wycofania zgody. W przypadku zawarcia umowy — przez okres trwania umowy i 5 lat po jej zakończeniu (obowiązki prawne). |
| Co NIE jest zbierane | Dane wykraczające poza zakres formularza Lead Ads. Użytkownik sam decyduje, które pola wypełnia. |
| Obowiązek informacyjny | Formularz Lead Ads zawiera link do niniejszej Polityki Prywatności oraz klauzulę informacyjną zgodną z Art. 13 RODO. |
2.1.16. business_management
| Parametr | Opis |
|---|---|
| Zakres danych | Dane organizacyjne Meta Business Suite: struktura kont biznesowych, przypisane strony, konta reklamowe, aplikacje, użytkownicy z dostępem do konta biznesowego. |
| Cel przetwarzania | (1) Zarządzanie zasobami biznesowymi Meta (strony, konta reklamowe, aplikacje); (2) Kontrola dostępu osób uprawnionych; (3) Integracja pomiędzy różnymi zasobami Meta. |
| Podstawa prawna | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (zarządzanie własnymi zasobami biznesowymi). |
| Okres przechowywania | Dane konfiguracyjne: przez okres aktywności konta biznesowego. |
| Co NIE jest zbierane | Dane osobowe użytkowników platformy Facebook/Instagram. Uprawnienie dotyczy wyłącznie zasobów organizacyjnych Administratora. |
2.1.17. public_profile
| Parametr | Opis |
|---|---|
| Zakres danych | Podstawowe dane publiczne użytkowników logujących się za pośrednictwem Facebook Login (jeżeli taka funkcjonalność jest dostępna): imię, identyfikator użytkownika, zdjęcie profilowe, płeć, przedział wiekowy — wyłącznie dane oznaczone przez użytkownika jako publiczne. |
| Cel przetwarzania | (1) Uwierzytelnienie użytkownika; (2) Personalizacja interfejsu (np. wyświetlenie imienia). |
| Podstawa prawna | Art. 6 ust. 1 lit. a RODO (zgoda — użytkownik aktywnie loguje się przez Facebook). |
| Okres przechowywania | Dane sesji: do 30 dni. Dane profilu: do czasu usunięcia konta lub wycofania zgody. |
| Co NIE jest zbierane | Lista znajomych, posty prywatne, wiadomości, lokalizacja, dane wrażliwe. |
2.2. Zbiorczy przegląd uprawnień Meta
| Uprawnienie | Dane | Cel | Podstawa RODO | Retencja |
|---|---|---|---|---|
| pages_read_user_content | Komentarze, posty na Fanpage'u | Moderacja, obsługa klienta | Art. 6(1)(f) | 24 mies. |
| pages_manage_posts | Treści postów Administratora | Publikacja edukacyjna | Art. 6(1)(f) | Czas publikacji / 36 mies. |
| pages_messaging | Wiadomości Messenger | AI obsługa klienta | Art. 6(1)(a)(f) | 24 mies. |
| whatsapp_business_messaging | Wiadomości WhatsApp | Komunikacja z klientem | Art. 6(1)(a)(b) | 24 mies. |
| whatsapp_business_management | Konfiguracja WABA | Zarządzanie kanałem | Art. 6(1)(f) | Czas integracji |
| pages_show_list | Lista Fanpage'ów | Zarządzanie zasobami | Art. 6(1)(f) | Czas integracji |
| pages_manage_metadata | Metadane Fanpage'a | Aktualizacja informacji | Art. 6(1)(f) | Czas aktywności strony |
| pages_manage_engagement | Interakcje, moderacja | Moderacja, obsługa | Art. 6(1)(f) | 12-36 mies. |
| pages_read_engagement | Metryki zaangażowania | Analityka | Art. 6(1)(f) | 36 mies. |
| publish_video | Pliki wideo (Reels) | Edukacja wideo | Art. 6(1)(f) | Czas publikacji / 12 mies. |
| pages_manage_ads | Konfiguracja kampanii | Marketing | Art. 6(1)(f) | 36 mies. |
| ads_read | Metryki kampanii | Analityka reklam | Art. 6(1)(f) | 36 mies. |
| ads_management | Zarządzanie kampaniami | Marketing, Pixel | Art. 6(1)(a)(f) | 36 mies. |
| leads_retrieval | Imię, telefon, email z Lead Ads | Pozyskiwanie leadów | Art. 6(1)(a)(b) | 36 mies. |
| business_management | Zasoby Meta Business | Zarządzanie organizacyjne | Art. 6(1)(f) | Czas aktywności |
| public_profile | Dane publiczne profilu | Uwierzytelnienie | Art. 6(1)(a) | 30 dni / do usunięcia |
| Ads Management Standard Access | Rozszerzone limity API | Stabilność integracji | Art. 6(1)(f) | Jak ads_management |
3. DANE ZBIERANE W RAMACH INTEGRACJI Z TIKTOK
3.1. Zakres integracji
Administrator prowadzi konto na platformie TikTok w celu publikacji krótkich filmów edukacyjnych dotyczących ugód konsumenckich, restrukturyzacji zadłużenia i ochrony majątku. Treści publikowane na TikTok mają charakter wyłącznie edukacyjny i informacyjny.
3.2. Dane przetwarzane w związku z TikTok
| Kategoria danych | Opis | Cel | Podstawa RODO |
|---|---|---|---|
| Treści wideo | Pliki wideo tworzone i publikowane przez Administratora. Mogą zawierać wizerunek pracowników lub współpracowników Administratora (za ich zgodą). | Edukacja, budowanie świadomości marki, dotarcie do osób zadłużonych. | Art. 6(1)(f) — prawnie uzasadniony interes; Art. 6(1)(a) — zgoda osób występujących w filmach. |
| Komentarze użytkowników | Treści komentarzy publikowanych pod filmami Administratora na TikTok. | Interakcja z odbiorcami, odpowiadanie na pytania, moderacja. | Art. 6(1)(f) — prawnie uzasadniony interes. |
| Analityka (zagregowana) | Zagregowane dane statystyczne dostarczane przez TikTok Analytics: liczba wyświetleń, polubień, udziałów, komentarzy; dane demograficzne odbiorców (przedział wiekowy, płeć, lokalizacja — w formie zagregowanej); źródła ruchu. | Optymalizacja treści, analiza skuteczności, planowanie treści. | Art. 6(1)(f) — prawnie uzasadniony interes. |
| Publikacja treści | Metadane filmów: tytuł, opis, hashtagi, ustawienia prywatności, miniaturka. | Zarządzanie publikacjami. | Art. 6(1)(f) — prawnie uzasadniony interes. |
3.3. Ograniczenia
- Administrator nie zbiera danych osobowych indywidualnych użytkowników TikTok (profili, list obserwujących, historii oglądania).
- Wszystkie dane analityczne mają charakter zagregowany — nie pozwalają na identyfikację poszczególnych użytkowników.
- Administrator nie wykorzystuje TikTok Pixel ani TikTok Events API na stronie ugodakonsumencka.pl.
- Komentarze użytkowników są przetwarzane wyłącznie na platformie TikTok — nie są kopiowane do baz danych Administratora.
3.4. Okres przechowywania
- Treści wideo: przez okres ich publikacji na TikTok.
- Dane analityczne (zagregowane): do 24 miesięcy.
- Komentarze: przez okres ich istnienia na platformie TikTok (zarządzane przez TikTok).
4. DANE ZBIERANE PRZEZ STRONĘ INTERNETOWĄ
4.1. Formularze kontaktowe
Serwis ugodakonsumencka.pl może zawierać formularze kontaktowe umożliwiające użytkownikom przesłanie zapytania. Zbierane dane:
| Pole | Obowiązkowe | Cel |
|---|---|---|
| Imię | Tak | Personalizacja komunikacji |
| Numer telefonu | Tak | Kontakt zwrotny |
| Adres e-mail | Nie | Kontakt zwrotny (alternatywny) |
| Treść wiadomości | Nie | Określenie potrzeb użytkownika |
| Szacunkowa kwota zadłużenia | Nie | Wstępna ocena sytuacji |
Podstawa prawna: Art. 6 ust. 1 lit. a RODO (zgoda) oraz Art. 6 ust. 1 lit. b RODO (działania przed zawarciem umowy). Okres przechowywania: Do 36 miesięcy od przesłania formularza lub do wycofania zgody.
4.2. NinjaBox — interaktywne narzędzia
Serwis może udostępniać interaktywny kokpit NinjaBox zawierający:
- Kalkulator zadłużenia — użytkownik wprowadza szacunkowe dane (kwota zadłużenia, liczba wierzycieli, miesięczny dochód). Dane te są przetwarzane w celu przedstawienia wstępnej propozycji restrukturyzacji.
- Booking konsultacji — formularz umówienia rozmowy telefonicznej lub wideo z doradcą.
Zakres danych NinjaBox: imię, numer telefonu, adres e-mail (opcjonalnie), dane finansowe wprowadzone przez użytkownika (kwota zadłużenia, dochód), preferencje dotyczące terminu konsultacji.
Podstawa prawna: Art. 6 ust. 1 lit. a RODO (zgoda) oraz Art. 6 ust. 1 lit. b RODO (działania przed zawarciem umowy). Okres przechowywania: Do 36 miesięcy lub do wycofania zgody.
4.3. Dane zbierane automatycznie
Podczas korzystania z Serwisu automatycznie zbierane są następujące dane techniczne:
- Adres IP (anonimizowany w Google Analytics 4);
- Typ przeglądarki i systemu operacyjnego;
- Rozdzielczość ekranu;
- Strona odsłona (URL);
- Czas spędzony na stronie;
- Źródło ruchu (referrer);
- Identyfikatory cookies (po wyrażeniu zgody — patrz sekcja 13).
Podstawa prawna: Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — bezpieczeństwo, diagnostyka techniczna) oraz Art. 6 ust. 1 lit. a RODO (zgoda — w zakresie cookies analitycznych i marketingowych).
5. CELE I PODSTAWY PRAWNE PRZETWARZANIA
5.1. Zestawienie celów przetwarzania
| Cel przetwarzania | Podstawa prawna RODO | Kategorie danych |
|---|---|---|
| Obsługa zapytań i kontakt z klientem | Art. 6(1)(a) — zgoda; Art. 6(1)(b) — wykonanie umowy | Dane kontaktowe, treść zapytań |
| Świadczenie usług oddłużeniowych | Art. 6(1)(b) — wykonanie umowy | Dane osobowe, dane finansowe |
| Marketing bezpośredni własnych usług | Art. 6(1)(f) — prawnie uzasadniony interes | Dane kontaktowe, dane o interakcjach |
| Prowadzenie Fanpage'a i moderacja | Art. 6(1)(f) — prawnie uzasadniony interes | Komentarze, wiadomości |
| Kampanie reklamowe (Meta Ads) | Art. 6(1)(a) — zgoda; Art. 6(1)(f) — prawnie uzasadniony interes | Dane zagregowane, dane z Pixel |
| Pozyskiwanie leadów (Lead Ads) | Art. 6(1)(a) — zgoda; Art. 6(1)(b) — działania przed zawarciem umowy | Imię, telefon, email |
| Analityka i statystyki | Art. 6(1)(a) — zgoda (cookies); Art. 6(1)(f) — prawnie uzasadniony interes | Dane zagregowane, cookies |
| Automatyzacja komunikacji (AI) | Art. 6(1)(f) — prawnie uzasadniony interes | Treść wiadomości |
| Publikacja treści edukacyjnych | Art. 6(1)(f) — prawnie uzasadniony interes | Treści tworzone przez Administratora |
| Realizacja obowiązków prawnych | Art. 6(1)(c) — obowiązek prawny | Dane wymagane przez prawo |
| Dochodzenie roszczeń | Art. 6(1)(f) — prawnie uzasadniony interes | Dane osobowe, dane umów |
5.2. Prawnie uzasadniony interes (Art. 6(1)(f) RODO)
W przypadku przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora, interes ten polega na:
- prowadzeniu i promowaniu działalności gospodarczej w zakresie oddłużania;
- obsłudze klientów i odpowiadaniu na ich zapytania;
- moderacji treści na Fanpage'u w celu ochrony społeczności;
- analizie skuteczności działań marketingowych i edukacyjnych;
- zapewnieniu bezpieczeństwa systemów informatycznych;
- dochodzeniu lub obronie roszczeń prawnych.
Administrator przeprowadził test równowagi interesów (balancing test) i ustalił, że przetwarzanie danych w ww. celach nie narusza nadmiernie praw i wolności osób, których dane dotyczą.
6. WYKORZYSTANIE SZTUCZNEJ INTELIGENCJI
6.1. Zakres wykorzystania AI
Administrator wykorzystuje model sztucznej inteligencji Anthropic Claude do automatyzacji następujących procesów:
| Proces | Kanał | Opis |
|---|---|---|
| Automatyczne odpowiedzi na wiadomości | Facebook Messenger | AI generuje odpowiedzi na pytania użytkowników dotyczące ugód konsumenckich, procesu oddłużania, warunków współpracy. |
| Automatyczne odpowiedzi na komentarze | Facebook (Fanpage) | AI generuje odpowiedzi na komentarze pod postami edukacyjnymi. |
| Automatyczne odpowiedzi | WhatsApp Business | AI odpowiada na zapytania przychodzące na WhatsApp Business. |
| Generowanie treści | Fanpage, Serwis | AI wspomaga tworzenie treści edukacyjnych (posty, artykuły). |
6.2. Zasady przetwarzania danych przez AI
| Zasada | Opis |
|---|---|
| Bezstanowy model (Stateless) | Anthropic Claude nie przechowuje danych osobowych pomiędzy sesjami. Każde zapytanie jest przetwarzane niezależnie, bez pamięci poprzednich konwersacji na poziomie modelu AI. |
| Minimalizacja danych | Do modelu AI przekazywana jest wyłącznie treść wiadomości użytkownika i niezbędny kontekst (np. FAQ, informacje o usługach). Dane osobowe (imię, telefon, email) są przekazywane do AI tylko w zakresie niezbędnym do udzielenia odpowiedzi. |
| Nadzór ludzki (Human Oversight) | Wszystkie odpowiedzi AI podlegają monitorowaniu przez personel Administratora. W przypadku złożonych zapytań prawnych konwersacja jest przekazywana do konsultanta ludzkiego. Administrator zastrzega sobie prawo do wyłączenia automatycznych odpowiedzi AI w dowolnym momencie. |
| Brak profilowania | AI nie jest wykorzystywana do profilowania użytkowników, podejmowania automatycznych decyzji mających skutki prawne, ani oceny zdolności kredytowej. |
| Transparentność | Użytkownik jest informowany o tym, że rozmawia z systemem AI (na początku konwersacji w Messengerze/WhatsApp). Użytkownik może w każdym momencie zażądać połączenia z konsultantem ludzkim. |
| Lokalizacja przetwarzania | Model Anthropic Claude jest hostowany w infrastrukturze Anthropic (USA/EU). Przekazywanie danych odbywa się zgodnie z sekcją 8 niniejszej Polityki (Międzynarodowe Transfery Danych). |
6.3. Prawa użytkownika w kontekście AI
Użytkownik ma prawo:
- zażądać rozmowy z człowiekiem zamiast AI w każdym momencie;
- wnieść sprzeciw wobec przetwarzania jego danych przez system AI;
- uzyskać informację o tym, czy dana odpowiedź została wygenerowana przez AI;
- zażądać usunięcia danych przetwarzanych w kontekście konwersacji z AI.
7. ODBIORCY DANYCH
7.1. Kategorie odbiorców
Dane osobowe mogą być udostępniane następującym kategoriom odbiorców:
| Odbiorca | Zakres danych | Cel | Podstawa |
|---|---|---|---|
| Meta Platforms, Inc. (Facebook, Instagram, WhatsApp) | Dane z Fanpage'a, Messenger, WhatsApp, Lead Ads, Pixel | Świadczenie usług platformy, reklamy, analityka | Umowa o współadministrowanie (sekcja 14), regulamin Meta |
| Anthropic PBC | Treść wiadomości (bezstanowo) | Generowanie odpowiedzi AI | Umowa powierzenia przetwarzania, SCC |
| OVH SAS (Francja, UE) | Baza danych, pliki serwera | Hosting infrastruktury | Umowa powierzenia przetwarzania |
| Google LLC | Dane z cookies GA4 (zanonimizowane) | Analityka ruchu na stronie | Umowa powierzenia przetwarzania, SCC |
| Microsoft Corporation | Dane z cookies Clarity (zanonimizowane) | Analityka UX (heatmapy, nagrania sesji) | Umowa powierzenia przetwarzania, SCC |
| Współpracujący prawnicy i kancelarie | Dane klienta (po zawarciu umowy) | Świadczenie usług prawnych (ugody, upadłość) | Art. 6(1)(b) RODO — wykonanie umowy |
| Organy państwowe | Dane wymagane przez prawo | Realizacja obowiązków prawnych | Art. 6(1)(c) RODO — obowiązek prawny |
7.2. Zasady udostępniania
- Dane osobowe nie są sprzedawane podmiotom trzecim.
- Dane są udostępniane wyłącznie w zakresie niezbędnym do realizacji określonych celów.
- Z każdym podmiotem przetwarzającym dane na zlecenie Administratora zawarta jest umowa powierzenia przetwarzania danych (Art. 28 RODO) lub stosowane są inne odpowiednie zabezpieczenia prawne.
- Administrator nie udostępnia danych osobowych w celach marketingowych podmiotów trzecich.
8. MIĘDZYNARODOWE TRANSFERY DANYCH
8.1. Lokalizacja danych
Główna baza danych Administratora jest zlokalizowana na serwerach OVH SAS we Francji (Unia Europejska), co zapewnia przetwarzanie danych na terytorium EOG.
8.2. Transfery poza EOG
W związku z korzystaniem z usług określonych dostawców, dane osobowe mogą być przekazywane poza Europejski Obszar Gospodarczy:
| Dostawca | Kraj | Zabezpieczenie | Zakres danych |
|---|---|---|---|
| Meta Platforms, Inc. | USA | Standardowe Klauzule Umowne (SCC) zgodnie z decyzją KE 2021/914 | Dane z Fanpage'a, Messenger, WhatsApp, Lead Ads |
| Anthropic PBC | USA | Standardowe Klauzule Umowne (SCC) | Treść wiadomości (przetwarzanie bezstanowe) |
| Google LLC | USA | Standardowe Klauzule Umowne (SCC), EU-US Data Privacy Framework | Dane z cookies GA4 |
| Microsoft Corporation | USA/UE | Standardowe Klauzule Umowne (SCC), EU-US Data Privacy Framework | Dane z cookies Clarity |
8.3. Zabezpieczenia transferów
- Wszystkie transfery danych poza EOG odbywają się na podstawie Standardowych Klauzul Umownych (SCC) przyjętych decyzją Komisji Europejskiej z dnia 4 czerwca 2021 r. (decyzja wykonawcza 2021/914);
- Tam, gdzie ma to zastosowanie, transfer jest dodatkowo objęty EU-US Data Privacy Framework (decyzja Komisji Europejskiej z dnia 10 lipca 2023 r. w sprawie adekwatności ochrony);
- Administrator dokonuje oceny wpływu transferu (Transfer Impact Assessment) dla każdego dostawcy spoza EOG;
- Dane przekazywane do Anthropic Claude są przetwarzane bezstanowo — nie są przechowywane po zakończeniu sesji.
9. OKRES PRZECHOWYWANIA DANYCH
9.1. Ogólne zasady retencji
| Kategoria danych | Okres przechowywania | Podstawa określenia okresu |
|---|---|---|
| Dane z formularzy kontaktowych | Do 36 miesięcy od przesłania lub do wycofania zgody | Cel przetwarzania (kontakt, lead) |
| Dane z Lead Ads (Meta) | Do 36 miesięcy od pozyskania lub do wycofania zgody | Cel przetwarzania (pozyskanie klienta) |
| Wiadomości Messenger/WhatsApp | Do 24 miesięcy od ostatniej wiadomości | Cel przetwarzania (obsługa klienta) |
| Komentarze na Fanpage'u | Do 24 miesięcy w bazie Platformy | Cel przetwarzania (moderacja) |
| Dane analityczne (GA4, Clarity) | Do 26 miesięcy (GA4), do 13 miesięcy (Clarity) | Ustawienia platformy analitycznej |
| Dane klientów (po zawarciu umowy) | Przez okres trwania umowy + 5 lat | Obowiązki prawne, przedawnienie roszczeń |
| Dane rozliczeniowe i podatkowe | 5 lat od końca roku podatkowego | Art. 74 ustawy o rachunkowości |
| Logi techniczne serwera | Do 12 miesięcy | Bezpieczeństwo, diagnostyka |
| Dane kampanii reklamowych | Do 36 miesięcy od zakończenia kampanii | Analityka, rozliczenia |
| Kopie zapasowe | Do 30 dni (automatyczne rotowanie) | Ciągłość działania, disaster recovery |
9.2. Usuwanie danych po upływie okresu retencji
Po upływie okresu przechowywania dane są:
- usuwane z bazy danych Administratora (trwałe kasowanie rekordów); lub
- anonimizowane w sposób uniemożliwiający identyfikację osoby (w przypadku danych analitycznych zachowywanych dla celów statystycznych).
10. PRAWA OSÓB KTÓRYCH DANE DOTYCZĄ
10.1. Katalog praw (Art. 15-21 RODO)
Na podstawie RODO, każdej osobie, której dane dotyczą, przysługują następujące prawa:
| Prawo | Artykuł RODO | Opis |
|---|---|---|
| Prawo dostępu | Art. 15 | Prawo do uzyskania potwierdzenia, czy dane osobowe są przetwarzane, oraz dostępu do tych danych i informacji o przetwarzaniu. |
| Prawo do sprostowania | Art. 16 | Prawo do żądania niezwłocznego sprostowania nieprawidłowych danych osobowych lub uzupełnienia niekompletnych danych. |
| Prawo do usunięcia ("prawo do bycia zapomnianym") | Art. 17 | Prawo do żądania niezwłocznego usunięcia danych osobowych, gdy: (a) dane nie są już niezbędne do celów przetwarzania; (b) cofnięto zgodę; (c) wniesiono skuteczny sprzeciw; (d) dane były przetwarzane niezgodnie z prawem. |
| Prawo do ograniczenia przetwarzania | Art. 18 | Prawo do żądania ograniczenia przetwarzania, gdy: (a) osoba kwestionuje prawidłowość danych; (b) przetwarzanie jest niezgodne z prawem; (c) Administrator nie potrzebuje już danych, ale są one potrzebne osobie do dochodzenia roszczeń. |
| Prawo do przenoszenia danych | Art. 20 | Prawo do otrzymania danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. JSON, CSV) oraz prawo do przesłania tych danych innemu administratorowi. Dotyczy danych przetwarzanych na podstawie zgody lub umowy, w sposób zautomatyzowany. |
| Prawo do sprzeciwu | Art. 21 | Prawo do wniesienia sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora (Art. 6(1)(f)), w tym profilowania. Administrator zaprzestanie przetwarzania, chyba że wykaże ważne prawnie uzasadnione podstawy nadrzędne wobec interesów osoby. |
| Prawo do cofnięcia zgody | Art. 7(3) | Prawo do cofnięcia zgody na przetwarzanie w dowolnym momencie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem. |
| Prawo do skargi | Art. 77 | Prawo do wniesienia skargi do organu nadzorczego — Prezes Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl |
10.2. Sposób realizacji praw
Aby skorzystać z przysługujących praw, należy:
- 1. Wysłać wiadomość e-mail na adres: [email protected];
- 2. W tytule wiadomości wpisać: "RODO — [nazwa prawa]" (np. "RODO — Prawo do usunięcia danych");
- 3. W treści podać dane umożliwiające identyfikację (imię, nazwisko, adres e-mail lub numer telefonu używany w kontakcie z Administratorem).
Administrator odpowie na żądanie w terminie 30 dni od otrzymania wniosku. W przypadku złożoności wniosku lub dużej liczby wniosków, termin może zostać przedłużony o kolejne 60 dni, o czym osoba zostanie poinformowana.
Realizacja praw jest bezpłatna. W przypadku wniosków oczywiście nieuzasadnionych lub nadmiernych (np. powtarzających się), Administrator może pobrać rozsądną opłatę lub odmówić realizacji.
11. PROCEDURY USUWANIA DANYCH
11.1. Usuwanie danych na żądanie użytkownika
Na żądanie użytkownika (Art. 17 RODO) Administrator usunie dane osobowe z:
- bazy danych Platformy NinjaBot;
- systemów CRM;
- list mailingowych i kontaktowych;
- systemów analitycznych (w zakresie, w jakim dane umożliwiają identyfikację).
Proces usunięcia jest realizowany w terminie 30 dni od otrzymania wniosku.
11.2. Usuwanie danych z platform trzecich
- Facebook/Meta: Użytkownik może samodzielnie usunąć swoje komentarze i wiadomości. Administrator usunie dane przechowywane w Platformie NinjaBot.
- WhatsApp: Użytkownik może usunąć konwersację po swojej stronie. Administrator usunie dane z bazy danych.
- TikTok: Użytkownik może usunąć swoje komentarze bezpośrednio na platformie TikTok.
11.3. Meta Data Deletion Callback
Zgodnie z wymaganiami Meta Platform Terms, Administrator udostępnia endpoint do usuwania danych użytkowników:
URL: https://app.ninjabot.pl/api/facebook/data-deletion
Ten endpoint:
- Przyjmuje żądania usuwania danych od Meta (signed request);
- Usuwa wszystkie dane powiązane z Facebook User ID z bazy danych Administratora;
- Zwraca potwierdzenie usunięcia z unikalnym kodem referencyjnym i URL do sprawdzenia statusu;
- Przetwarza żądania w terminie do 48 godzin.
11.4. Wyjątki od prawa do usunięcia
Administrator może odmówić usunięcia danych, gdy przetwarzanie jest niezbędne:
- do wywiązania się z obowiązku prawnego (np. przepisy podatkowe, rachunkowe);
- do ustalenia, dochodzenia lub obrony roszczeń;
- do celów archiwalnych w interesie publicznym.
12. BEZPIECZEŃSTWO DANYCH
12.1. Środki techniczne
Administrator stosuje następujące środki techniczne ochrony danych osobowych:
| Środek | Opis |
|---|---|
| Szyfrowanie transmisji | Wszystkie połączenia z Serwisem są szyfrowane protokołem TLS 1.2+ (HTTPS). Certyfikat SSL wystawiony przez Let's Encrypt. |
| Szyfrowanie bazy danych | Baza danych PostgreSQL jest chroniona hasłem i dostępna wyłącznie z serwera aplikacyjnego (localhost). |
| Kontrola dostępu | Dostęp do serwera ograniczony kluczami SSH. Dostęp do panelu administracyjnego chroniony loginem i hasłem. |
| Kopie zapasowe | Automatyczne kopie zapasowe bazy danych wykonywane codziennie. Kopie przechowywane na oddzielnym wolumenie. Rotacja: 30 dni. |
| Firewall | Serwer chroniony regułami firewall (UFW), ograniczającymi dostęp do niezbędnych portów. |
| Aktualizacje | Regularne aktualizacje systemu operacyjnego, serwera WWW (nginx) i zależności aplikacji. |
| Monitoring | Monitoring dostępu i błędów za pomocą logów systemowych i aplikacyjnych. |
| Separacja środowisk | Środowisko produkcyjne oddzielone od środowiska developerskiego. |
12.2. Środki organizacyjne
| Środek | Opis |
|---|---|
| Minimalizacja dostępu | Dostęp do danych osobowych mają wyłącznie osoby, którym jest to niezbędne do realizacji ich obowiązków. |
| Szkolenia | Osoby mające dostęp do danych osobowych są informowane o zasadach ochrony danych. |
| Procedura naruszeń | Administrator posiada procedurę postępowania w przypadku naruszenia ochrony danych osobowych (Art. 33-34 RODO), obejmującą powiadomienie organu nadzorczego w terminie 72 godzin. |
| Ocena wpływu | W przypadku operacji przetwarzania wysokiego ryzyka Administrator przeprowadza ocenę skutków dla ochrony danych (DPIA — Art. 35 RODO). |
12.3. Lokalizacja infrastruktury
| Komponent | Lokalizacja | Dostawca |
|---|---|---|
| Serwer aplikacyjny | Francja (EU) | OVH SAS |
| Baza danych PostgreSQL | Francja (EU) | OVH SAS |
| Kopie zapasowe | Francja (EU) | OVH SAS |
| CDN/DNS | Globalnie | Cloudflare (dane techniczne) |
13. PLIKI COOKIES
13.1. Mechanizm zgody (Consent-First)
Serwis ugodakonsumencka.pl stosuje podejście consent-first — pliki cookies analityczne i marketingowe są ładowane wyłącznie po wyrażeniu zgody przez użytkownika za pośrednictwem baneru cookies. Cookies niezbędne do działania Serwisu (techniczne) są ładowane bez zgody na podstawie Art. 6(1)(f) RODO.
13.2. Cookies wykorzystywane w Serwisie
13.2.1. Google Analytics 4 (GA4)
| Parametr | Wartość |
|---|---|
| Measurement ID | G-JQSJ2XCMVC |
| Dostawca | Google LLC |
| Cel | Analiza ruchu na stronie: liczba użytkowników, odsłon, źródła ruchu, zachowanie na stronie, konwersje. |
| Rodzaj cookies | _ga (okres wygaśnięcia: 2 lata), _ga_* (okres wygaśnięcia: 2 lata) |
| Anonimizacja IP | Tak (wbudowana w GA4) |
| Podstawa prawna | Art. 6(1)(a) RODO — zgoda (consent-first) |
| Ustawienie zgody | analytics_storage=granted (po akceptacji cookies) |
13.2.2. Microsoft Clarity
| Parametr | Wartość |
|---|---|
| Project ID | viy31mp2ic |
| Dostawca | Microsoft Corporation |
| Cel | Analiza UX: heatmapy kliknięć, nagrania sesji (zanonimizowane), scrollmapy. Służy do poprawy użyteczności Serwisu. |
| Rodzaj cookies | _clck (okres wygaśnięcia: 1 rok), _clsk (okres wygaśnięcia: 1 dzień), CLID (okres wygaśnięcia: 1 rok) |
| Anonimizacja | Dane wrażliwe (formularze, pola tekstowe) są automatycznie maskowane. |
| Podstawa prawna | Art. 6(1)(a) RODO — zgoda (consent-first) |
13.2.3. Facebook Pixel
| Parametr | Wartość |
|---|---|
| Pixel ID | 2138557170052255 |
| Dostawca | Meta Platforms, Inc. |
| Cel | Mierzenie skuteczności kampanii reklamowych na Facebooku, tworzenie grup niestandardowych odbiorców, optymalizacja reklam. |
| Rodzaj cookies | _fbp (okres wygaśnięcia: 3 miesiące), _fbc (okres wygaśnięcia: 2 lata) |
| Podstawa prawna | Art. 6(1)(a) RODO — zgoda (consent-first) |
| Ustawienie zgody | ad_storage=DENIED domyślnie (do momentu wyrażenia zgody). Uwaga: Bez zgody na cookies marketingowe, Facebook Pixel nie będzie śledzić konwersji. |
13.3. Cookies techniczne (niezbędne)
| Cookie | Cel | Okres wygaśnięcia |
|---|---|---|
cookie_consent |
Zapis preferencji użytkownika dotyczących cookies | 12 miesięcy |
| Cookies sesyjne | Utrzymanie sesji użytkownika (jeżeli zalogowany) | Do zamknięcia przeglądarki |
13.4. Zarządzanie cookies
Użytkownik może:
- Zmienić preferencje cookies — klikając w link "Ustawienia cookies" w stopce Serwisu;
- Zablokować cookies — w ustawieniach przeglądarki internetowej;
- Usunąć cookies — w ustawieniach przeglądarki internetowej.
Zablokowanie cookies analitycznych i marketingowych nie wpływa na działanie Serwisu. Zablokowanie cookies technicznych może ograniczyć funkcjonalność Serwisu.
14. WSPÓŁADMINISTROWANIE Z META
14.1. Podstawa prawna współadministrowania
Zgodnie z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-210/16 (Wirtschaftsakademie Schleswig-Holstein) z dnia 5 czerwca 2018 r., Administrator prowadzący Fanpage na Facebooku jest współadministratorem danych osobowych (joint controller) wraz z Meta Platforms Ireland Ltd. w odniesieniu do danych zbieranych za pośrednictwem Fanpage'a.
14.2. Podział odpowiedzialności
| Obszar | Odpowiedzialny |
|---|---|
| Infrastruktura Facebooka, systemy cookies, statystyki strony (Page Insights) | Meta Platforms Ireland Ltd. |
| Treść publikowana na Fanpage'u, moderacja komentarzy, odpowiedzi na wiadomości | Administrator (Finteo Sp. z o.o.) |
| Obsługa praw osób, których dane dotyczą (Art. 15-21 RODO) | Oba podmioty w swoim zakresie |
14.3. Porozumienie o współadministrowaniu
Meta Platforms Ireland Ltd. udostępnia Addendum dla administratorów stron (Page Controller Addendum), które określa podział obowiązków między Meta a administratorem Fanpage'a. Treść addendum jest dostępna pod adresem: https://www.facebook.com/legal/terms/page_controller_addendum
14.4. Punkt kontaktowy
Zgodnie z Art. 26(1) RODO, niezależnie od ustaleń między współadministratorami, użytkownik może skorzystać ze swoich praw wobec każdego ze współadministratorów. W przypadku pytań dotyczących przetwarzania danych na Fanpage'u "Ugoda Konsumencka", prosimy o kontakt:
- Administrator (Finteo): [email protected]
- Meta Platforms Ireland Ltd.: https://www.facebook.com/help/contact/540977946302970
15. PRYWATNOŚĆ DZIECI
15.1. Ograniczenia wiekowe
Usługi Administratora są skierowane wyłącznie do osób pełnoletnich (18+). Administrator świadomie nie zbiera danych osobowych od osób poniżej 18. roku życia.
15.2. Postępowanie w przypadku danych osób niepełnoletnich
Jeżeli Administrator poweźmie wiedzę o zebraniu danych osobowych od osoby poniżej 18. roku życia bez zgody rodzica lub opiekuna prawnego, dane te zostaną niezwłocznie usunięte. W przypadku podejrzenia, że takie dane zostały zebrane, prosimy o kontakt na adres: [email protected].
15.3. Zgodność z przepisami Meta i TikTok
Fanpage "Ugoda Konsumencka" oraz profil TikTok Administratora nie są skierowane do osób poniżej 18. roku życia. Kampanie reklamowe (Meta Ads) są konfigurowane z targetowaniem wiekowym 18+.
16. ZMIANY POLITYKI
16.1. Informowanie o zmianach
Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności. O istotnych zmianach użytkownicy będą informowani:
- poprzez aktualizację na stronie ugodakonsumencka.pl;
- poprzez komunikat na Fanpage'u "Ugoda Konsumencka";
- w przypadku istotnych zmian — poprzez wiadomość e-mail (jeżeli Administrator posiada adres e-mail użytkownika).
16.2. Wersjonowanie
Każda wersja Polityki jest oznaczona numerem wersji i datą wejścia w życie. Archiwalne wersje Polityki są dostępne na żądanie — prosimy o kontakt na adres: [email protected].
16.3. Historia zmian
| Wersja | Data | Opis zmian |
|---|---|---|
| 1.0 | 22 marca 2026 r. | Pierwsza wersja Polityki Prywatności dla ugodakonsumencka.pl. |
17. KONTAKT
17.1. Dane kontaktowe Administratora
KANCELARIA POMOCY PRAWNEJ FINTEO Sp. z o.o. ul. Antoniego Madalińskiego 1K/26 80-034 Gdańsk
E-mail do spraw ochrony danych: [email protected] E-mail ogólny: [email protected] Telefon: +48 666 168 802
17.2. Organ nadzorczy
Prezes Urzędu Ochrony Danych Osobowych (PUODO) ul. Stawki 2, 00-193 Warszawa https://uodo.gov.pl Telefon: +48 22 531 03 00
ENGLISH VERSION — Privacy Policy for ugodakonsumencka.pl
This English translation is provided for the convenience of international reviewers (including Meta and TikTok platform reviewers). In the event of any discrepancy between the Polish and English versions, the Polish version shall prevail.
Version: 1.0 Effective Date: March 22, 2026 Last Updated: March 22, 2026
1. GENERAL INFORMATION
1.1. Data Controller
The controller of personal data processed through the website ugodakonsumencka.pl (hereinafter: the "Website") is:
KANCELARIA POMOCY PRAWNEJ FINTEO Sp. z o.o. ul. Antoniego Madalinskiego 1K/26, 80-034 Gdansk, Poland Tax ID (NIP): 5833513223 National Court Register (KRS): 0001113990 Data protection email: [email protected] General email: [email protected] Phone: +48 666 168 802
(hereinafter: the "Controller")
1.2. Scope
This Privacy Policy (hereinafter: the "Policy") describes the principles of collecting, processing, storing, and protecting personal data exclusively in the context of:
a) the use of the website ugodakonsumencka.pl — an educational portal about debt restructuring and consumer settlements (hereinafter: "Expert");
b) integration with Meta Platforms, Inc. — specifically Facebook, Facebook Messenger, WhatsApp Business — in relation to the "Ugoda Konsumencka" Facebook Page;
c) publication of educational content on the TikTok platform;
d) automation of customer service and communication using the Meta API and artificial intelligence;
e) processing of data obtained through contact forms, calculators, and interactive tools available on the Website.
This Policy applies exclusively to ugodakonsumencka.pl. Other domains operated by the Controller have separate privacy policies.
1.3. Legal Framework
Personal data processing complies with:
- Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 (General Data Protection Regulation — "GDPR");
- Polish Act of 10 May 2018 on Personal Data Protection;
- Polish Act of 18 July 2002 on Provision of Electronic Services;
- Polish Telecommunications Act of 16 July 2004;
- Meta Platform Terms and Meta Developer Policies;
- WhatsApp Business Policy;
- TikTok Platform Terms and TikTok for Business Policies.
2. DATA COLLECTED THROUGH META INTEGRATION
2.1. Overview
The application NinjaBot Automat (App ID: 898066436524377) manages the "Ugoda Konsumencka" Facebook Page (ID: 951127444757145). The following Meta Graph API permissions are used, with data scope, purpose, GDPR legal basis, and retention period specified for each.
2.2. Permissions Summary Table
| Permission | Data Scope | Purpose | GDPR Basis | Retention |
|---|---|---|---|---|
| pages_read_user_content | Comments, posts, reactions on the Page | Community monitoring, moderation, customer service, identification of individuals needing debt restructuring assistance | Art. 6(1)(f) — legitimate interest | 24 months |
| pages_manage_posts | Posts created/edited/deleted by the Controller | Publishing educational content about consumer settlements, debt restructuring, asset protection | Art. 6(1)(f) — legitimate interest | Duration of publication / 36 months |
| pages_messaging | Messenger conversations (text, attachments, PSID, timestamps) | AI-powered customer service (Anthropic Claude), routing complex queries to human agents, collecting contact details (with consent) for consultation booking | Art. 6(1)(a) — consent; Art. 6(1)(f) — legitimate interest | 24 months |
| whatsapp_business_messaging | WhatsApp messages (text, phone number, timestamps, delivery status, attachments) | Communication with potential clients, AI auto-responses, notifications, consultation booking | Art. 6(1)(a) — consent; Art. 6(1)(b) — contract performance | 24 months |
| whatsapp_business_management | WABA configuration (phone numbers, message templates, delivery metrics) | Managing WhatsApp Business account, templates, automation | Art. 6(1)(f) — legitimate interest | Duration of integration |
| pages_show_list | List of managed Pages (names, IDs, categories) | Displaying available pages in the management panel | Art. 6(1)(f) — legitimate interest | Duration of integration |
| pages_manage_metadata | Page metadata (name, description, category, hours, profile/cover photos) | Updating business information on the Facebook Page | Art. 6(1)(f) — legitimate interest | Duration of Page activity |
| pages_manage_engagement | Engagement actions (replying to/hiding/deleting comments, banning users) | Moderation, responding to comments (manually or via AI), spam protection | Art. 6(1)(f) — legitimate interest | 12-36 months |
| pages_read_engagement | Engagement metrics (likes, comments, shares, reach, aggregated demographics) | Analyzing content effectiveness, optimizing publication schedule, reporting | Art. 6(1)(f) — legitimate interest | 36 months |
| publish_video | Video files published as Facebook Reels | Publishing short educational videos about debt restructuring, cross-posting from TikTok | Art. 6(1)(f) — legitimate interest | Duration of publication / 12 months |
| pages_manage_ads | Ad campaign configurations (targeting criteria, budgets, schedules, creatives, performance metrics) | Creating and managing ad campaigns promoting debt restructuring services | Art. 6(1)(f) — legitimate interest | 36 months |
| ads_read | Ad performance metrics (CTR, CPC, CPM, conversions, aggregated audience data) | Monitoring campaign effectiveness, ROI reporting, optimization decisions | Art. 6(1)(f) — legitimate interest | 36 months |
| ads_management | Full ad management (create/edit/pause/delete campaigns, Pixel configuration, Custom Audiences) | Comprehensive Meta advertising ecosystem management, Custom Audiences based on Page/Website interactions | Art. 6(1)(a) — consent; Art. 6(1)(f) — legitimate interest | 36 months |
| Ads Management Standard Access | Extended API rate limits, advanced targeting features | Ensuring stable and efficient Meta Ads API integration | Art. 6(1)(f) — legitimate interest | Same as ads_management |
| leads_retrieval | Lead Ads form data: name, phone number, email, custom question responses (e.g., estimated debt amount) | Lead acquisition, outreach for consultation booking, preliminary qualification | Art. 6(1)(a) — consent; Art. 6(1)(b) — pre-contractual measures | 36 months |
| business_management | Meta Business Suite organizational data (accounts, pages, ad accounts, apps, authorized users) | Managing business resources, access control, integration between Meta assets | Art. 6(1)(f) — legitimate interest | Duration of account activity |
| public_profile | Basic public data of users logging in via Facebook Login (name, user ID, profile picture) | Authentication, interface personalization | Art. 6(1)(a) — consent | 30 days / until account deletion |
2.3. What We Do NOT Collect via Meta
- Private profile data of commenting users (friend lists, birthdates, addresses);
- Private messages between users and other Pages/persons;
- Data beyond the scope of Lead Ads forms;
- Individually identifiable data from aggregated analytics;
- Personal data is NOT exported from Meta Custom Audiences — data remains on the Meta platform.
3. DATA COLLECTED THROUGH TIKTOK INTEGRATION
3.1. Scope
The Controller publishes short educational videos about consumer settlements, debt restructuring, and asset protection on TikTok. Content is exclusively educational and informational.
3.2. Data Processed
| Category | Description | Purpose | GDPR Basis |
|---|---|---|---|
| Video content | Videos created and published by the Controller | Education, brand awareness, reaching indebted individuals | Art. 6(1)(f) — legitimate interest |
| User comments | Comments posted under the Controller's TikTok videos | Community interaction, answering questions, moderation | Art. 6(1)(f) — legitimate interest |
| Analytics (aggregated) | TikTok Analytics data: views, likes, shares, comments, demographics (aggregated), traffic sources | Content optimization, effectiveness analysis | Art. 6(1)(f) — legitimate interest |
| Content publishing metadata | Video titles, descriptions, hashtags, privacy settings, thumbnails | Managing publications | Art. 6(1)(f) — legitimate interest |
3.3. Limitations
- The Controller does not collect personal data of individual TikTok users;
- All analytics data is aggregated and does not allow identification of specific users;
- The Controller does not use TikTok Pixel or TikTok Events API on ugodakonsumencka.pl;
- User comments are processed exclusively on the TikTok platform and are not copied to the Controller's databases.
3.4. Retention
- Video content: for the duration of publication on TikTok;
- Aggregated analytics: up to 24 months;
- Comments: managed by TikTok for the duration of their existence on the platform.
4. DATA COLLECTED THROUGH THE WEBSITE
4.1. Contact Forms
The Website may contain contact forms. Data collected: name (required), phone number (required), email (optional), message content (optional), estimated debt amount (optional).
Legal basis: Art. 6(1)(a) GDPR (consent); Art. 6(1)(b) GDPR (pre-contractual measures). Retention: Up to 36 months or until consent withdrawal.
4.2. NinjaBox — Interactive Tools
The Website may provide an interactive NinjaBox dashboard including a debt calculator and consultation booking form.
Data scope: name, phone number, email (optional), financial data entered by the user (debt amount, income), consultation scheduling preferences.
Legal basis: Art. 6(1)(a) GDPR (consent); Art. 6(1)(b) GDPR (pre-contractual measures). Retention: Up to 36 months or until consent withdrawal.
4.3. Automatically Collected Data
During use of the Website, the following technical data is automatically collected: IP address (anonymized in GA4), browser type and OS, screen resolution, page URLs visited, time spent on page, traffic source (referrer), cookie identifiers (after consent — see Section 13).
Legal basis: Art. 6(1)(f) GDPR (legitimate interest — security, diagnostics); Art. 6(1)(a) GDPR (consent — for analytics and marketing cookies).
5. PURPOSES AND LEGAL BASES FOR PROCESSING
| Purpose | GDPR Legal Basis | Data Categories |
|---|---|---|
| Handling inquiries and customer contact | Art. 6(1)(a) — consent; Art. 6(1)(b) — contract | Contact data, inquiry content |
| Providing debt restructuring services | Art. 6(1)(b) — contract performance | Personal data, financial data |
| Direct marketing of own services | Art. 6(1)(f) — legitimate interest | Contact data, interaction data |
| Managing the Facebook Page and moderation | Art. 6(1)(f) — legitimate interest | Comments, messages |
| Advertising campaigns (Meta Ads) | Art. 6(1)(a) — consent; Art. 6(1)(f) — legitimate interest | Aggregated data, Pixel data |
| Lead acquisition (Lead Ads) | Art. 6(1)(a) — consent; Art. 6(1)(b) — pre-contractual measures | Name, phone, email |
| Analytics and statistics | Art. 6(1)(a) — consent (cookies); Art. 6(1)(f) — legitimate interest | Aggregated data, cookies |
| Communication automation (AI) | Art. 6(1)(f) — legitimate interest | Message content |
| Publishing educational content | Art. 6(1)(f) — legitimate interest | Content created by the Controller |
| Legal obligation compliance | Art. 6(1)(c) — legal obligation | Data required by law |
| Pursuing legal claims | Art. 6(1)(f) — legitimate interest | Personal data, contract data |
6. USE OF ARTIFICIAL INTELLIGENCE
6.1. Scope
The Controller uses the Anthropic Claude AI model for:
| Process | Channel | Description |
|---|---|---|
| Auto-responses to messages | Facebook Messenger | AI generates responses about consumer settlements, debt restructuring, terms of cooperation |
| Auto-responses to comments | Facebook Page | AI generates responses to comments under educational posts |
| Auto-responses | WhatsApp Business | AI responds to incoming WhatsApp inquiries |
| Content generation | Page, Website | AI assists in creating educational content |
6.2. AI Data Processing Principles
| Principle | Description |
|---|---|
| Stateless Model | Anthropic Claude does not retain personal data between sessions. Each query is processed independently without memory of previous conversations at the AI model level. |
| Data Minimization | Only the message content and necessary context (FAQ, service information) are passed to the AI model. Personal data (name, phone, email) is shared with AI only to the extent necessary to provide a response. |
| Human Oversight | All AI responses are monitored by the Controller's staff. Complex legal inquiries are escalated to a human consultant. The Controller reserves the right to disable AI auto-responses at any time. |
| No Profiling | AI is not used for profiling users, making automated decisions with legal effects, or credit scoring. |
| Transparency | Users are informed at the beginning of the conversation that they are interacting with an AI system. Users can request a human agent at any time. |
| Processing Location | Anthropic Claude is hosted in Anthropic's infrastructure (USA/EU). Data transfers comply with Section 8 of this Policy (International Data Transfers). |
6.3. User Rights Regarding AI
Users have the right to:
- request a conversation with a human instead of AI at any time;
- object to processing of their data by the AI system;
- obtain information about whether a given response was generated by AI;
- request deletion of data processed in the context of AI conversations.
7. DATA RECIPIENTS
| Recipient | Data Scope | Purpose | Basis |
|---|---|---|---|
| Meta Platforms, Inc. | Page data, Messenger, WhatsApp, Lead Ads, Pixel | Platform services, advertising, analytics | Joint controllership agreement (Section 14), Meta Terms |
| Anthropic PBC | Message content (stateless processing) | AI response generation | Data processing agreement, SCCs |
| OVH SAS (France, EU) | Database, server files | Infrastructure hosting | Data processing agreement |
| Google LLC | GA4 cookie data (anonymized) | Website traffic analytics | Data processing agreement, SCCs |
| Microsoft Corporation | Clarity cookie data (anonymized) | UX analytics (heatmaps, session recordings) | Data processing agreement, SCCs |
| Cooperating lawyers and law firms | Client data (after contract conclusion) | Legal services (settlements, bankruptcy) | Art. 6(1)(b) GDPR |
| Public authorities | Data required by law | Legal obligation compliance | Art. 6(1)(c) GDPR |
Personal data is never sold to third parties. Data is shared only to the extent necessary for specified purposes. Data processing agreements (Art. 28 GDPR) are in place with all processors.
8. INTERNATIONAL DATA TRANSFERS
8.1. Data Location
The Controller's primary database is located on OVH SAS servers in France (European Union).
8.2. Transfers Outside the EEA
| Provider | Country | Safeguard | Data Scope |
|---|---|---|---|
| Meta Platforms, Inc. | USA | Standard Contractual Clauses (SCCs) per Commission Decision 2021/914 | Page data, Messenger, WhatsApp, Lead Ads |
| Anthropic PBC | USA | Standard Contractual Clauses (SCCs) | Message content (stateless processing) |
| Google LLC | USA | SCCs, EU-US Data Privacy Framework | GA4 cookie data |
| Microsoft Corporation | USA/EU | SCCs, EU-US Data Privacy Framework | Clarity cookie data |
All transfers outside the EEA are based on Standard Contractual Clauses (SCCs) adopted by the European Commission on 4 June 2021 (Implementing Decision 2021/914). Where applicable, transfers are additionally covered by the EU-US Data Privacy Framework (Commission adequacy decision of 10 July 2023). The Controller conducts Transfer Impact Assessments for each non-EEA provider.
9. DATA RETENTION PERIODS
| Data Category | Retention Period | Basis |
|---|---|---|
| Contact form data | Up to 36 months or until consent withdrawal | Processing purpose (lead/contact) |
| Lead Ads data | Up to 36 months or until consent withdrawal | Processing purpose (client acquisition) |
| Messenger/WhatsApp messages | Up to 24 months from last message | Processing purpose (customer service) |
| Page comments | Up to 24 months in Platform database | Processing purpose (moderation) |
| Analytics data (GA4) | Up to 26 months | GA4 platform settings |
| Analytics data (Clarity) | Up to 13 months | Clarity platform settings |
| Client data (after contract) | Contract duration + 5 years | Legal obligations, statute of limitations |
| Tax and accounting data | 5 years from end of fiscal year | Polish Accounting Act (Art. 74) |
| Server logs | Up to 12 months | Security, diagnostics |
| Ad campaign data | Up to 36 months after campaign end | Analytics, accounting |
| Backups | Up to 30 days (automatic rotation) | Business continuity, disaster recovery |
After the retention period, data is permanently deleted or anonymized (for statistical data).
10. DATA SUBJECT RIGHTS
Under the GDPR, every data subject has the following rights:
| Right | GDPR Article | Description |
|---|---|---|
| Right of access | Art. 15 | Right to obtain confirmation whether personal data is being processed and access to such data |
| Right to rectification | Art. 16 | Right to request rectification of inaccurate personal data |
| Right to erasure ("right to be forgotten") | Art. 17 | Right to request erasure when data is no longer necessary, consent is withdrawn, successful objection is raised, or processing is unlawful |
| Right to restriction | Art. 18 | Right to request restriction of processing in specified circumstances |
| Right to data portability | Art. 20 | Right to receive personal data in a structured, commonly used, machine-readable format (e.g., JSON, CSV) |
| Right to object | Art. 21 | Right to object to processing based on legitimate interest, including profiling |
| Right to withdraw consent | Art. 7(3) | Right to withdraw consent at any time without affecting the lawfulness of prior processing |
| Right to lodge a complaint | Art. 77 | Right to lodge a complaint with the supervisory authority — President of the Personal Data Protection Office (PUODO), ul. Stawki 2, 00-193 Warsaw, Poland, https://uodo.gov.pl |
How to exercise rights: Send an email to [email protected] with the subject line "GDPR — [right name]". The Controller will respond within 30 days (extendable by 60 days for complex requests).
11. DATA DELETION PROCEDURES
11.1. User-Requested Deletion
Upon request (Art. 17 GDPR), the Controller will delete personal data from: the NinjaBot Platform database, CRM systems, mailing and contact lists, and analytics systems (to the extent data allows identification). Deletion is completed within 30 days.
11.2. Meta Data Deletion Callback
In compliance with Meta Platform Terms, the Controller provides a data deletion endpoint:
URL: https://app.ninjabot.pl/api/facebook/data-deletion
This endpoint: accepts deletion requests from Meta (signed request); deletes all data associated with the Facebook User ID from the Controller's database; returns a confirmation with a unique reference code and status check URL; processes requests within 48 hours.
11.3. Exceptions
The Controller may refuse deletion when processing is necessary for: compliance with legal obligations (tax, accounting regulations), establishment, exercise, or defense of legal claims, or archiving in the public interest.
12. DATA SECURITY
12.1. Technical Measures
- TLS 1.2+ encryption for all connections (HTTPS, SSL certificate by Let's Encrypt);
- PostgreSQL database protected by password, accessible only from the application server (localhost);
- SSH key-based access control to the server;
- Daily automated backups with 30-day rotation on separate storage;
- Firewall (UFW) restricting access to necessary ports;
- Regular updates of OS, web server (nginx), and application dependencies;
- Access and error logging for monitoring.
12.2. Organizational Measures
- Principle of least privilege (access limited to authorized personnel);
- Data protection awareness for personnel with data access;
- Data breach procedure (Art. 33-34 GDPR) with 72-hour supervisory authority notification;
- Data Protection Impact Assessments (DPIA) for high-risk processing operations (Art. 35 GDPR).
12.3. Infrastructure Location
| Component | Location | Provider |
|---|---|---|
| Application server | France (EU) | OVH SAS |
| PostgreSQL database | France (EU) | OVH SAS |
| Backups | France (EU) | OVH SAS |
13. COOKIES
13.1. Consent-First Approach
The Website follows a consent-first approach — analytics and marketing cookies are loaded only after the user grants consent via the cookie banner. Essential (technical) cookies are loaded without consent based on Art. 6(1)(f) GDPR.
13.2. Cookies Used
| Cookie/Service | Provider | Purpose | Type | Expiry | GDPR Basis |
|---|---|---|---|---|---|
| Google Analytics 4 (G-JQSJ2XCMVC) | Google LLC | Traffic analytics (users, pageviews, sources, behavior, conversions). IP anonymization enabled. | _ga, _ga_* |
2 years | Art. 6(1)(a) — consent |
| Microsoft Clarity (viy31mp2ic) | Microsoft Corp. | UX analytics (heatmaps, anonymized session recordings, scrollmaps). Sensitive fields auto-masked. | _clck, _clsk, CLID |
1 year / 1 day / 1 year | Art. 6(1)(a) — consent |
| Facebook Pixel (2138557170052255) | Meta Platforms | Measuring ad campaign effectiveness, Custom Audiences, ad optimization. ad_storage=DENIED by default. |
_fbp, _fbc |
3 months / 2 years | Art. 6(1)(a) — consent |
| cookie_consent | Controller | Storing the user's cookie preferences | Technical | 12 months | Art. 6(1)(f) — legitimate interest |
| Session cookies | Controller | Maintaining user session (if logged in) | Technical | Browser session | Art. 6(1)(f) — legitimate interest |
13.3. Managing Cookies
Users can: change cookie preferences via "Cookie Settings" in the Website footer; block cookies in browser settings; delete cookies in browser settings. Blocking analytics/marketing cookies does not affect Website functionality.
14. JOINT CONTROLLERSHIP WITH META
Pursuant to the Court of Justice of the European Union ruling in Case C-210/16 (Wirtschaftsakademie Schleswig-Holstein) of 5 June 2018, the Controller operating a Facebook Page is a joint controller with Meta Platforms Ireland Ltd. regarding data collected through the Page.
| Responsibility | Entity |
|---|---|
| Facebook infrastructure, cookie systems, Page Insights statistics | Meta Platforms Ireland Ltd. |
| Published content, comment moderation, message responses | Controller (Finteo Sp. z o.o.) |
| Handling data subject rights (Art. 15-21 GDPR) | Both entities within their respective scope |
Meta's Page Controller Addendum is available at: https://www.facebook.com/legal/terms/page_controller_addendum
Contact points:
- Controller (Finteo): [email protected]
- Meta Platforms Ireland Ltd.: https://www.facebook.com/help/contact/540977946302970
15. CHILDREN'S PRIVACY
The Controller's services are intended exclusively for individuals aged 18 and over. The Controller does not knowingly collect personal data from individuals under 18. If the Controller becomes aware that data has been collected from a minor without parental consent, such data will be promptly deleted. Ad campaigns (Meta Ads) are configured with age targeting of 18+.
16. POLICY CHANGES
The Controller reserves the right to amend this Privacy Policy. Users will be notified of material changes via the Website, the Facebook Page, and email (where applicable). Each version is numbered and dated. Archived versions are available upon request at [email protected].
| Version | Date | Description |
|---|---|---|
| 1.0 | March 22, 2026 | Initial Privacy Policy for ugodakonsumencka.pl |
17. CONTACT
KANCELARIA POMOCY PRAWNEJ FINTEO Sp. z o.o. ul. Antoniego Madalinskiego 1K/26, 80-034 Gdansk, Poland
Data protection email: [email protected] General email: [email protected] Phone: +48 666 168 802
Supervisory Authority: President of the Personal Data Protection Office (PUODO) ul. Stawki 2, 00-193 Warsaw, Poland https://uodo.gov.pl Phone: +48 22 531 03 00
This Privacy Policy applies exclusively to ugodakonsumencka.pl. Last updated: March 22, 2026.