Polityka prywatności

Ostatnia aktualizacja: 25 maja 2026

1. Administrator danych

Administratorem danych osobowych Użytkowników korzystających z platformy OgłośAI (dalej: „Usługa”) jest Piotr Gębski, prowadzący działalność gospodarczą pod firmą „OgłośAI”, wpisaną do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG):

  • NIP: 7732424192
  • REGON: 543003417
  • Adres: ul. Błażeja Stolarskiego 10/12, 97-200 Tomaszów Mazowiecki
  • E-mail: piotr@gebski.cloud

We wszystkich sprawach dotyczących ochrony danych osobowych, w tym wykonywania praw opisanych w §7, Użytkownik może skontaktować się z Administratorem drogą mailową na adres wskazany powyżej. Administrator zobowiązuje się udzielić odpowiedzi bez zbędnej zwłoki, nie później niż w terminie jednego miesiąca od otrzymania żądania (z możliwością przedłużenia o kolejne dwa miesiące w przypadkach szczególnie skomplikowanych, o czym Administrator poinformuje Użytkownika).

Ze względu na skalę działalności (jednoosobowa działalność gospodarcza) Administrator nie wyznaczył Inspektora Ochrony Danych (IOD/DPO). Obowiązek wyznaczenia IOD nie zachodzi w przypadku Administratora niebędącego organem publicznym, którego przetwarzanie danych nie jest regularne ani wielkoskalowe w rozumieniu art. 37 RODO.

2. Kategorie przetwarzanych danych

W zależności od sposobu korzystania z Usługi Administrator może przetwarzać następujące kategorie danych osobowych:

  • Dane konta: adres e-mail Użytkownika (podstawowy identyfikator konta), opcjonalna nazwa agencji nieruchomości, hashed password (przechowywany wyłącznie przez Supabase Auth — Administrator nie ma dostępu do hasła w postaci jawnej), znaczniki czasowe: data i godzina rejestracji konta oraz ostatniego logowania.
  • Dane listingów (ogłoszeń): treści dotyczące nieruchomości wprowadzane przez Użytkownika — opisy nieruchomości, ceny ofertowe, lokalizacje (adres, miasto, dzielnica), metraż i powierzchnia użytkowa, parametry techniczne (liczba pokoi, piętro, rok budowy, stan wykończenia, wyposażenie, dostępność mediów, status prawny nieruchomości) oraz wszelkie inne dane wpisane przez Użytkownika w formularzu tworzenia listingu.
  • Zdjęcia nieruchomości: pliki graficzne przesłane przez Użytkownika i przekazane do analizy przez algorytm AI. Zdjęcia są przechowywane w Supabase Storage i przypisane do konkretnego listingu. Zdjęcia mogą pośrednio zawierać wizerunki osób lub dane identyfikujące właścicieli nieruchomości — Użytkownik jest odpowiedzialny za uzyskanie niezbędnych zgód przed przesłaniem takich zdjęć.
  • Treści wygenerowane: outputy AI (teksty ogłoszeń) wyprodukowane na podstawie danych Użytkownika, przechowywane w profilu Użytkownika, wraz z logami kosztów generacji (liczba tokenów, koszt wywołania API, znacznik czasowy generacji).
  • Dane techniczne: adres IP, typ i wersja przeglądarki (user-agent), identyfikator sesji, logi żądań HTTP. W razie wystąpienia błędu: stack trace błędu oraz kontekst zdarzenia przekazywany do Sentry. W przypadku wyrażenia zgody na analitykę: zdarzenia nawigacji i interakcji z interfejsem przekazywane do PostHog (w tym opcjonalne nagrania sesji/session replay).
  • Dane płatnicze: Administrator nie widzi ani nie przechowuje numerów kart płatniczych, danych bankowych ani pełnych danych rozliczeniowych. Wszelkie dane płatnicze są przetwarzane wyłącznie przez Paddle.com Market Ltd jako Merchant of Record, w ramach certyfikowanej infrastruktury PCI DSS Level 1. Administrator otrzymuje od Paddle wyłącznie metadane transakcji: status subskrypcji, identyfikator faktury, kwotę brutto transakcji oraz datę płatności — niezbędne do weryfikacji dostępu do Usługi i celów księgowych.

Administrator nie przetwarza danych osobowych szczególnych kategorii w rozumieniu art. 9 RODO (tj. danych dotyczących zdrowia, przekonań religijnych, poglądów politycznych, przynależności związkowej, danych genetycznych, biometrycznych ani danych dotyczących seksualności). W przypadku gdy Użytkownik przypadkowo prześle dane tej kategorii w treści listingu lub zdjęciach, Administrator dołoży starań, aby je niezwłocznie usunąć po powiadomieniu.

3. Cele i podstawy prawne przetwarzania

Administrator przetwarza dane osobowe Użytkowników w oparciu o następujące cele i podstawy prawne określone w art. 6 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO):

art. 6 ust. 1 lit. b RODO — wykonanie umowy

Przetwarzanie niezbędne do wykonania umowy o świadczenie Usługi, której stroną jest Użytkownik, lub do podjęcia działań na żądanie Użytkownika przed zawarciem umowy. Na tej podstawie przetwarzane są:

  • dane konta (e-mail, timestamps) — w celu identyfikacji Użytkownika i uwierzytelnienia;
  • dane listingów i zdjęcia nieruchomości — w celu dostarczenia funkcjonalności generowania opisów ogłoszeń;
  • treści wygenerowane — w celu udostępnienia Użytkownikowi wyników Generacji i ich przechowywania w Panelu;
  • metadane transakcji z Paddle — w celu weryfikacji aktywności Subskrypcji i zapewnienia dostępu do Usługi.

art. 6 ust. 1 lit. c RODO — obowiązek prawny

Przetwarzanie niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze. Na tej podstawie przetwarzane są:

  • dane niezbędne do prowadzenia rachunkowości i dokumentacji podatkowej, w tym metadane faktur wystawianych przez Paddle w imieniu Administratora;
  • dane wymagane przepisami o przechowywaniu dokumentacji finansowej (Ustawa z dnia 29 września 1994 r. o rachunkowości — 5 lat od zamknięcia roku obrachunkowego; Ordynacja podatkowa — do upływu okresu przedawnienia zobowiązania podatkowego, co do zasady 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku).

art. 6 ust. 1 lit. f RODO — uzasadniony interes Administratora

Przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów Administratora, pod warunkiem że interesy lub podstawowe prawa i wolności Użytkownika nie mają charakteru nadrzędnego. Na tej podstawie przetwarzane są:

  • dane techniczne przekazywane do Sentry (adresy IP, user-agent, stack trace błędu) — w celu monitorowania błędów aplikacji, diagnozowania problemów technicznych oraz zapewnienia stabilności i bezpieczeństwa Usługi. Uzasadniony interes: zapewnienie poprawnego działania Usługi dla wszystkich Użytkowników;
  • logi żądań i identyfikatory sesji — w celu egzekwowania limitów użycia (rate limits) i ochrony przed nadużyciami (abuse prevention). Uzasadniony interes: ochrona zasobów Usługi i zapewnienie równego dostępu dla wszystkich Użytkowników;
  • dane przechowywane w tabeli deletion_audit (identyfikator usuniętego konta, data usunięcia, żądana operacja) — jako dowód wykonania prawa do usunięcia danych w trybie art. 17 RODO. Uzasadniony interes: możliwość wykazania zgodności z RODO na wypadek skargi lub kontroli organu nadzorczego.

art. 6 ust. 1 lit. a RODO — zgoda

Przetwarzanie na podstawie dobrowolnej, świadomej i jednoznacznej zgody Użytkownika. Na tej podstawie przetwarzane są:

  • dane analityczne przekazywane do PostHog, w tym zdarzenia nawigacyjne, interakcje z interfejsem oraz nagrania sesji (session replay) — wyłącznie po wyrażeniu przez Użytkownika zgody na analitykę za pośrednictwem bannera cookies lub ustawień konta. Zgoda może być cofnięta w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania przed jej cofnięciem;
  • dane do celów marketingowych (wysyłka newslettera, informacji o nowych funkcjach, ofertach promocyjnych) — wyłącznie dla Użytkowników, którzy wyrazili osobną zgodę marketingową podczas rejestracji lub w ustawieniach konta.

4. Okres przechowywania danych

Administrator przechowuje dane osobowe przez okres niezbędny do realizacji celu, dla którego zostały zebrane, a po jego wygaśnięciu — przez okres wynikający z obowiązków prawnych lub uzasadnionego interesu Administratora:

  • Aktywne konto Użytkownika: przez cały czas trwania umowy, tj. do momentu usunięcia konta przez Użytkownika lub rozwiązania umowy przez Administratora. Usunięcie konta inicjowane przez Użytkownika odbywa się z poziomu /account (sekcja Strefa niebezpieczeństwa). Proces usunięcia usuwa dane konta, listingi, zdjęcia i treści wygenerowane w trybie natychmiastowym (z zastrzeżeniem opóźnień wynikających z replikacji bazy danych).
  • Po usunięciu konta — dane minimalne dla celów księgowych: przez 5 lat od zamknięcia roku obrachunkowego, w którym miała miejsce ostatnia transakcja (wymóg Ustawy o rachunkowości). W tym okresie przechowywane są wyłącznie zminimalizowane dane niezbędne do dokumentacji podatkowej: identyfikatory transakcji, kwoty faktur, daty płatności oraz adres e-mail powiązany z kontem (jako klucz do identyfikacji transakcji na wypadek żądania ze strony organu podatkowego).
  • Audit log usunięcia konta (tabela deletion_audit): bezterminowo jako dowód wykonania prawa do usunięcia danych (art. 17 RODO). Zakres danych w logu jest zminimalizowany do: hashed e-mail, znacznik czasowy żądania usunięcia i typ operacji. Uzasadniony interes: możliwość wykazania zgodności z RODO na wypadek skargi lub dochodzenia przez PUODO.
  • Logi błędów Sentry: 90 dni od momentu rejestracji błędu, po czym są automatycznie usuwane przez system retencji danych Sentry.
  • Nagrania sesji PostHog (session replay): 30 dni od nagrania, wyłącznie w przypadku wyrażenia zgody. Usunięcie możliwe w dowolnym momencie przez cofnięcie zgody na analitykę.
  • Logi kosztów generacji: 24 miesiące od daty generacji, w celu monitorowania kosztów API i kontroli finansowej. Po tym okresie dane są anonimizowane (usunięcie identyfikatora Użytkownika, zachowanie wyłącznie zagregowanych statystyk).

5. Odbiorcy danych — podmioty przetwarzające (subprocessors)

W celu świadczenia Usługi Administrator powierza przetwarzanie danych osobowych następującym podmiotom przetwarzającym (subprocesorom), działającym wyłącznie na udokumentowane polecenie Administratora:

PodmiotFunkcjaLokalizacja
Anthropic, PBCGeneracja AI (Claude) — przetwarzanie danych listingów i zdjęć w celu tworzenia opisów ogłoszeńUSA + EU compute · SCC + DPF
Supabase Inc.Baza danych (PostgreSQL) + uwierzytelnianie (Auth) + przechowywanie plików (Storage)AWS Frankfurt (eu-central-1)
Vercel Inc.Hosting aplikacji + edge computing + CDNEU (Frankfurt/London) + USA · DPF
Paddle.com Market LtdProcesor płatności / Merchant of Record — przetwarzanie transakcji, wystawianie faktur, naliczanie VATUK + EU
Resend Inc.Wysyłka transakcyjnych wiadomości e-mail (magic-link, potwierdzenia)USA · SCC
Functional Software, Inc. (Sentry)Monitoring i śledzenie błędów aplikacjiEU Cloud (Frankfurt)
PostHog Inc.Analityka produktowa i nagrania sesji (wyłącznie po wyrażeniu zgody)EU Cloud (Frankfurt)

Każdy z wymienionych podmiotów przetwarza dane wyłącznie zgodnie z umową powierzenia przetwarzania danych (DPA) zawartą z Administratorem oraz w zakresie określonym w niniejszej Polityce. Subprocesorzy nie są uprawnieni do przetwarzania danych osobowych Użytkowników w celach własnych ani do powierzania ich dalszym podmiotom bez uprzedniej zgody Administratora.

Administrator zobowiązuje się informować Użytkowników o każdej planowanej zmianie w wykazie subprocesorów (dodanie nowego lub zastąpienie istniejącego) z co najmniej 30-dniowym wyprzedzeniem, publikując zaktualizowaną wersję niniejszej Polityki i wysyłając powiadomienie e-mail do zarejestrowanych Użytkowników.

6. Transfery danych poza Europejski Obszar Gospodarczy

Część podmiotów przetwarzających wymienionych w §5 ma siedzibę lub przetwarza dane poza Europejskim Obszarem Gospodarczym (EOG). Administrator zapewnia, że każdy transfer danych poza EOG odbywa się z zachowaniem odpowiednich zabezpieczeń wymaganych przez art. 46 RODO:

  • Anthropic, PBC (USA): Transfer odbywa się na podstawie Standardowych Klauzul Umownych Komisji Europejskiej (Standard Contractual Clauses, SCC) przyjętych decyzją wykonawczą KE 2021/914 z dnia 4 czerwca 2021 r. Anthropic uczestniczy również w programie Data Privacy Framework (DPF) — decyzja KE 2023/1795 z dnia 10 lipca 2023 r. stwierdzająca odpowiedni poziom ochrony dla organizacji certyfikowanych w USA.
  • Vercel Inc. (USA): Transfer odbywa się na podstawie Data Privacy Framework (DPF). Vercel posiada certyfikat DPF potwierdzający odpowiedni poziom ochrony danych zgodnie z decyzją KE 2023/1795.
  • Resend Inc. (USA): Transfer odbywa się na podstawie Standardowych Klauzul Umownych (SCC) przyjętych decyzją KE 2021/914.
  • Supabase Inc. (dane przechowywane w AWS eu-central-1, Frankfurt): Przetwarzanie odbywa się w ramach EOG — brak transferu poza EOG dla danych przechowywanych w bazie danych i Storage. Siedziba Supabase Inc. znajduje się w USA, jednak umowa DPA zawiera SCC na wypadek dostępu zdalnego z USA.
  • Functional Software, Inc. / Sentry (EU Cloud, Frankfurt): Przetwarzanie błędów odbywa się wyłącznie w infrastrukturze zlokalizowanej w UE (region eu-central-1, AWS Frankfurt). Brak transferu poza EOG.
  • PostHog Inc. (EU Cloud, Frankfurt): Dane analityczne zbierane po wyrażeniu zgody są przetwarzane wyłącznie w infrastrukturze zlokalizowanej w UE. Brak transferu poza EOG.
  • Paddle.com Market Ltd (UK + EU): Wielka Brytania posiada decyzję adekwatności Komisji Europejskiej (decyzja KE 2021/1772 z dnia 28 czerwca 2021 r.), co oznacza, że transfer danych do Paddle nie wymaga dodatkowych instrumentów prawnych — poziom ochrony uznany za równoważny z RODO.

Użytkownik ma prawo uzyskać kopię zastosowanych zabezpieczeń (np. SCC) poprzez kontakt z Administratorem na adres piotr@gebski.cloud.

7. Prawa użytkownika

Na mocy Rozporządzenia RODO Użytkownikowi przysługują następujące prawa w zakresie przetwarzania jego danych osobowych. Żądania związane z wykonywaniem praw można kierować na adres e-mail piotr@gebski.cloud lub — w zakresie, w jakim jest to możliwe techniczne — realizować bezpośrednio z poziomu /account. Administrator udzieli odpowiedzi bez zbędnej zwłoki, nie później niż w ciągu jednego miesiąca od otrzymania żądania.

  • Prawo dostępu do danych (art. 15 RODO): Użytkownik ma prawo uzyskać od Administratora potwierdzenie, czy jego dane osobowe są przetwarzane, a jeżeli tak — uzyskać do nich dostęp oraz informacje o celach przetwarzania, kategoriach danych, odbiorcach, planowanym okresie przechowywania, prawach i źródle danych. Administrator może odmówić dostarczenia kopii danych, jeżeli mogłoby to niekorzystnie wpłynąć na prawa i wolności innych osób.
  • Prawo do sprostowania danych (art. 16 RODO): Użytkownik ma prawo żądania niezwłocznego sprostowania danych osobowych, które są nieprawidłowe lub niekompletne. Użytkownik może samodzielnie zaktualizować część danych (np. nazwę agencji) w ustawieniach konta. W pozostałych przypadkach należy skontaktować się z Administratorem.
  • Prawo do usunięcia danych — „prawo do bycia zapomnianym” (art. 17 RODO): Użytkownik ma prawo żądania niezwłocznego usunięcia dotyczących go danych osobowych, jeżeli zachodzi jedna z przesłanek art. 17 ust. 1 RODO (m.in. dane nie są już niezbędne do celów, dla których zostały zebrane; Użytkownik cofnął zgodę; dane są przetwarzane niezgodnie z prawem). Pełne usunięcie konta wraz ze wszystkimi danymi dostępne jest bezpośrednio z poziomu /account (sekcja Strefa niebezpieczeństwa). Prawo do usunięcia nie obowiązuje w zakresie, w jakim przetwarzanie jest niezbędne do wywiązania się z obowiązku prawnego (np. zachowanie danych dla celów rachunkowości przez wymagany okres) lub do ustalenia, dochodzenia lub obrony roszczeń prawnych.
  • Prawo do przenoszenia danych (art. 20 RODO): Użytkownik ma prawo otrzymać dotyczące go dane osobowe, które dostarczył Administratorowi, w powszechnie stosowanym formacie nadającym się do odczytu maszynowego (np. JSON, CSV), oraz prawo przesłania ich innemu administratorowi. Prawo przysługuje, jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy i jest wykonywane w sposób zautomatyzowany. Żądanie eksportu danych należy kierować na adres piotr@gebski.cloud.
  • Prawo do sprzeciwu (art. 21 RODO): Użytkownik ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących go danych osobowych na podstawie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO), w tym profilowania. W takim przypadku Administratorowi nie wolno już przetwarzać tych danych, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności Użytkownika, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
  • Prawo do ograniczenia przetwarzania (art. 18 RODO): Użytkownik ma prawo żądania ograniczenia przetwarzania w przypadkach określonych w art. 18 ust. 1 RODO, m.in. gdy kwestionuje prawidłowość danych (na czas weryfikacji), gdy przetwarzanie jest niezgodne z prawem a Użytkownik sprzeciwia się usunięciu danych, lub gdy Administrator nie potrzebuje już danych, ale są one potrzebne Użytkownikowi do ustalenia, dochodzenia lub obrony roszczeń.
  • Prawo do cofnięcia zgody (art. 7 ust. 3 RODO): Użytkownik ma prawo w dowolnym momencie cofnąć zgodę na przetwarzanie danych osobowych, w przypadku gdy przetwarzanie opiera się na zgodzie (dot. analityki PostHog i session replay oraz marketingowych wiadomości e-mail). Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, które miało miejsce przed jej cofnięciem. Zgodę na cookies można cofnąć w każdej chwili w ustawieniach cookies dostępnych w stopce strony lub poprzez kontakt z Administratorem na adres piotr@gebski.cloud.

W przypadku wątpliwości co do tożsamości osoby żądającej realizacji praw Administrator może prosić o dodatkowe informacje niezbędne do weryfikacji. Realizacja praw jest bezpłatna. W przypadku żądań ewidentnie nieuzasadnionych lub nadmiernych (w szczególności ze względu na swój ustawiczny charakter) Administrator może pobrać rozsądną opłatę lub odmówić podjęcia działań, o czym poinformuje Użytkownika wskazując przyczyny.

8. Pliki cookies

Usługa korzysta z plików cookies oraz podobnych technologii śledzenia (local storage, session storage). Cookies niezbędne (techniczne) służą do zapewnienia prawidłowego działania Usługi — w szczególności do zarządzania sesją uwierzytelnienia. Cookies analityczne (PostHog) i preferencyjne są stosowane wyłącznie po wyrażeniu przez Użytkownika zgody za pośrednictwem bannera cookies wyświetlanego przy pierwszym wejściu na stronę.

Szczegółowe informacje o rodzajach stosowanych plików cookies, ich celach, dostawcach i okresach ważności zawiera Polityka plików cookie. Użytkownik może w dowolnym momencie zmienić swoje preferencje dotyczące cookies, klikając link „Ustawienia cookies” dostępny w stopce strony.

9. Prawo do wniesienia skargi do organu nadzorczego

Jeżeli Użytkownik uważa, że przetwarzanie dotyczących go danych osobowych przez Administratora narusza przepisy RODO, ma prawo wnieść skargę do organu nadzorczego właściwego dla miejsca zwykłego pobytu Użytkownika, jego miejsca pracy lub miejsca domniemanego naruszenia.

Organem nadzorczym właściwym w Polsce jest:

Prezes Urzędu Ochrony Danych Osobowych (PUODO)
ul. Stawki 2, 00-193 Warszawa
Telefon: 22 531-03-00
E-mail: kancelaria@uodo.gov.pl
Strona internetowa: uodo.gov.pl

Przed wniesieniem skargi do PUODO Administrator zachęca do uprzedniego kontaktu bezpośredniego na adres piotr@gebski.cloud — większość problemów związanych z przetwarzaniem danych można rozwiązać szybciej w drodze bezpośredniej komunikacji. Wniesienie skargi do PUODO jest jednak niezależnym uprawnieniem Użytkownika i nie wymaga wcześniejszego kontaktu z Administratorem.

10. Aktualizacje polityki prywatności

Administrator zastrzega sobie prawo do aktualizacji niniejszej Polityki prywatności w przypadku zmiany przepisów prawa, zmiany stosowanych technologii lub zmiany zakresu przetwarzanych danych. Zakres powiadomień zależy od rodzaju zmiany:

  • Zmiany istotne — wpływające na prawa Użytkowników, zakres przetwarzanych danych, cele przetwarzania, dodanie nowego subprocesora lub zmianę podstawy prawnej przetwarzania — będą ogłaszane z co najmniej 30-dniowym wyprzedzeniem poprzez wysłanie wiadomości e-mail na adres powiązany z Kontem Użytkownika oraz poprzez opublikowanie nowej wersji Polityki pod adresem oglosai.pl/polityka-prywatnosci.
  • Zmiany kosmetyczne i doprecyzowania — korekty redakcyjne, aktualizacje danych kontaktowych, drobne doprecyzowania istniejących postanowień niemające wpływu na prawa Użytkowników — mogą być wprowadzane bez wcześniejszego powiadomienia. Data ostatniej aktualizacji widoczna jest w nagłówku niniejszej strony.

Dalsze korzystanie z Usługi po wejściu w życie istotnych zmian Polityki prywatności oznacza ich akceptację. Jeżeli Użytkownik nie akceptuje zmienionej Polityki, powinien zaprzestać korzystania z Usługi i może zażądać usunięcia konta zgodnie z §7 niniejszej Polityki.

Archiwalne wersje Polityki prywatności są dostępne na żądanie skierowanym na adres piotr@gebski.cloud.

Pytania? Napisz na piotr@gebski.cloud lub wróć do strony głównej.

Polityka prywatności · OglosAI · OgłośAI