Refrenik
Stwórz →
Prywatność

Polityka prywatności

obowiązuje od dnia 10 maja 2026 r.

Drogi Użytkowniku,

Niniejsza Polityka prywatności (dalej: „Polityka") określa zasady przetwarzania danych osobowych w związku z korzystaniem z aplikacji „Refrenik.pl" dostępnej pod adresem refrenik.pl (dalej: „Aplikacja"). Pojęcia pisane wielką literą, niezdefiniowane w Polityce, mają znaczenie nadane im w Regulaminie Aplikacji dostępnym pod adresem refrenik.pl/regulamin (dalej: „Regulamin").

Dokładamy wszelkich starań, aby zapewnić bezpieczeństwo i poufność danych osobowych Użytkowników oraz osób, których dane są wprowadzane do Aplikacji w ramach Briefu. Działamy zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO").

W niniejszym dokumencie przedstawiamy najistotniejsze informacje na temat przetwarzania danych osobowych. Dla uproszczenia zestawiliśmy je w formie pytań i odpowiedzi.

§ 1. Kto jest Administratorem Twoich danych osobowych?

  1. Administratorem Twoich danych osobowych jest Damian Lew, prowadzący jednoosobową działalność gospodarczą pod firmą Smart Design Damian Lew, z adresem stałego miejsca wykonywania działalności gospodarczej: Cierpisz 20a, 37-124 Kraczkowa, NIP: 8151736720, REGON: 181060220, wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (dalej: „Administrator" lub „Usługodawca").

  2. Kontakt z Administratorem w sprawach związanych z przetwarzaniem danych osobowych jest możliwy:

    1. drogą elektroniczną – pod adresem e-mail: kontakt@refrenik.pl,
    2. pocztą tradycyjną – pod adresem: Cierpisz 20a, 37-124 Kraczkowa,
    3. telefonicznie – pod numerem: +48 730 330 048.

  3. Administrator nie wyznaczył Inspektora Ochrony Danych. We wszystkich sprawach dotyczących ochrony danych osobowych prosimy o kontakt na adres wskazany w ust. 2 pkt 1 powyżej.

§ 2. Jakie dane osobowe przetwarzamy i skąd je pozyskujemy?

  1. W związku z korzystaniem z Aplikacji przetwarzamy następujące kategorie danych osobowych Użytkownika:

    1. dane identyfikacyjne i kontaktowe: adres poczty elektronicznej (e-mail) – podawany przy zakładaniu Konta, składaniu zamówienia lub kontakcie z Usługodawcą;
    2. dane rozliczeniowe i transakcyjne: dane niezbędne do wystawienia faktury lub paragonu (imię i nazwisko lub nazwa, adres, w przypadku faktury – również NIP, jeżeli zostanie podany), informacje o złożonych zamówieniach, datach i kwotach Opłat, statusie płatności oraz tokenizowane identyfikatory transakcji (Administrator nie przechowuje pełnych numerów kart płatniczych ani danych uwierzytelniających do bankowości);
    3. dane Konta: identyfikator Konta, adres e-mail przypisany do Konta, znaczniki czasu logowań i operacji w Koncie;
    4. dane Sesji Anonimowej: techniczny identyfikator sesji przechowywany w przeglądarce Użytkownika (np. w plikach cookies lub w pamięci lokalnej przeglądarki), umożliwiający przypisanie Briefu i Utworu do sesji przed założeniem Konta;
    5. Treści Usługobiorcy (dane wprowadzone przez Użytkownika do Aplikacji): dane składające się na Brief (m.in. imię i relacja osoby obdarowywanej, okazja, wspomnienia, ulubione zwroty, wskazanie czego unikać, wybór gatunku i nastroju), dane personalizacyjne Strony Udostępniania (m.in. imiona osoby obdarowywanej i obdarowującego, wskazanie okazji), ewentualne edycje Tekstu, Tekst i Nagranie wytworzone przez Aplikację;
    6. dane techniczne i diagnostyczne: adres IP, typ i wersja przeglądarki, system operacyjny, identyfikator urządzenia, język przeglądarki, znaczniki czasu wizyt, przeglądane podstrony, źródło wejścia (referer), zdarzenia interakcji z Aplikacją (np. rozpoczęcie Briefu, akceptacja Tekstu, dokonanie Opłaty);
    7. dane korespondencyjne: treść wiadomości i zgłoszeń kierowanych do Administratora (e-mail, formularze, ewentualne kanały komunikacji w mediach społecznościowych), w tym reklamacje, odwołania od decyzji moderacyjnych i zgłoszenia DSA.

  2. Dane osób trzecich (w tym dzieci) wprowadzane w Briefie i na Stronie Udostępniania. W ramach Briefu oraz personalizacji Strony Udostępniania Użytkownik może podać dane osobowe innej osoby niż on sam, w szczególności osoby obdarowywanej (np. dziecka). Zgodnie z Regulaminem (§ 4 ust. 3 pkt 4 oraz § 10 ust. 3 Regulaminu), Użytkownik składając zamówienie oświadcza, że posiada zgodę tej osoby na przetwarzanie jej danych w celu wykonania Generacji i ewentualnego utworzenia Strony Udostępniania, a w przypadku dziecka – że jest jej przedstawicielem ustawowym lub działa za jego zgodą. W stosunku do tych danych Administrator pozyskuje je pośrednio – od Użytkownika (art. 14 RODO) – wyłącznie w zakresie niezbędnym do wykonania Umowy.

  3. Część danych zbierana jest automatycznie podczas korzystania z Aplikacji za pomocą plików cookies i podobnych technologii (zob. § 7 Polityki) oraz w postaci logów serwera (zob. § 11 Polityki).

  4. Podanie danych jest dobrowolne, ale w pewnych sytuacjach niezbędne do skorzystania z Usługi:

    1. bez podania adresu e-mail nie jest możliwe założenie Konta, otrzymanie powiadomień o gotowym Utworze, dowodu zakupu ani odpowiedzi na zgłoszenie;
    2. bez wprowadzenia Briefu nie jest możliwe wykonanie Generacji;
    3. bez podania danych do faktury nie jest możliwe wystawienie faktury imiennej.

§ 3. Czy Aplikacja jest skierowana do dzieci?

  1. Aplikacja jest skierowana wyłącznie do osób pełnoletnich (które ukończyły 18. rok życia i posiadają pełną zdolność do czynności prawnych). Nie kierujemy Aplikacji do dzieci jako Użytkowników i nie zbieramy świadomie danych osobowych dzieci jako osób korzystających z Aplikacji.

  2. Dane dziecka mogą jednak pojawić się w Briefie lub na Stronie Udostępniania jako dane osoby obdarowywanej. W takim przypadku Użytkownik (rodzic lub opiekun prawny) odpowiada za to, że jest uprawniony do przekazania tych danych Administratorowi i że posiada do tego odpowiednią podstawę (np. wykonywanie władzy rodzicielskiej).

  3. Zgodnie z Regulaminem, do Briefu nie wolno wprowadzać danych osobowych szczególnych kategorii w rozumieniu art. 9 RODO (m.in. danych o stanie zdrowia, wyznaniu religijnym, pochodzeniu, orientacji seksualnej, poglądach politycznych) ani danych dotyczących wyroków skazujących. Jeżeli takie dane zostaną przez Użytkownika wprowadzone, prosimy o niezwłoczne poinformowanie nas o tym – usuniemy je niezwłocznie po weryfikacji.

§ 4. W jakim celu, na jakiej podstawie prawnej i jak długo przetwarzamy Twoje dane?

Przetwarzamy Twoje dane osobowe w następujących celach:

  1. Zawarcie i wykonanie Umowy o dostarczanie Usługi korzystania z Aplikacji (wykonanie Generacji Tekstu i Generacji Nagrania, dostarczenie Utworu, utworzenie i obsługa Strony Udostępniania, prowadzenie Konta, obsługa Sesji Anonimowej, automatyczne ponowienia Generacji w razie błędu technicznego):

    1. podstawa prawna: niezbędność przetwarzania do wykonania umowy lub podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b RODO) – w odniesieniu do Użytkownika; uzasadniony interes Administratora i Użytkownika polegający na realizacji Umowy zawartej z Użytkownikiem (art. 6 ust. 1 lit. f RODO) – w odniesieniu do danych osób trzecich wprowadzonych przez Użytkownika w Briefie;
    2. okres przechowywania:
      • dane Sesji Anonimowej (Brief, Tekst, Nagranie, dane personalizacji) – do upływu terminu przechowywania określonego w § 12 ust. 9 Regulaminu (nie dłużej niż 30 dni od ostatniej aktywności w sesji), po czym podlegają trwałemu usunięciu;
      • dane Konta i Treści Usługobiorcy zgromadzone na Koncie – do czasu usunięcia Konta przez Użytkownika lub wypowiedzenia Umowy, a następnie przez okres archiwizacji niezbędny do obsługi reklamacji i obrony przed roszczeniami (zob. pkt 5 poniżej);
      • dane Strony Udostępniania – do czasu unieważnienia Strony przez Użytkownika lub usunięcia Konta;

  2. Obsługa płatności i wypełnianie obowiązków podatkowo-księgowych (przyjmowanie Opłat, wystawianie i przechowywanie faktur lub paragonów, prowadzenie ksiąg podatkowych, obsługa zwrotów):

    1. podstawa prawna: ciążący na Administratorze obowiązek prawny wynikający w szczególności z ustawy o podatku od towarów i usług, ustawy o rachunkowości oraz Ordynacji podatkowej (art. 6 ust. 1 lit. c RODO);
    2. okres przechowywania: przez okres wymagany przepisami prawa podatkowego i rachunkowego, tj. co do zasady 5 lat licząc od końca roku kalendarzowego, w którym powstał obowiązek podatkowy;

  3. Rozpatrywanie reklamacji oraz obsługa odstąpienia od Umowy (w tym reklamacji konsumenckich i reklamacji technicznych Generacji):

    1. podstawa prawna: niezbędność do wykonania umowy (art. 6 ust. 1 lit. b RODO) oraz wypełnienie obowiązku prawnego ciążącego na Administratorze wynikającego z ustawy o prawach konsumenta i przepisów o rękojmi za wady (art. 6 ust. 1 lit. c RODO);
    2. okres przechowywania: przez czas trwania postępowania reklamacyjnego oraz przez okres przedawnienia ewentualnych roszczeń konsumenckich;

  4. Realizacja obowiązków wynikających z Aktu o usługach cyfrowych (DSA) (obsługa zgłoszeń bezprawnych treści dotyczących Strony Udostępniania, prowadzenie statystyk moderacyjnych, kontakt z organami państw członkowskich UE i Komisją Europejską przez wyznaczony punkt kontaktowy, obsługa odwołań od decyzji moderacyjnych, raportowanie zgodnie z DSA):

    1. podstawa prawna: ciążący na Administratorze obowiązek prawny wynikający z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2065 (DSA) (art. 6 ust. 1 lit. c RODO);
    2. okres przechowywania: przez okres wymagany przepisami DSA oraz przez okres przedawnienia roszczeń wynikających z naruszenia tych przepisów;

  5. Ustalenie, dochodzenie i obrona przed roszczeniami (zarówno w stosunku do Użytkowników, jak i wobec organów państwowych oraz osób trzecich):

    1. podstawa prawna: prawnie uzasadniony interes Administratora polegający na ochronie praw Administratora (art. 6 ust. 1 lit. f RODO);
    2. okres przechowywania: do upływu terminów przedawnienia roszczeń wynikających z obowiązujących przepisów prawa, w szczególności art. 118 Kodeksu cywilnego (co do zasady 6 lat, a dla roszczeń o świadczenia okresowe oraz związanych z prowadzeniem działalności gospodarczej – 3 lata);

  6. Wstępna automatyczna moderacja Briefu w celu zapewnienia bezpieczeństwa Aplikacji oraz zapobiegania naruszeniom Regulaminu (klasyfikacja treści przez model AI w celu wykrycia treści zabronionych zgodnie z § 10 ust. 5 Regulaminu, a także zapobieganie nadużyciom takim jak automatyczne, masowe inicjowanie Generacji):

    1. podstawa prawna: prawnie uzasadniony interes Administratora polegający na zapewnieniu bezpieczeństwa Aplikacji, ochronie przed nadużyciami oraz wypełnieniu obowiązków wynikających z DSA i Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 (Akt w sprawie sztucznej inteligencji – „AI Act") (art. 6 ust. 1 lit. f RODO); częściowo również wypełnienie obowiązku prawnego (art. 6 ust. 1 lit. c RODO) w zakresie obowiązków moderacyjnych wynikających z DSA;
    2. okres przechowywania: przez okres niezbędny do realizacji celu i obrony przed roszczeniami, nie dłużej niż okres przedawnienia roszczeń wynikających z obowiązujących przepisów prawa;
    3. zob. § 9 Polityki – „Czy podejmujemy decyzje w sposób zautomatyzowany?";

  7. Komunikacja z Użytkownikiem (odpowiedzi na pytania kierowane drogą elektroniczną, telefoniczną lub za pośrednictwem formularzy w Aplikacji, wysyłka powiadomień transakcyjnych, np. potwierdzenia zamówienia, gotowości Utworu, otrzymania reklamacji):

    1. podstawa prawna: niezbędność do wykonania umowy (art. 6 ust. 1 lit. b RODO) – w zakresie powiadomień transakcyjnych, oraz prawnie uzasadniony interes Administratora polegający na komunikacji z Użytkownikami (art. 6 ust. 1 lit. f RODO) – w zakresie pozostałej komunikacji;
    2. okres przechowywania: przez okres niezbędny do udzielenia odpowiedzi i obsługi sprawy, a następnie przez okres przedawnienia roszczeń;

  8. Zapewnienie prawidłowego funkcjonowania Aplikacji oraz analiza aktywności Użytkowników (utrzymanie infrastruktury, monitorowanie błędów i wydajności, analiza ruchu, optymalizacja funkcjonalności, statystyki korzystania z Aplikacji w sposób co do zasady zagregowany):

    1. podstawa prawna: prawnie uzasadniony interes Administratora polegający na utrzymaniu i rozwoju Aplikacji (art. 6 ust. 1 lit. f RODO); w zakresie plików cookies i podobnych technologii innych niż niezbędne – Twoja zgoda wyrażona za pomocą banera cookies (art. 6 ust. 1 lit. a RODO w zw. z art. 173 ustawy Prawo telekomunikacyjne / art. 398 ustawy Prawo komunikacji elektronicznej);
    2. okres przechowywania: do czasu skutecznego wniesienia sprzeciwu lub cofnięcia zgody, nie dłużej niż okresy retencji wskazane w § 7 Polityki;

  9. Marketing własnych usług Administratora (informowanie o nowych funkcjonalnościach, promocjach, badanie satysfakcji – wyłącznie w odniesieniu do osób, które wyraziły na to odrębną zgodę lub pozostają w aktywnej relacji umownej):

    1. podstawa prawna: prawnie uzasadniony interes Administratora polegający na marketingu własnych produktów i usług oraz utrzymywaniu relacji z klientami (art. 6 ust. 1 lit. f RODO), a w przypadku komunikacji marketingowej drogą elektroniczną i telefoniczną – Twoja odrębna zgoda (art. 6 ust. 1 lit. a RODO w zw. z art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne / odpowiednich przepisów ustawy Prawo komunikacji elektronicznej);
    2. okres przechowywania: do czasu skutecznego wniesienia sprzeciwu (w przypadku uzasadnionego interesu) lub cofnięcia zgody (w przypadku zgody); cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

PAMIĘTAJ! Dane osobowe przetwarzamy tak długo, jak jest to konieczne, aby osiągnąć wskazane powyżej cele. Po upływie wskazanych okresów dane są usuwane lub anonimizowane, chyba że dłuższe przechowywanie jest wymagane przepisami prawa (np. dla celów dowodowych w postępowaniach sądowych lub rozliczeniowych).

§ 5. Komu udostępniamy Twoje dane osobowe?

  1. W zakresie niezbędnym do realizacji celów przetwarzania korzystamy ze wsparcia podmiotów zewnętrznych. Każdorazowo, przed powierzeniem im przetwarzania danych osobowych, zawieramy z nimi umowy powierzenia przetwarzania danych zgodne z art. 28 RODO i wymagamy zagwarantowania odpowiedniego poziomu ochrony i poufności danych.

  2. Odbiorcy danych (kategorie i wskazane podmioty według stanu na dzień obowiązywania Polityki):

    1. Dostawcy infrastruktury chmurowej i hostingu (przechowywanie i serwowanie Aplikacji, baz danych oraz plików Nagrań):
      • Vercel Inc. (z siedzibą w Stanach Zjednoczonych, z infrastrukturą m.in. w UE) – hosting Aplikacji, sieć CDN, funkcje serwerowe;
      • Neon, Inc. (z siedzibą w Stanach Zjednoczonych, z infrastrukturą w UE) – baza danych PostgreSQL przechowująca dane Konta i Treści Usługobiorcy;
      • Cloudflare, Inc. (z siedzibą w Stanach Zjednoczonych) – obsługa DNS domeny refrenik.pl;
    2. Dostawcy modeli sztucznej inteligencji (wykonanie Generacji Tekstu, automatyczna moderacja Briefu, wykonanie Generacji Nagrania – w tym celu Brief i Tekst są przekazywane do dostawców AI):
      • OpenRouter, Inc. (z siedzibą w Stanach Zjednoczonych) – dostęp do dużych modeli językowych (LLM);
      • Anthropic, PBC (z siedzibą w Stanach Zjednoczonych) – modele LLM z rodziny Claude udostępniane przez OpenRouter;
      • Suno, Inc. / sunoapi.org (z siedzibą w Stanach Zjednoczonych) – generowanie pliku audio (Nagrania);
    3. Dostawcy usług płatniczych i fakturowania:
      • easy.tools sp. z o.o. (z siedzibą w Polsce) – obsługa procesu zakupu i płatności;
      • Easybilling / dostawca systemu fakturowania (z siedzibą w Polsce) – wystawianie i wysyłka faktur lub paragonów;
      • operatorzy płatności udostępnieni w ramach systemu easy.tools (np. Stripe Payments Europe Ltd. lub odpowiednio inny operator wskazany w procesie zakupu) – obsługa transakcji płatniczej;
    4. Dostawcy usług komunikacji elektronicznej (wysyłka powiadomień transakcyjnych, magic-link do logowania, wiadomości reklamacyjnych):
      • Resend, Inc. (z siedzibą w Stanach Zjednoczonych) – wysyłka wiadomości e-mail z Aplikacji;
    5. Dostawcy narzędzi analitycznych, marketingowych i monitorujących (analiza ruchu w Aplikacji, mierzenie konwersji, remarketing, monitorowanie błędów i wydajności):
      • Google Analytics 4 (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia; dane mogą być przetwarzane także przez Google LLC w USA) – analityka ruchu i konwersji w Aplikacji. Przekazywane dane: pseudonimizowany identyfikator client_id, zanonimizowany adres IP, zdarzenia interakcji (np. wyświetlenia stron, kliknięcia, zdarzenia zakupu). Podstawa przetwarzania: zgoda Użytkownika na cookies analityczne. Transfer poza EOG: USA (SCC + EU-U.S. Data Privacy Framework);
      • Google Ads (Google Ireland Limited; Google LLC w USA) – mierzenie konwersji kampanii reklamowych (Enhanced Conversions) oraz remarketing. Przekazywane dane: zhashowany (SHA-256) adres e-mail, identyfikatory kliknięć reklam (gclid, gbraid, wbraid), wartość i waluta zamówienia, identyfikator transakcji. Podstawa przetwarzania: zgoda Użytkownika na cookies marketingowe. Transfer poza EOG: USA (SCC + EU-U.S. Data Privacy Framework);
      • Meta Pixel oraz Conversions API (Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irlandia; Meta Platforms, Inc. w USA) – remarketing oraz mierzenie konwersji kampanii reklamowych w ekosystemie Facebook/Instagram. Dane przekazywane przez przeglądarkę (Pixel): identyfikator _fbp, zdarzenia interakcji w Aplikacji. Dane przekazywane po stronie serwera (Conversions API): zhashowany (SHA-256) adres e-mail, adres IP, User-Agent, identyfikator i wartość zamówienia. Podstawa przetwarzania: zgoda Użytkownika na cookies marketingowe. Transfer poza EOG: USA (SCC + EU-U.S. Data Privacy Framework);
      • Microsoft Clarity (Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irlandia) – analiza zachowań Użytkowników w Aplikacji (nagrania sesji, mapy ciepła, analiza interakcji ze stroną). Dane są pseudonimizowane (maskowanie pól wejściowych, brak identyfikacji Użytkownika). Podstawa przetwarzania: zgoda Użytkownika na cookies analityczne. Transfer poza EOG: co do zasady infrastruktura UE/UK; w razie konieczności (np. wsparcia technicznego) możliwy dostęp z USA na podstawie SCC;
    6. Biuro rachunkowe Administratora oraz doradcy podatkowi i prawni – w zakresie niezbędnym do prowadzenia ksiąg, rozliczeń podatkowych, obsługi sporów i bieżącego doradztwa;
    7. Uprawnione organy państwowe (m.in. organy ścigania, sądy, organy podatkowe, Prezes Urzędu Ochrony Danych Osobowych, koordynatorzy ds. usług cyfrowych) – w zakresie i w przypadkach wynikających z obowiązujących przepisów prawa, w szczególności w odpowiedzi na zgodne z prawem żądania;
    8. Inne podmioty, których żądanie przekazania danych znajduje uzasadnienie w obowiązujących przepisach prawa.

  3. Dane na Stronie Udostępniania. Strona Udostępniania jest publicznie dostępna pod nieprzewidywalnym adresem URL, oznaczonym dyrektywą zakazującą indeksowania jej przez wyszukiwarki internetowe. Oznacza to, że dane personalizacji (imiona, okazja) oraz Nagranie zawarte na Stronie Udostępniania są dostępne dla każdej osoby, która zna lub otrzyma adres URL tej Strony, do czasu jej unieważnienia przez Użytkownika. Po unieważnieniu Strony Administrator nie ma wpływu na ewentualne kopie Nagrania lub treści zachowane przez osoby trzecie przed unieważnieniem.

  4. Lista konkretnych dostawców może ulec zmianie wraz z rozwojem Aplikacji – w takim przypadku zaktualizujemy Politykę zgodnie z § 13 poniżej.

§ 6. Czy przekazujemy dane osobowe poza Europejski Obszar Gospodarczy (EOG)?

  1. W związku z korzystaniem z usług dostawców wymienionych w § 5 ust. 2 Polityki, którzy mają siedzibę w Stanach Zjednoczonych albo których podmioty macierzyste mają siedzibę w Stanach Zjednoczonych (m.in. Vercel, Neon, Cloudflare, OpenRouter, Anthropic, Suno, Resend, Google Analytics 4, Google Ads, Meta Pixel / Conversions API), Twoje dane mogą być przekazywane poza EOG, w tym do Stanów Zjednoczonych.

  2. Zapewniamy, że przekazywanie danych odbywa się w oparciu o jeden z mechanizmów przewidzianych w rozdziale V RODO, w szczególności:

    1. Decyzję wykonawczą Komisji Europejskiej (UE) 2023/1795 z dnia 10 lipca 2023 r. w sprawie odpowiedniego stopnia ochrony danych osobowych zapewnianego przez ramy ochrony danych UE-USA (tzw. EU-U.S. Data Privacy Framework) – w odniesieniu do dostawców certyfikowanych w ramach DPF;
    2. standardowe klauzule umowne (SCC) przyjęte przez Komisję Europejską na podstawie art. 46 ust. 2 lit. c RODO – w odniesieniu do dostawców niecertyfikowanych w ramach DPF lub jako dodatkowe zabezpieczenie kontraktowe;
    3. dodatkowe środki techniczne i organizacyjne, takie jak szyfrowanie transmisji (TLS), pseudonimizacja oraz minimalizacja zakresu przekazywanych danych.

  3. Na żądanie Użytkownika Administrator udzieli dodatkowych informacji o stosowanych zabezpieczeniach oraz przekaże kopię odpowiednich klauzul umownych.

§ 7. Czy wykorzystujemy pliki cookies i podobne technologie?

  1. W Aplikacji wykorzystujemy pliki cookies („ciasteczka") – krótkie informacje tekstowe zapisywane na urządzeniu końcowym Użytkownika – oraz podobne technologie (np. local storage przeglądarki).

  2. Rodzaje plików cookies używanych w Aplikacji:

    1. Niezbędne (essential) – wymagane do prawidłowego działania Aplikacji, w tym do utrzymania Sesji Anonimowej, utrzymania zalogowania na Koncie, obsługi procesu zamówienia i Generacji oraz zapewnienia bezpieczeństwa (np. ochrony przed atakami CSRF). Niezbędne pliki cookies są instalowane bez konieczności uzyskania zgody Użytkownika – stanowią warunek techniczny świadczenia Usługi żądanej przez Użytkownika.
    2. Funkcjonalne – zapamiętujące preferencje Użytkownika (np. wybór języka), instalowane na podstawie zgody.
    3. Analityczne – służące do analizy ruchu w Aplikacji i sposobu korzystania z funkcjonalności (np. Google Analytics 4, Microsoft Clarity), instalowane na podstawie zgody, w sposób minimalizujący identyfikowalność Użytkownika tam, gdzie to technicznie możliwe (np. maskowanie adresu IP, anonimizacja, maskowanie pól wejściowych w nagraniach sesji).
    4. Marketingowe – służące do prowadzenia działań marketingowych, remarketingu i mierzenia konwersji kampanii reklamowych (np. Google Ads, Meta Pixel) – instalowane wyłącznie na podstawie zgody Użytkownika.

  3. Podczas pierwszej wizyty w Aplikacji wyświetlamy baner cookies, w którym Użytkownik może wyrazić lub odmówić zgody na pliki cookies inne niż niezbędne. Zgodę można w każdym czasie cofnąć, korzystając z ustawień banera cookies dostępnych w Aplikacji lub poprzez ustawienia przeglądarki internetowej.

  4. Użytkownik może w dowolnym momencie zarządzać ustawieniami plików cookies w swojej przeglądarce internetowej, w tym blokować lub usuwać pliki cookies. Wyłączenie plików cookies niezbędnych może skutkować nieprawidłowym działaniem Aplikacji (np. niemożnością ukończenia zamówienia lub utraty Sesji Anonimowej).

  5. Niektóre z plików cookies mogą pochodzić od podmiotów trzecich wymienionych w § 5 Polityki (np. Google Analytics 4, Google Ads, Meta Pixel, Microsoft Clarity). Ich zasady przetwarzania danych dostępne są w politykach prywatności tych podmiotów.

§ 8. Czy korzystamy z modeli sztucznej inteligencji (AI)?

  1. Wykonanie Usługi opiera się na narzędziach sztucznej inteligencji udostępnianych przez podmioty trzecie wskazane w § 5 ust. 2 pkt 2 Polityki:

    1. dużych modelach językowych (LLM) udostępnianych za pośrednictwem OpenRouter, w szczególności modelach z rodziny Claude (Anthropic) – do wytwarzania Tekstu na podstawie Briefu oraz do automatycznej wstępnej moderacji Briefu;
    2. usłudze Suno AI (sunoapi.org) – do wytwarzania Nagrania (audio z wokalem) na podstawie Tekstu oraz wybranych przez Użytkownika gatunku i nastroju.

  2. W ramach realizacji Usługi do dostawców AI przekazywane są wyłącznie dane niezbędne do wytworzenia Tekstu i Nagrania, w szczególności treść Briefu i Tekst. Dane te są przekazywane przy użyciu szyfrowanych połączeń (TLS).

  3. Korzystamy wyłącznie z dostawców AI, którzy w ramach swoich warunków świadczenia usług biznesowych (API) zobowiązują się nie wykorzystywać danych przekazanych przez Administratora do trenowania modeli AI ani do celów innych niż realizacja Usługi na rzecz Administratora. Administrator dokłada starań, aby weryfikować i utrzymywać te warunki w aktualnych umowach z dostawcami.

  4. Korzystanie z systemów AI w Aplikacji odbywa się zgodnie z Rozporządzeniem (UE) 2024/1689 (AI Act), w szczególności z obowiązkami przejrzystości – Użytkownik jest informowany w Aplikacji oraz w Regulaminie, że Tekst i Nagranie są generowane przez systemy sztucznej inteligencji.

§ 9. Czy podejmujemy decyzje w sposób zautomatyzowany (w tym profilujemy)?

  1. Profilowanie. W ramach Aplikacji co do zasady nie profilujemy Użytkowników w rozumieniu art. 4 pkt 4 RODO. Nie tworzymy automatycznych profili behawioralnych ani marketingowych Użytkowników w celu dostosowywania oferty lub reklam w sposób, który wywoływałby wobec Użytkownika skutki prawne lub w podobnie istotny sposób na niego wpływał.

  2. Automatyczna moderacja Briefu. Brief wprowadzony przez Użytkownika podlega automatycznej, wstępnej moderacji przez model AI (wykorzystywany jako klasyfikator treści), zgodnie z § 10 ust. 6 Regulaminu. W przypadku, gdy model zakwalifikuje Brief jako naruszający zakazy określone w § 10 ust. 5 Regulaminu, Generacja nie zostaje uruchomiona, a Użytkownik otrzymuje stosowny komunikat.

  3. Decyzja moderacyjna wywiera ograniczone skutki dla Użytkownika (odmowa wykonania zamawianej Generacji w danym kształcie i ewentualny zwrot Opłaty zgodnie z § 8 ust. 3 Regulaminu) i nie stanowi w pełni zautomatyzowanej decyzji w rozumieniu art. 22 RODO, ponieważ:

    1. Użytkownik może w każdej chwili zmodyfikować Brief i ponownie go przesłać;
    2. Użytkownik może odwołać się od decyzji moderacyjnej do Administratora, zgodnie z § 11 Regulaminu, w którym to przypadku decyzja zostaje ponownie rozpatrzona przez człowieka.

  4. Niezależnie od powyższego, w przypadku zastosowania moderacji Użytkownik ma prawo:

    1. uzyskać interwencję ludzką ze strony Administratora,
    2. wyrazić własne stanowisko,
    3. zakwestionować decyzję, – zgodnie z procedurą odwoławczą wskazaną w Regulaminie oraz w sposób zgodny z art. 22 ust. 3 RODO.

§ 10. Jak chronimy Twoje dane?

W celu zapewnienia adekwatnego stopnia ochrony danych osobowych stosujemy środki techniczne i organizacyjne odpowiadające ryzyku związanemu z przetwarzaniem, w tym:

  1. szyfrowanie transmisji danych protokołem TLS (HTTPS) na wszystkich kanałach;
  2. szyfrowanie danych w spoczynku (at-rest) na poziomie infrastruktury bazodanowej i obiektów Nagrań;
  3. logowanie do Konta bez hasła – uwierzytelnianie odbywa się za pomocą jednorazowego linku przesyłanego na adres e-mail Użytkownika (magic-link), co minimalizuje ryzyka związane z reużywaniem haseł;
  4. nadawanie dostępów do danych osobowych wyłącznie osobom upoważnionym, zgodnie z zasadą najmniejszych uprawnień (least privilege);
  5. zobowiązanie osób mających dostęp do danych do zachowania ich w tajemnicy;
  6. tworzenie kopii zapasowych infrastruktury bazodanowej;
  7. monitorowanie bezpieczeństwa Aplikacji i logów dostępowych;
  8. okresowy przegląd środków ochrony danych i reagowanie na incydenty bezpieczeństwa zgodnie z procedurą wewnętrzną Administratora;
  9. minimalizację danych przekazywanych do podmiotów trzecich (w szczególności dostawców AI) do zakresu niezbędnego do wykonania Usługi;
  10. weryfikację dostawców pod kątem zgodności z RODO i zawieranie z nimi umów powierzenia przetwarzania danych.

§ 11. Czy korzystanie z Aplikacji wiąże się z prowadzeniem logów serwera?

  1. Korzystanie z Aplikacji wiąże się z przesyłaniem zapytań do serwerów, na których uruchomiona jest Aplikacja. Każde zapytanie skierowane do serwera może być zapisywane w logach serwera (logach technicznych). Logi te obejmują m.in.: adres IP, datę i czas zapytania, informacje o przeglądarce internetowej, systemie operacyjnym, ścieżce żądania, kodzie odpowiedzi serwera oraz przybliżonej wielkości odpowiedzi.

  2. Logi serwera służą wyłącznie celom administracyjnym, diagnostycznym i bezpieczeństwa (np. wykrywaniu nadużyć i analizie błędów). Co do zasady nie są kojarzone z konkretnymi osobami i nie są wykorzystywane do identyfikacji Użytkowników w celach marketingowych.

  3. Logi serwera są przechowywane przez okres niezbędny do realizacji wskazanych celów, nie dłużej niż 90 dni, chyba że dłuższe przechowywanie jest niezbędne dla obrony przed roszczeniami lub wynika z przepisów prawa.

§ 12. Jakie prawa Ci przysługują?

  1. W związku z przetwarzaniem Twoich danych osobowych przysługują Ci następujące prawa:

    1. prawo dostępu do Twoich danych osobowych (art. 15 RODO), w tym prawo uzyskania ich kopii;
    2. prawo do sprostowania danych nieprawidłowych lub uzupełnienia danych niekompletnych (art. 16 RODO);
    3. prawo do usunięcia danych („prawo do bycia zapomnianym") – w przypadkach określonych w art. 17 RODO;
    4. prawo do ograniczenia przetwarzania danych – w przypadkach określonych w art. 18 RODO;
    5. prawo do wniesienia sprzeciwu wobec przetwarzania danych opartego na prawnie uzasadnionym interesie Administratora (art. 21 RODO), w tym sprzeciwu wobec przetwarzania danych na potrzeby marketingu bezpośredniego;
    6. prawo do przenoszenia danych dostarczonych Administratorowi przez Użytkownika, przetwarzanych na podstawie zgody lub umowy w sposób zautomatyzowany (art. 20 RODO);
    7. prawo do cofnięcia zgody w dowolnym momencie, jeżeli przetwarzanie odbywa się na podstawie zgody (art. 7 ust. 3 RODO); cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

  2. Wymienione powyżej uprawnienia nie mają charakteru absolutnego i w niektórych sytuacjach – po dokonaniu analizy – możemy zgodnie z prawem odmówić ich spełnienia (np. obowiązek przechowywania faktur przez okres wymagany prawem podatkowym ogranicza prawo do usunięcia danych).

  3. Niezależnie od Polityki, zgodnie z § 4 ust. 16 Regulaminu, Użytkownik posiadający Konto ma prawo do pobrania wszystkich swoich danych z Konta w formacie umożliwiającym ich odczyt (np. JSON dla danych tekstowych oraz MP3 dla Nagrań) oraz do otrzymania pełnej historii wytworzonych Utworów. Dane są udostępniane w terminie 30 dni od zgłoszenia żądania na adres e-mail wskazany w § 1 ust. 2 pkt 1 Polityki.

  4. Aby skorzystać z któregokolwiek z powyższych praw, prosimy o kontakt z Administratorem na adres e-mail wskazany w § 1 ust. 2 pkt 1 Polityki. Odpowiemy niezwłocznie, jednak nie później niż w ciągu miesiąca od dnia otrzymania żądania. Jeżeli z uwagi na skomplikowany charakter żądania lub liczbę żądań nie będziemy mogli spełnić Twojego żądania w ciągu miesiąca, spełnimy je w ciągu kolejnych dwóch miesięcy, uprzedzając Cię o przedłużeniu terminu.

  5. Prawo wniesienia skargi. Jeżeli uznasz, że Twoje dane są przetwarzane niezgodnie z prawem, masz prawo wnieść skargę do organu nadzorczego – w Polsce jest nim Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl).

§ 13. Czy możemy zmieniać niniejszą Politykę?

  1. Tak. Ochrona danych osobowych jest procesem, który dostosowujemy do bieżących potrzeb, zmian w przepisach prawa, rozwoju Aplikacji oraz zmieniającej się technologii. Polityka może być uzupełniana lub zmieniana.

  2. O zmianach Polityki poinformujemy poprzez zamieszczenie informacji w Aplikacji, a w przypadku istotnych zmian – wyślemy zarejestrowanym Użytkownikom (posiadającym Konto) odrębne powiadomienie drogą elektroniczną na adres e-mail przypisany do Konta, z odpowiednim wyprzedzeniem.

  3. Zmiany Polityki obowiązują od dnia ich opublikowania w Aplikacji, chyba że w treści zmiany wskazano późniejszy termin wejścia w życie.

  4. Aktualna wersja Polityki jest dostępna pod adresem refrenik.pl/polityka-prywatnosci.

Niniejsza Polityka prywatności została sporządzona w oparciu o obowiązujące przepisy prawa Unii Europejskiej (w szczególności RODO, DSA i AI Act) oraz prawa polskiego (w szczególności ustawy o świadczeniu usług drogą elektroniczną, ustawy o prawach konsumenta, ustawy Prawo telekomunikacyjne / ustawy Prawo komunikacji elektronicznej oraz ustawy o ochronie danych osobowych).