Polityka prywatności
Ostatnia aktualizacja: 21 maja 2025 r.
§1. Administrator danych osobowych
- Administratorem danych osobowych jest Synth Media z siedzibą w Polsce (dalej: „Administrator").
- Kontakt w sprawach ochrony danych osobowych: privacy@synthmedia.io.
- Administrator przetwarza dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych.
§2. Zakres zbieranych danych
Administrator zbiera następujące kategorie danych osobowych:
| Kategoria | Dane | Źródło |
|---|---|---|
| Dane identyfikacyjne | Adres email, imię (opcjonalnie) | Rejestracja |
| Dane uwierzytelniające | Hash hasła (bcrypt), token OAuth | Rejestracja / Google |
| Dane transakcyjne | Historia zakupów kredytów, historia generacji | Korzystanie z usługi |
| Dane techniczne | Adres IP, user agent, znaczniki czasu | Automatycznie |
| Treści użytkownika | Prompty, wygenerowane media, workflow | Korzystanie z usługi |
§3. Cele i podstawy prawne przetwarzania
| Cel | Podstawa prawna |
|---|---|
| Świadczenie usługi (rejestracja, generacje, kredyty) | Art. 6 ust. 1 lit. b RODO — wykonanie umowy |
| Bezpieczeństwo platformy (rate limiting, wykrywanie nadużyć) | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes |
| Rozliczenia i księgowość | Art. 6 ust. 1 lit. c RODO — obowiązek prawny |
| Komunikacja marketingowa (newsletter) | Art. 6 ust. 1 lit. a RODO — zgoda |
| Moderacja treści i community | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes |
| Dochodzenie roszczeń | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes |
§4. Okres przechowywania danych
- Dane konta — przez okres posiadania konta + 30 dni po jego usunięciu.
- Wygenerowane media — 24 godziny (konto darmowe) lub 7 dni (konto z zakupami), następnie nieodwracalnie usuwane.
- Dane transakcyjne — 5 lat od końca roku podatkowego, w którym dokonano transakcji (obowiązek podatkowy).
- Logi techniczne (IP, user agent) — 90 dni.
- Dane do dochodzenia roszczeń — do upływu terminu przedawnienia (max. 6 lat).
§5. Odbiorcy danych (podmioty trzecie)
Dane osobowe mogą być przekazywane następującym kategoriom odbiorców:
| Podmiot | Cel | Lokalizacja |
|---|---|---|
| Railway (baza danych) | Hosting bazy danych | USA* |
| Cloudflare R2 (storage) | Przechowywanie wygenerowanych mediów | Globalnie (edge) |
| KIE.AI, Replicate, AtlasCloud | Generowanie treści AI (prompty) | USA* |
| Upstash (Redis) | Rate limiting | Globalnie (edge) |
| Stripe | Obsługa płatności | USA* |
| Google (OAuth) | Uwierzytelnianie | USA* |
* Transfer danych do USA odbywa się na podstawie standardowych klauzul umownych (SCC) lub decyzji o adekwatności (EU-US Data Privacy Framework), zgodnie z rozdziałem V RODO.
§6. Prawa osoby, której dane dotyczą
Na podstawie RODO przysługują Ci następujące prawa:
- Prawo dostępu (art. 15) — uzyskanie informacji o przetwarzanych danych i kopii danych.
- Prawo do sprostowania (art. 16) — poprawienie nieprawidłowych lub uzupełnienie niekompletnych danych.
- Prawo do usunięcia (art. 17, „prawo do bycia zapomnianym") — żądanie usunięcia danych, gdy nie ma podstawy do ich przetwarzania.
- Prawo do ograniczenia przetwarzania (art. 18) — ograniczenie przetwarzania w określonych przypadkach.
- Prawo do przenoszenia danych (art. 20) — otrzymanie danych w ustrukturyzowanym formacie (JSON/CSV).
- Prawo do sprzeciwu (art. 21) — sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie.
- Prawo do cofnięcia zgody (art. 7 ust. 3) — w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
Aby skorzystać z powyższych praw, skontaktuj się z nami: privacy@synthmedia.io. Odpowiedź udzielana jest w terminie 30 dni.
Masz również prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl).
§7. Profilowanie i zautomatyzowane podejmowanie decyzji
- Administrator nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywołują skutki prawne lub w podobny sposób istotnie wpływają na Użytkownika.
- System rate limiting (ograniczanie liczby zapytań) działa automatycznie na podstawie adresu IP i identyfikatora użytkownika, ale służy wyłącznie ochronie infrastruktury i nie stanowi profilowania w rozumieniu art. 22 RODO.
§8. Bezpieczeństwo danych
Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, w tym:
- Szyfrowanie transmisji (HTTPS/TLS)
- Hashowanie haseł (bcrypt, cost factor 12)
- Tokeny JWT z krótkim czasem życia
- Nagłówki bezpieczeństwa (HSTS, X-Frame-Options, CSP)
- Rate limiting (ochrona przed atakami brute-force)
- Separacja kluczy API (server-side only)
- Regularne aktualizacje zależności
§9. Pliki cookies
Szczegółowe informacje o plikach cookies wykorzystywanych przez Serwis znajdują się w Polityce cookies.
§10. Zmiany polityki prywatności
- Administrator zastrzega sobie prawo do zmiany niniejszej Polityki prywatności.
- O istotnych zmianach Użytkownicy zostaną poinformowani drogą elektroniczną lub poprzez komunikat w Serwisie.
- Aktualna wersja Polityki prywatności jest zawsze dostępna pod adresem synthmedia.io/legal/privacy.
Kontakt
Synth Media
Email: privacy@synthmedia.io
Strona: synthmedia.io