Polityka Prywatności

Ostatnia aktualizacja: 27 czerwca 2026

Michał Wiatr, działający pod marką IndepAI ("IndepAI", "my", "nas" lub "nasz") zobowiązuje się do ochrony Twojej prywatności. Niniejsza Polityka Prywatności wyjaśnia, w jaki sposób zbieramy, wykorzystujemy, ujawniamy i zabezpieczamy Twoje dane podczas korzystania z naszej platformy planowania finansowego na indepai.app ("Usługa"). Dokument obejmuje RODO, UK GDPR, zasady zgody na pliki cookie wynikające z ePrivacy oraz przepisy stanowe USA o prywatności tam, gdzie mają zastosowanie.

1. Dane, które zbieramy

Dane konta

Podczas tworzenia konta lub dołączania do listy oczekujących zbieramy Twój adres email, nazwę wyświetlaną, źródło polecenia lub kampanii, zapisy zgód oraz dane uwierzytelniające (zarządzane bezpiecznie przez Supabase Auth). Jeśli logujesz się przez Google, otrzymujemy Twoje imię, adres email i zdjęcie profilowe z Google. Jeśli logujesz się przez innego dostawcę zewnętrznego, otrzymujemy Twoje imię i email od tego dostawcy.

Dane finansowe

Aby świadczyć obliczenia FI Score, śledzenie portfela, porównania geoarbitrażu, coaching AI oraz flagi ryzyka podatkowego lub rezydencyjnego, możesz dobrowolnie podać dane finansowe, takie jak dochody, wydatki, oszczędności, inwestycje, pozycje portfela, pliki importu lub metadane połączeń brokerskich tylko do odczytu, dywidendy, preferencje miast, obywatelstwo lub dane planowania podróży oraz założenia podatkowe. Nie prosimy o pełne numery kart płatniczych i nie potrzebujemy uprawnień do handlu. Dane są chronione szyfrowaniem w spoczynku i w transmisji, nigdy nie są sprzedawane i są udostępniane wyłącznie procesorom potrzebnym do świadczenia Usługi.

Dane użytkowania

Automatycznie zbieramy dane użytkowania, w tym odwiedzone strony, używane funkcje, typ urządzenia, typ przeglądarki, adres IP, źródło przekierowania, atrybucję UTM, logi bezpieczeństwa i diagnostykę błędów. Narzędzia analityczne w przeglądarce, takie jak PostHog i Umami, są ładowane przez mechanizm zarządzania zgodą tam, gdzie zgoda jest wymagana. Zdarzenia serwerowe potrzebne do bezpieczeństwa, potwierdzenia zakupu, operacji na koncie lub potwierdzenia listy oczekujących mogą być przetwarzane jako telemetria usługi. Unikamy wysyłania surowych adresów email, imion i nazwisk, swobodnych notatek finansowych lub sekretów portfela do narzędzi analitycznych.

Pliki cookie i pamięć lokalna

Używamy niezbędnych plików cookie i pamięci lokalnej do uwierzytelniania, zarządzania sesją, preferencji językowych, zapobiegania oszustwom i atrybucji pierwszego kontaktu. Analityczne pliki cookie i podobne technologie służą do ulepszania produktu tylko tam, gdzie pozwala na to zgoda lub obowiązujące prawo. Szczegóły znajdziesz w naszej Polityce Plików Cookie.

2. Dane z Google API

Dane otrzymywane z Google

Gdy logujesz się przez Google, otrzymujemy następujące dane z Twojego konta Google za pośrednictwem Google OAuth2: imię i nazwisko z profilu, adres email oraz adres URL zdjęcia profilowego. Żądamy wyłącznie standardowych zakresów (openid, email, profile) niezbędnych do utworzenia i zarządzania Twoim kontem.

Jak wykorzystujemy dane z Google

Dane otrzymane z Google są wykorzystywane wyłącznie do: utworzenia i identyfikacji Twojego konta IndepAI; wyświetlania Twojego imienia i zdjęcia profilowego w Usłudze; komunikacji z Tobą na Twój adres email. Dane użytkownika Google nie są wykorzystywane w żadnym innym celu.

Brak sprzedaży i udostępniania danych Google

Nie sprzedajemy, nie wynajmujemy ani nie udostępniamy Twoich danych użytkownika Google żadnym stronom trzecim w celach reklamowych, marketingowych ani żadnych innych. Dane użytkownika Google nie są wykorzystywane do trenowania modeli AI ani uczenia maszynowego.

Przechowywanie danych Google

Dane użytkownika Google są przechowywane w naszej bazie danych Supabase hostowanej w regionie UE, z szyfrowaniem w spoczynku i w tranzycie.

Przechowywanie i usuwanie danych Google

Dane użytkownika Google są przechowywane tak długo, jak Twoje konto IndepAI jest aktywne. Po usunięciu konta wszystkie dane użytkownika Google są trwale usuwane w ciągu 30 dni.

Cofnięcie dostępu Google

Możesz cofnąć dostęp IndepAI do Twoich danych Google w dowolnym momencie poprzez: odwiedzenie strony uprawnień konta Google pod adresem https://myaccount.google.com/permissions i usunięcie IndepAI; lub usunięcie konta IndepAI, co spowoduje usunięcie wszystkich powiązanych danych Google w ciągu 30 dni.

https://myaccount.google.com/permissions

3. Jak wykorzystujemy Twoje dane

Wykorzystujemy Twoje dane do: świadczenia i utrzymywania Usługi; obliczania FI Score, metryk portfela, porównań miast i prognoz finansowych; generowania wyników coachingu AI lub planowania, gdy włączysz odpowiednią zgodę; przetwarzania płatności przez Stripe; wysyłania emaili transakcyjnych i marketingowych objętych zgodą; obsługi wsparcia, poleceń i bezpieczeństwa konta; zapobiegania nadużyciom i oszustwom; ulepszania Usługi za pomocą analityki ograniczonej prywatnościowo; wypełniania obowiązków prawnych; oraz odpowiadania na żądania dotyczące praw do danych.

Podstawa prawna przetwarzania (art. 6 RODO)

Twoje dane osobowe przetwarzamy wyłącznie na podstawie prawnej zgodnie z art. 6 RODO: (a) Umowa, w celu utworzenia i prowadzenia konta oraz świadczenia żądanych usług (np. FI-Score, śledzenie portfela); (b) Zgoda, w zakresie analityki, komunikacji marketingowej i opcjonalnych funkcji AI, którą możesz wycofać w dowolnym momencie; (c) Prawnie uzasadniony interes, w celu zabezpieczenia usługi, zapobiegania nadużyciom i ulepszania funkcji, z poszanowaniem Twoich praw; oraz (d) Obowiązek prawny, gdy przechowywanie lub ujawnienie wymagane jest przepisami prawa. Nie przetwarzamy świadomie szczególnych kategorii danych.

4. Udostępnianie danych

Nie sprzedajemy Twoich danych osobowych. Nie sprzedajemy, nie wynajmujemy ani nie udostępniamy Twoich danych użytkownika Google stronom trzecim w celach reklamowych ani marketingowych. Udostępniamy dane wyłącznie dostawcom usług potrzebnym do działania Usługi, w tym Supabase do hostingu bazy danych i uwierzytelniania, Stripe do przetwarzania płatności, OpenRouter lub dostawcom modeli do opcjonalnych funkcji AI, PostHog i Umami do analityki tam, gdzie jest włączona, Resend do dostarczania emaili, dostawcom hostingu i infrastruktury, narzędziom monitorowania błędów oraz profesjonalnym doradcom, gdy jest to prawnie konieczne. Wymagamy odpowiednich warunków procesora lub umów powierzenia przetwarzania, gdy mają zastosowanie. Dostawcy AI otrzymują tylko dane potrzebne do obsługi żądania, a opcjonalne narzędzia AI uzyskujące dostęp do danych finansowych lub lokalizacyjnych są kontrolowane przez ustawienia zgody.

Przetwarzanie AI i dostawcy modeli

AI Coach i powiązane funkcje planowania są opcjonalne. Przetwarzamy Twój kontekst finansowy lub lokalizacyjny u dostawców AI tylko wtedy, gdy włączysz odpowiednią zgodę AI albo poprosisz o funkcję opartą na AI, która tego wymaga. Przed wysłaniem żądania minimalizujemy kontekst do pól potrzebnych do odpowiedzi, unikamy wysyłania surowych identyfikatorów konta, sekretów brokerskich, plików importu portfela lub swobodnych notatek, chyba że są niezbędne do odpowiedzi żądanej przez użytkownika, oraz utrzymujemy dostęp AI pod kontrolą Twoich ustawień. Zapisane rozmowy AI pozostają możliwe do eksportu i usunięcia razem z danymi konta. Retencja i wykorzystanie danych do trenowania modeli przez dostawców modeli podlegają ich warunkom procesora lub umowie powierzenia; weryfikujemy te warunki przed oparciem produkcyjnego przetwarzania AI na danym dostawcy.

5. Przechowywanie danych

Przechowujemy dane konta tak długo, jak konto jest aktywne. Dane finansowe, portfelowe, planowania podróży, importów i coachingu AI przechowujemy do czasu ich usunięcia, zamknięcia konta lub żądania usunięcia, z zastrzeżeniem wyjątków prawnych. Dane listy oczekujących i zgód marketingowych przechowujemy do wypisania się lub żądania usunięcia, zachowując minimalne zapisy blokujące ponowną wysyłkę tam, gdzie trzeba respektować rezygnację. Dane analityczne są co do zasady przechowywane do 24 miesięcy. Logi bezpieczeństwa i zapisy audytowe przechowujemy tylko tak długo, jak jest to potrzebne dla bezpieczeństwa, zapobiegania oszustwom, zgodności prawnej lub obsługi sporów. Po usunięciu konta usuwamy lub anonimizujemy dane osobowe w ciągu 30 dni, chyba że prawo wymaga ich przechowywania.

6. Twoje prawa (RODO)

Na mocy Ogólnego Rozporządzenia o Ochronie Danych (RODO) i UK GDPR tam, gdzie mają zastosowanie, masz prawo do: dostępu do swoich danych osobowych; sprostowania niedokładnych danych; usunięcia danych ("prawo do bycia zapomnianym"); ograniczenia przetwarzania; otrzymania przenośnego eksportu; sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie; wycofania zgody w dowolnym momencie; oraz wniesienia skargi do organu nadzorczego. Możesz wyeksportować dane konta z ustawień produktu, gdzie ta funkcja jest dostępna. Aby skorzystać z dowolnego prawa lub uzyskać pomoc przy usunięciu danych, napisz na privacy@indepai.app. Staramy się odpowiedzieć w ciągu jednego miesiąca, chyba że prawo pozwala na przedłużenie.

Prawa do prywatności w stanach USA (Kalifornia i inne)

Jeśli jesteś mieszkańcem Kalifornii lub innego stanu USA z kompleksowymi przepisami o ochronie prywatności (np. Wirginia, Kolorado, Connecticut, Utah, Teksas, Oregon lub Delaware), możesz mieć prawo wiedzieć, jakie dane osobowe zbieramy, uzyskać do nich dostęp, sprostować je, usunąć, otrzymać przenośną kopię, zrezygnować ze sprzedaży lub udostępniania, zrezygnować z reklamy targetowanej oraz odwołać się od decyzji dotyczącej praw. IndepAI nie sprzedaje Twoich danych osobowych i nie udostępnia ich do celów reklamy behawioralnej w różnych kontekstach. Nie przetwarzamy świadomie danych osobowych osób poniżej 16. roku życia bez upoważnienia. Aby skorzystać z któregokolwiek z tych praw lub odwołać się od decyzji, skontaktuj się z nami pod adresem privacy@indepai.app. Nie będziemy Cię dyskryminować za korzystanie z praw do prywatności.

7. Bezpieczeństwo

Wdrażamy zabezpieczenia odpowiednie dla danych planowania finansowego, w tym szyfrowanie w transmisji, szyfrowanie w spoczynku zapewniane przez dostawców infrastruktury, Row Level Security (RLS) i kontrolę dostępu, bezpieczne uwierzytelnianie przez Supabase Auth, role usługowe o minimalnych uprawnieniach, limity żądań, logi audytowe dla wrażliwych operacji oraz oddzielenie sekretów serwerowych od publicznego kodu klienta. Żaden system nie jest idealnie bezpieczny, ale projektujemy Usługę tak, aby ograniczać nieautoryzowany dostęp i przypadkowe ujawnienie.

Powiadomienie o naruszeniu ochrony danych

W przypadku naruszenia ochrony danych osobowych, które może powodować ryzyko naruszenia Twoich praw i wolności, bez zbędnej zwłoki — a w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia — zgłosimy je właściwemu organowi nadzorczemu zgodnie z art. 33 RODO. Jeżeli naruszenie może powodować wysokie ryzyko dla Ciebie, poinformujemy Cię o nim również bezpośrednio bez zbędnej zwłoki, zgodnie z art. 34 RODO. Podejrzenie naruszenia bezpieczeństwa lub ochrony danych możesz zgłosić nam na adres security@indepai.app.

8. Transfery międzynarodowe

Dane produktu są przechowywane przede wszystkim w UE tam, gdzie wspiera to nasza skonfigurowana infrastruktura. Niektórzy dostawcy mogą przetwarzać dane poza EOG, w tym płatności, dostarczanie emaili, routing modeli AI, wsparcie, logowanie lub usługi bezpieczeństwa. Gdy mają zastosowanie przepisy RODO o transferach, opieramy się na decyzjach stwierdzających odpowiedni poziom ochrony, standardowych klauzulach umownych, warunkach procesora lub innych uznanych zabezpieczeniach.

9. Prywatność dzieci

Usługa nie jest przeznaczona dla osób poniżej 18 roku życia. Nie zbieramy świadomie danych osobowych od dzieci.

10. Ujawnienie ograniczonego użycia usług Google API

Korzystanie przez IndepAI z informacji otrzymanych z interfejsów API Google oraz ich przekazywanie do jakiejkolwiek innej aplikacji będzie zgodne z Polityką danych użytkownika usług Google API (https://developers.google.com/terms/api-services-user-data-policy), w tym z wymaganiami dotyczącymi ograniczonego użycia.

https://developers.google.com/terms/api-services-user-data-policy

11. Zmiany w polityce

Możemy od czasu do czasu aktualizować niniejszą Politykę Prywatności. Zmienimy datę wejścia w życie powyżej i poinformujemy Cię o istotnych zmianach emailem, powiadomieniem w produkcie lub inną odpowiednią metodą. Jeśli zmiana wymaga nowej zgody, poprosimy o nią zanim oprzemy się na tej zgodzie.

Administrator danych i kontakt ds. ochrony danych

Administratorem Twoich danych osobowych jest Michał Wiatr, działający pod marką IndepAI, Kraków, Polska. Z naszą osobą kontaktową ds. ochrony danych możesz skontaktować się w sprawach prywatności lub w celu realizacji swoich praw pod adresem dpo@indepai.app. Jeśli przebywasz w EOG i uważasz, że nie rozwiązaliśmy Twojej sprawy, masz prawo wnieść skargę do lokalnego organu nadzorczego.

12. Kontakt

W sprawach związanych z prywatnością skontaktuj się z nami pod adresem privacy@indepai.app lub napisz do: Michał Wiatr, działający pod marką IndepAI, Kraków, Polska.