Polityka Prywatności i Cookies.
Wersja polska jest wersją wiążącą. Tłumaczenie angielskie dostępne pod adresem /privacy ma charakter wyłącznie informacyjny.
Niniejsza Polityka Prywatności i Cookies określa zasady przetwarzania danych osobowych oraz wykorzystywania plików cookies w serwisie internetowym dostępnym pod adresem https://ai.in-thecity.com (dalej: „Serwis"). Polityka jest zgodna z RODO (Rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679) oraz ustawą Prawo telekomunikacyjne.
1. Administrator Danych Osobowych
Administratorem Twoich danych osobowych jest:
EAST WEST CONSULTING sp. z o.o.
ul. Aleja Grunwaldzka 472, 80-309 Gdańsk
KRS: 0000602766 · NIP: 8371818070 · REGON: 363760385
E-mail: support@in-thecity.com
2. Zakres przetwarzanych danych osobowych
2.1 Dane podane przy rejestracji
- adres e-mail,
- hasło (przechowywane wyłącznie w postaci zaszyfrowanej — hash),
- imię i awatar (jeśli logowanie przez Google OAuth),
- data utworzenia konta.
2.2 Dane generowane podczas korzystania z Serwisu
- URL filmów wprowadzanych do analizy,
- wygenerowane przewodniki (lista miejsc, mapa, cytaty),
- historia generowań,
- liczba dostępnych kredytów,
- plan (Free / Pro).
2.3 Dane techniczne
- adres IP,
- typ i wersja przeglądarki,
- system operacyjny,
- data i godzina logowania,
- identyfikator sesji (cookie).
2.4 Dane płatnicze
Operator nie przetwarza i nie przechowuje danych kart płatniczych. Płatności obsługuje wyłącznie Stripe Payments Europe Ltd. — Operator otrzymuje jedynie potwierdzenie udanej transakcji oraz identyfikator klienta Stripe (customer_id).
2.5 Dane z programu poleceń
- identyfikator polecającego (referrer_id),
- liczba poleconych użytkowników,
- liczba kredytów otrzymanych z poleceń.
2.6 Treści wideo
Operator nie pobiera, nie kopiuje i nie przechowuje plików wideo. Analizie podlegają wyłącznie publicznie dostępne metadane (transkrypcja, kadry kluczowe) za pośrednictwem oficjalnych API platform (m.in. YouTube Data API).
3. Cele i podstawy prawne przetwarzania
| Cel | Podstawa prawna (RODO) | Okres przechowywania |
|---|---|---|
| Świadczenie usługi (konto, generowanie przewodników) | Art. 6 ust. 1 lit. b — wykonanie umowy | Do usunięcia konta + 30 dni |
| Obsługa płatności i wystawianie potwierdzeń | Art. 6 ust. 1 lit. b — wykonanie umowy Art. 6 ust. 1 lit. c — obowiązek prawny (ustawa o rachunkowości) | 5 lat od końca roku podatkowego |
| Marketing własnych usług | Art. 6 ust. 1 lit. f — uzasadniony interes | Do wniesienia sprzeciwu |
| Newsletter (jeśli zapisałeś się) | Art. 6 ust. 1 lit. a — zgoda | Do wycofania zgody |
| Program poleceń | Art. 6 ust. 1 lit. b — wykonanie umowy | Do usunięcia konta |
| Bezpieczeństwo serwisu (logi) | Art. 6 ust. 1 lit. f — uzasadniony interes | 90 dni |
| Rozpatrywanie reklamacji i odstąpień | Art. 6 ust. 1 lit. c — obowiązek prawny | Do końca okresu przedawnienia roszczeń (do 6 lat) |
| Statystyki techniczne | Art. 6 ust. 1 lit. f — uzasadniony interes | 12 miesięcy (dane zanonimizowane) |
4. Sztuczna inteligencja (AI) — informacja kluczowa
4.1 Wykorzystywani dostawcy AI
Serwis korzysta z modeli AI dostarczanych przez Google Gemini (Google LLC, USA).
4.2 Brak treningu modeli na danych Użytkownika
Treści wprowadzane przez Użytkownika (URL filmów, preferencje) nie są wykorzystywane do trenowania modeli AI. Operator korzysta z usług dostawców AI w trybie produkcyjnym z polityką „no data retention for training" — zgodnie z umowami zawartymi z dostawcami AI.
4.3 Co dostawca AI otrzymuje
Dostawca AI (Google) otrzymuje wyłącznie:
- publicznie dostępny URL wideo,
- transkrypcję audio (z YouTube),
- kadry kluczowe (Plan Pro).
Dostawca AI nie otrzymuje Twojego adresu e-mail, danych płatniczych, hasła ani innych danych identyfikujących.
4.4 Halucynacje AI
Modele AI mogą generować informacje nieprecyzyjne lub błędne. Szczegóły w Regulaminie (Rozdział 5).
4.5 Zautomatyzowane decyzje (art. 22 RODO)
Generowanie Przewodnika jest procesem zautomatyzowanym, ale nie wywołuje skutków prawnych wobec Użytkownika ani nie wpływa na jego sytuację w sposób objęty art. 22 RODO. Użytkownik ma prawo w każdej chwili nie korzystać z funkcji generowania.
5. Odbiorcy danych (procesorzy)
Operator korzysta z następujących podprocesorów (zgodnie z art. 28 RODO):
| Podmiot | Rola | Lokalizacja | Podstawa transferu |
|---|---|---|---|
| Supabase Inc. | Hosting bazy danych, autentykacja | USA / UE | Standardowe Klauzule Umowne (SCC), DPA |
| Railway Corp. | Hosting aplikacji | USA | SCC, DPA |
| Stripe Payments Europe Ltd. | Obsługa płatności | Irlandia (UE) | RODO bezpośrednio |
| Google LLC (Gemini API) | Modele AI do analizy | USA | SCC, polityka „no training" |
| Google LLC (Maps & Places API) | Geokodowanie i wizualizacja miejsc | USA | SCC |
| Google LLC (YouTube Data API) | Pobieranie metadanych wideo | USA | SCC |
| Upstash Inc. | Cache (Redis) | USA | SCC, DPA |
Pełna lista aktualnych podprocesorów dostępna na żądanie pod adresem support@in-thecity.com.
5.1 Korzystanie z YouTube API Services
Serwis korzysta z YouTube API Services do pobierania publicznie dostępnych metadanych wideo. Korzystając z funkcji generowania przewodnika z URL YouTube, akceptujesz YouTube Terms of Service oraz Google Privacy Policy.
6. Pliki cookies
6.1 Czym są cookies
Cookies to małe pliki tekstowe zapisywane w przeglądarce Użytkownika, używane do prawidłowego działania Serwisu i analizy ruchu.
6.2 Rodzaje cookies wykorzystywanych w Serwisie
| Nazwa | Cel | Czas życia | Wymagana zgoda |
|---|---|---|---|
sb-access-token | Sesja użytkownika (Supabase Auth) | 1 godzina | Nie (niezbędny) |
sb-refresh-token | Odnowienie sesji | 30 dni | Nie (niezbędny) |
city-ai-privacy-dismissed | Pamięć zamknięcia banera | Bezterminowo (localStorage) | Nie (niezbędny) |
city-ai-locale | Wybrany język interfejsu | Bezterminowo | Nie (niezbędny) |
6.3 Cookies stron trzecich
Serwis może wykorzystywać cookies obsługiwane przez:
- Stripe — obsługa płatności (na stronie Stripe Checkout, nie na naszej domenie),
- Google Maps — wyświetlanie map (po pierwszym kliknięciu w mapę).
6.4 Cookies analityczne i marketingowe
Serwis nie wykorzystuje obecnie cookies analitycznych ani marketingowych (Google Analytics, Facebook Pixel itp.). W przypadku ich wprowadzenia w przyszłości — pojawi się odrębny baner zgody (CMP).
6.5 Zarządzanie cookies
Możesz zarządzać cookies w ustawieniach swojej przeglądarki. Wyłączenie cookies niezbędnych może uniemożliwić korzystanie z Serwisu (logowanie, sesja).
6.6 Baner informacyjny
Przy pierwszej wizycie Użytkownik widzi baner informacyjny o wykorzystywaniu cookies. Baner ma charakter informacyjny — Serwis nie wykorzystuje obecnie cookies wymagających zgody.
6.7 Local Storage
Serwis wykorzystuje również localStorage przeglądarki do zapamiętywania preferencji (język, zamknięcie banera). Dane te nie są przesyłane na serwer.
7. Transfery danych poza EOG
Część podprocesorów (Google, Supabase, Railway, Upstash) ma siedzibę w USA. Transfery odbywają się na podstawie:
- Standardowych Klauzul Umownych zatwierdzonych przez Komisję Europejską (decyzja 2021/914),
- w przypadku Google — także na podstawie EU-US Data Privacy Framework (decyzja KE 2023/1795),
- umów powierzenia przetwarzania danych (DPA) zawartych z każdym podprocesorem.
8. Okresy przechowywania danych
| Kategoria danych | Okres przechowywania |
|---|---|
| Konto i powiązane dane | Do usunięcia konta + 30 dni (okres na cofnięcie żądania) |
| Dokumenty rozliczeniowe | 5 lat od końca roku podatkowego (ustawa o rachunkowości) |
| Logi techniczne | 90 dni |
| Wygenerowane przewodniki | Do usunięcia konta lub usunięcia ręcznego przez Użytkownika |
| Dane do rozpatrywania reklamacji | Do końca okresu przedawnienia roszczeń (do 6 lat) |
| Dane zanonimizowane (statystyki) | 12 miesięcy |
8.1 Procedura usunięcia konta
Po zgłoszeniu żądania usunięcia konta (e-mail na support@in-thecity.com lub przycisk w panelu konta):
- w ciągu 30 dni — okres karencji na cofnięcie żądania (konto oznaczone jako „do usunięcia"),
- po 30 dniach — trwałe usunięcie danych (poza danymi rozliczeniowymi, które muszą być przechowywane przez wymagany prawem okres).
9. Twoje prawa
Zgodnie z RODO przysługują Ci następujące prawa:
- Prawo dostępu (art. 15) — możesz zażądać kopii swoich danych,
- Prawo do sprostowania (art. 16) — możesz poprawić błędne dane,
- Prawo do usunięcia (art. 17) — „prawo do bycia zapomnianym",
- Prawo do ograniczenia przetwarzania (art. 18),
- Prawo do przenoszenia danych (art. 20) — eksport w formacie JSON,
- Prawo do sprzeciwu (art. 21) — wobec przetwarzania na podstawie uzasadnionego interesu,
- Prawo do wycofania zgody — jeśli przetwarzanie odbywa się na podstawie zgody (np. newsletter),
- Prawo do skargi — do Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl).
9.1 Jak realizować prawa
Wyślij e-mail na adres support@in-thecity.com. Operator odpowie w terminie 30 dni (z możliwością przedłużenia do 60 dni w skomplikowanych przypadkach — z odpowiednim uzasadnieniem).
9.2 Weryfikacja tożsamości
Operator może poprosić o dodatkową weryfikację tożsamości (np. potwierdzenie adresu e-mail) w celu ochrony przed nieuprawnionym dostępem.
10. Bezpieczeństwo danych
Operator stosuje następujące środki techniczne i organizacyjne:
- szyfrowanie połączeń (HTTPS / TLS 1.3),
- hasła przechowywane wyłącznie jako hash (bcrypt),
- ograniczony dostęp do bazy danych (tylko niezbędne osoby),
- regularne kopie zapasowe,
- monitoring logów pod kątem nietypowych aktywności,
- polityka „no data retention for training" u dostawców AI,
- umowy DPA z każdym podprocesorem,
- cookies sesyjne oznaczone jako
HttpOnlyiSecure.
11. Dane dzieci
Serwis nie jest przeznaczony dla osób poniżej 16 roku życia. W przypadku stwierdzenia, że dane dziecka zostały przekazane bez zgody rodzica/opiekuna prawnego — Operator niezwłocznie usunie te dane.
12. Dobrowolność podania danych
Podanie danych osobowych jest dobrowolne, jednak niezbędne do korzystania z Serwisu. Bez podania adresu e-mail nie jest możliwe założenie konta.
13. Zmiany Polityki Prywatności
Operator zastrzega sobie prawo do wprowadzania zmian. O istotnych zmianach Użytkownicy zostaną poinformowani z wyprzedzeniem co najmniej 14 dni (e-mail i komunikat w Serwisie). Aktualna wersja zawsze dostępna pod adresem /privacy-pl.
14. Kontakt
W sprawach związanych z przetwarzaniem danych osobowych: support@in-thecity.com
EAST WEST CONSULTING sp. z o.o.
ul. Aleja Grunwaldzka 472, 80-309 Gdańsk
Niniejsza Polityka obowiązuje od 28 kwietnia 2026 r. Wersja 2.1 od 3 maja 2026 r.