Polityka prywatności

Ostatnia aktualizacja: 4 czerwca 2026 r.

1. Administrator danych

Administratorem danych osobowych jest Eskulap s.c., pełna nazwa prawna: "ESKULAP" S.C. KATARZYNA LABOCHA, KONRAD LABOCHA, ul. Długa 135, 42-233 Wierzchowisko, NIP: 5732691259, REGON: 240600470 (dalej: "Administrator"), operator serwisu BrawoAI dostępnego pod adresem brawoai.pl.

Kontakt w sprawach ochrony danych osobowych: dane@brawoai.pl

2. Rodzaje zbieranych danych

Administrator przetwarza następujące kategorie danych osobowych:

Dane Użytkowników (właścicieli firm):

  • Numer telefonu używany do rejestracji i logowania kodem SMS przez Supabase Auth
  • Adres e-mail, jeśli zostanie podany w profilu, płatnościach, korespondencji lub dodatkowej metodzie logowania
  • Nazwa firmy i branża
  • Dane rozliczeniowe i firmowe (NIP, adres firmy, status subskrypcji i faktury)
  • Tokeny powiadomień push i identyfikatory techniczne potrzebne do działania aplikacji
  • Dane diagnostyczne aplikacji (logi błędów, crash logs, podstawowe dane techniczne urządzenia)
  • Dane dotyczące korzystania z Serwisu (logi, statystyki, adres IP)
  • W aplikacji Uzgodnione: nagrania audio, transkrypcje, podsumowania, identyfikator użytkownika aplikacji oraz liczba minut przetwarzania AI

Dane klientów końcowych (wprowadzane przez Użytkowników):

  • Imię i nazwisko
  • Numer telefonu (wykorzystywany do wysyłki SMS przez SMSAPI)
  • Opcjonalnie dane kontaktu wybrane przez Użytkownika z książki adresowej urządzenia (nazwa kontaktu i numer telefonu)
  • Historia wiadomości SMS
  • Oceny, komentarze, prywatne odpowiedzi ankietowe oraz szkice odpowiedzi generowane przez AI

3. Cele i podstawy prawne przetwarzania

Dane osobowe przetwarzane są w następujących celach:

  • Realizacja umowy (art. 6 ust. 1 lit. b RODO) - świadczenie usług Serwisu, obsługa konta, wysyłka SMS, generowanie odpowiedzi AI, transkrypcji i podsumowań w aplikacji Uzgodnione.
  • Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) - zapewnienie bezpieczeństwa Serwisu, zapobieganie nadużyciom, dochodzenie roszczeń, analiza i ulepszanie Serwisu (w tym analiza logów i adresów IP w celu wykrywania nieautoryzowanego dostępu).
  • Obowiązek prawny (art. 6 ust. 1 lit. c RODO) - prowadzenie dokumentacji podatkowej (w tym faktury KSeF), odpowiedzi na żądania organów publicznych.
  • Zgoda (art. 6 ust. 1 lit. a RODO) - newsletter, komunikacja marketingowa, pliki cookies analityczne, czat wsparcia technicznego (Crisp).

4. Przetwarzanie danych klientów końcowych

W odniesieniu do danych klientów końcowych wprowadzanych do Serwisu przez Użytkownika, Administrator działa jako podmiot przetwarzający (procesor) w rozumieniu art. 28 RODO. Administratorem tych danych jest Użytkownik.

Szczegółowe warunki przetwarzania reguluje Umowa Powierzenia Przetwarzania Danych Osobowych (DPA).

5. Informacja dla klientów końcowych (art. 14 RODO)

Jeżeli jesteś klientem końcowym firmy korzystającej z BrawoAI i Twoje dane (imię, numer telefonu) zostały wprowadzone do Serwisu przez Użytkownika:

  • Administratorem Twoich danych jest firma, której jesteś klientem (Użytkownik BrawoAI). To ona decyduje o celach i sposobach przetwarzania Twoich danych.
  • Eskulap s.c. (operator BrawoAI) przetwarza Twoje dane wyłącznie jako podmiot przetwarzający (procesor) na polecenie Użytkownika, na podstawie Umowy Powierzenia Danych (DPA).
  • Źródło danych: Twoje dane zostały przekazane do BrawoAI przez firmę, której jesteś klientem.
  • Cel przetwarzania: wysyłka wiadomości SMS (np. prośba o wystawienie opinii Google), przechowywanie historii komunikacji.
  • Twoje prawa: masz prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz sprzeciwu. Żądania kieruj do firmy, której jesteś klientem (administratora danych).
  • Rezygnacja z SMS: w każdej chwili możesz zrezygnować z otrzymywania wiadomości SMS, odpowiadając "NIE" na otrzymaną wiadomość.

Użytkownik (administrator danych klientów końcowych) jest zobowiązany do poinformowania swoich klientów o przetwarzaniu ich danych zgodnie z art. 13 lub 14 RODO. BrawoAI udostępnia Użytkownikom wzór klauzuli informacyjnej SMS w panelu Serwisu.

6. Przetwarzanie danych przez AI

6.1. Serwis wykorzystuje modele sztucznej inteligencji Cloudflare Workers AI, OpenAI (OpenAI, L.L.C., USA) oraz Claude (Anthropic PBC, USA) do generowania propozycji opinii, odpowiedzi na opinie Google, transkrypcji audio i podsumowań ustaleń w aplikacji Uzgodnione.

6.2. Do modelu AI przekazywane są wyłącznie dane potrzebne do wygenerowania treści: nazwa lub skrócona nazwa firmy, branża, ocena i treść opinii lub komentarza. Numery telefonów klientów oraz dane z książki kontaktów urządzenia nie są przekazywane do modelu AI.

6.2a. W aplikacji Uzgodnione nagrania audio są przechowywane lokalnie na urządzeniu Użytkownika do momentu wybrania funkcji przetwarzania AI. Po wybraniu przetwarzania audio jest przesyłane do backendu BrawoAI, następnie do dostawcy transkrypcji OpenAI, a transkrypcja do modelu Claude w celu przygotowania podsumowania. Użytkownik jest zobowiązany poinformować uczestników, że rozmowa jest nagrywana.

6.3. Dostawcy modeli AI działają jako usługodawcy techniczni. Odpowiedzi generowane przez AI nie są wykorzystywane do automatycznego podejmowania decyzji wobec Użytkowników ani klientów końcowych.

6.4. Serwis nie dokonuje zautomatyzowanego podejmowania decyzji ani profilowania w rozumieniu art. 22 RODO. Odpowiedzi generowane przez AI mają charakter sugestii i wymagają zatwierdzenia przez Użytkownika przed publikacją.

7. Okres przechowywania danych

  • Dane konta Użytkownika - przez czas trwania subskrypcji oraz 12 miesięcy po jej zakończeniu (okres tylko-do-odczytu z dostępem do eksportu danych zgodnie z Data Act). Na 7 dni przed usunięciem konta wysyłamy email z linkami do zachowania konta na kolejne 12 miesięcy oraz do eksportu danych w formacie CSV/JSON. Jeśli nie podejmiesz akcji, konto wraz ze wszystkimi danymi (z wyjątkiem faktur - patrz niżej) zostanie automatycznie usunięte.
  • Dane rozliczeniowe - przez 5 lat od zakończenia roku podatkowego, w którym dokonano transakcji (obowiązek podatkowy).
  • Dane klientów końcowych - zgodnie z instrukcjami Użytkownika (administratora tych danych) oraz warunkami DPA.
  • Tokeny push - przez okres trwania subskrypcji oraz 30 dni po jej zakończeniu lub do momentu wycofania zgody/odinstalowania aplikacji (w zależności od tego, co nastąpi wcześniej).
  • Dane diagnostyczne (Sentry) - logi błędów aplikacji przechowywane przez 90 dni od daty zdarzenia. Dane są zanonimizowane lub pseudonimizowane w zakresie technicznie możliwym.
  • Uzgodnione - nagrania audio, transkrypcje i podsumowania są przechowywane lokalnie na urządzeniu Użytkownika do czasu ich usunięcia przez Użytkownika. Backend przechowuje zdarzenia użycia minut AI w celu rozliczenia limitów planu przez okres trwania subskrypcji oraz 12 miesięcy po jej zakończeniu.
  • Dane crashlogowe (Firebase Crashlytics) - raporty awarii aplikacji przechowywane przez okres do 90 dni zgodnie z polityką Google.
  • Logi systemowe i adresy IP - przez 90 dni od daty zarejestrowania.

8. Odbiorcy danych (sub-procesorzy)

Dane mogą być przekazywane następującym podmiotom:

  • Supabase Inc. - hosting bazy danych i uwierzytelnianie (EU, Frankfurt, Niemcy)
  • Cloudflare Inc. - hosting aplikacji, Cloudflare Workers (sieć globalna z węzłami EU; w przypadku przetwarzania poza EOG - Standardowe Klauzule Umowne 2021)
  • SMSAPI sp. z o.o. - wysyłka wiadomości SMS (Polska, domena api.smsapi.pl)
  • Stripe Inc. - obsługa płatności kartą oraz portfeli Apple Pay i Google Pay, jeśli są dostępne (USA; Standardowe Klauzule Umowne - SCC)
  • RevenueCat Inc. - obsługa subskrypcji mobilnych i weryfikacja uprawnień aplikacji Uzgodnione (USA; Standardowe Klauzule Umowne - SCC)
  • OpenAI, L.L.C. - transkrypcja audio w aplikacji Uzgodnione (USA; Standardowe Klauzule Umowne - SCC)
  • Anthropic PBC - generowanie odpowiedzi AI na opinie (USA; Standardowe Klauzule Umowne - SCC)
  • Google LLC / Firebase - powiadomienia push, Crashlytics oraz integracja z Google Business Profile (USA; EU-US Data Privacy Framework - decyzja wykonawcza Komisji UE 2023/1795)
  • Sentry - monitoring błędów aplikacji i diagnostyka techniczna
  • Crisp IM SAS - czat wsparcia technicznego (Francja, EU)

W przypadku transferu danych poza EOG, stosowane są odpowiednie zabezpieczenia: Standardowe Klauzule Umowne (SCC) zatwierdzone decyzją wykonawczą Komisji (UE) 2021/914 lub decyzja o adekwatności na podstawie EU-US Data Privacy Framework.

8a. Personel Administratora

Dostęp do danych osobowych przetwarzanych w Serwisie ma wyłącznie upoważniony personel Administratora (wspólnicy spółki cywilnej Eskulap s.c. oraz osoby zatrudnione na podstawie umowy o pracę lub umowy cywilnoprawnej zawierającej klauzulę poufności), w zakresie niezbędnym do:

  • administrowania Serwisem i jego infrastrukturą techniczną;
  • obsługi technicznej i rozwiązywania incydentów;
  • rozliczania subskrypcji i wystawiania faktur (KSeF);
  • odpowiedzi na zapytania, reklamacje i wnioski Użytkowników;
  • realizacji obowiązków wynikających z RODO i DPA (eksport, usunięcie danych).

Personel uzyskuje dostęp poprzez dedykowane narzędzie administracyjne (Admin BrawoAI) zabezpieczone uwierzytelnianiem dwuskładnikowym (biometria Face ID/Touch ID na zaufanych urządzeniach Administratora). Każdy dostęp do danych jest logowany w celu kontroli zgodności z RODO.

8b. Analityka zagregowana i benchmarki

Administrator wykorzystuje dane dotyczące korzystania z Serwisu w formie zanonimizowanej i zagregowanej (w sposób uniemożliwiający identyfikację konkretnego Użytkownika lub klienta końcowego) do następujących celów:

  • monitorowanie wydajności i bezpieczeństwa Serwisu;
  • analiza trendów branżowych (np. średnia liczba opinii w branży X);
  • opracowywanie raportów benchmarkowych dla Użytkowników i rynku;
  • trenowanie własnych modeli sztucznej inteligencji do generowania odpowiedzi;
  • komunikacja marketingowa o skali Serwisu.

Dane zagregowane i zanonimizowane przestają być danymi osobowymi w rozumieniu art. 4 ust. 5 RODO. Administrator nie sprzedaje, nie odsprzedaje ani nie udostępnia osobom trzecim danych identyfikujących klientów końcowych Użytkowników. Szczegółowe warunki przetwarzania danych klientów końcowych reguluje DPA.

9. Prawa osób, których dane dotyczą

Zgodnie z RODO przysługują Państwu następujące prawa:

  • Prawo dostępu - uzyskanie informacji o przetwarzanych danych (art. 15)
  • Prawo do sprostowania - poprawienie nieprawidłowych danych (art. 16)
  • Prawo do usunięcia - żądanie usunięcia danych ("prawo do bycia zapomnianym", art. 17)
  • Prawo do ograniczenia przetwarzania (art. 18)
  • Prawo do przenoszenia danych - otrzymanie danych w formacie CSV/JSON (art. 20)
  • Prawo do sprzeciwu - wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 21)
  • Prawo do cofnięcia zgody - w dowolnym momencie, bez wpływu na zgodność z prawem wcześniejszego przetwarzania (art. 7 ust. 3)

Żądania należy kierować na adres: dane@brawoai.pl. Odpowiedź zostanie udzielona w ciągu 30 dni.

Przysługuje Państwu również prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa.

10. Pliki cookies

Serwis wykorzystuje następujące rodzaje plików cookies:

  • Niezbędne - wymagane do działania Serwisu: sesja Supabase Auth (sb-access-token, sb-refresh-token - sesyjne), preferencja cookies (brawoai-cookie-consent - stały, 12 miesięcy). Podstawa: art. 6 ust. 1 lit. f RODO (niezbędne do świadczenia usługi).
  • Czat wsparcia (Crisp) - obsługa czatu wsparcia technicznego. Dostawca: Crisp IM SAS (Francja, EU). Cookies sesyjne i stałe (do 6 miesięcy). Podstawa: zgoda użytkownika (art. 6 ust. 1 lit. a RODO). Można odmówić w banerze cookie - czat nie będzie dostępny.
  • Analityczne - anonimowe statystyki korzystania z Serwisu. Podstawa: zgoda użytkownika (art. 6 ust. 1 lit. a RODO).

Użytkownik może zarządzać plikami cookies za pomocą banera cookie wyświetlanego przy pierwszej wizycie lub w ustawieniach przeglądarki. Wyłączenie cookies niezbędnych może uniemożliwić korzystanie z Serwisu.

11. Bezpieczeństwo danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, w tym:

  • Szyfrowanie transmisji danych (TLS 1.2+)
  • Szyfrowanie danych w spoczynku (AES-256, Supabase)
  • Kontrola dostępu oparta na rolach (RLS - Row Level Security)
  • Regularne kopie zapasowe (codziennie, Supabase)
  • Monitorowanie i logowanie dostępu

12. Zmiany polityki prywatności

Administrator zastrzega sobie prawo do aktualizacji niniejszej polityki prywatności. O istotnych zmianach Użytkownicy zostaną poinformowani drogą e-mailową z 14-dniowym wyprzedzeniem.

13. Kontakt

Eskulap s.c., ul. Długa 135, 42-233 Wierzchowisko, NIP: 5732691259, REGON: 240600470

W przypadku pytań dotyczących ochrony danych osobowych prosimy o kontakt pod adresem: dane@brawoai.pl