Polityka Prywatności Dekorai

Administratorem danych osobowych jest przedsiębiorca prowadzący jednoosobową działalność gospodarczą wpisaną do CEIDG: [UZUPEŁNIĆ: imię i nazwisko, adres, NIP, REGON]. W sprawach ochrony danych: rodo@dekorai.pl.

Z uwagi na skalę i charakter przetwarzania Administrator nie ma obowiązku powołania inspektora ochrony danych (art. 37 RODO).

• Dane Konta — adres e-mail, nazwa wyświetlana, nieodwracalny skrót hasła (argon2id).
• Treści Użytkownika — zdjęcia i rzuty wgrane do Serwisu oraz obrazy wygenerowane na ich podstawie. Metadane EXIF są usuwane przed zapisem.
• Dane rozliczeniowe — identyfikator klienta i faktury w systemie Stripe. Danych kart płatniczych nie przechowujemy.
• Dane techniczne i logi — adres IP, identyfikator przeglądarki, zapisy zdarzeń bezpieczeństwa (logi audytowe).
• Pliki cookie — wyłącznie niezbędne (zob. pkt 7).

• Założenie Konta, świadczenie Usługi i wykonywanie Generacji — art. 6 ust. 1 lit. b RODO (wykonanie umowy).
• Rozliczenia, faktury i księgowość — art. 6 ust. 1 lit. c RODO (obowiązek prawny, m.in. art. 74 ustawy o rachunkowości).
• Bezpieczeństwo Serwisu, zapobieganie nadużyciom, logi audytowe, dochodzenie roszczeń — art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes).
• Newsletter marketingowy — art. 6 ust. 1 lit. a RODO (zgoda, dobrowolna, możliwa do wycofania w każdej chwili).

Dane powierzamy zaufanym dostawcom wyłącznie w zakresie niezbędnym do świadczenia Usługi:

• Google LLC — modele AI (Gemini) przetwarzające obrazy na potrzeby Generacji.
• Stripe Payments Europe Ltd. — obsługa płatności i fakturowania.
• Resend — wysyłka wiadomości e-mail (linki logowania, powiadomienia).
• Vercel Inc. — hosting aplikacji internetowej.
• Neon Inc. — hostowana baza danych (region UE).
• Upstash Inc. — kolejka i pamięć podręczna (Redis).
• Railway Corp. — uruchamianie procesów przetwarzających Generacje.
• Cloudflare Inc. — przechowywanie plików (R2), CDN i ochrona przed atakami.

Część dostawców (m.in. Google, Cloudflare, Stripe, Vercel) może przetwarzać dane poza Europejskim Obszarem Gospodarczym, w szczególności w USA. Transfer odbywa się na podstawie standardowych klauzul umownych Komisji Europejskiej (SCC) z 2021 r. oraz, tam gdzie ma to zastosowanie, ram EU-US Data Privacy Framework.

Dane Konta przechowujemy przez czas posiadania Konta. Ponadto:

• Obrazy źródłowe — usuwane 24 godziny po wykonaniu Generacji (48 godzin w przypadku Generacji nieudanych).
• Obrazy wynikowe — Free 7 dni / Starter 30 dni / Pro 90 dni / Studio bezterminowo (zależnie od planu).
• Po usunięciu Konta — dane i obrazy usuwane trwale po 30-dniowym okresie karencji.
• Historia transakcji finansowych — 5 lat (art. 74 ustawy o rachunkowości), w formie zanonimizowanej.

Serwis używa wyłącznie plików cookie niezbędnych do jego działania — utrzymania sesji zalogowania (Auth.js) oraz ochrony przed atakami CSRF. Nie stosujemy cookies analitycznych, marketingowych ani trackingu firm trzecich. Z uwagi na ich niezbędny charakter zgoda nie jest wymagana; informujemy o nich w banerze.

Przysługuje Ci prawo do:

• dostępu do danych i ich kopii (art. 15, 20) — przycisk „Pobierz swoje dane" w panelu Moje konto;
• sprostowania danych (art. 16) — edycja profilu;
• usunięcia danych (art. 17) — przycisk „Usuń konto" w panelu;
• ograniczenia przetwarzania oraz sprzeciwu (art. 18, 21) — kontakt e-mail;
• wycofania zgody na marketing w dowolnym momencie, bez wpływu na zgodność z prawem wcześniejszego przetwarzania;
• wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

Stosujemy środki techniczne i organizacyjne adekwatne do ryzyka: hasła przechowywane jako nieodwracalny skrót (argon2id), szyfrowanie transmisji (HTTPS), izolację danych na poziomie bazy (RLS) oraz ograniczony dostęp do infrastruktury.

Polityka może być aktualizowana w razie zmian w Usłudze lub przepisach; o istotnych zmianach informujemy drogą elektroniczną. Pytania w sprawach ochrony danych: rodo@dekorai.pl — odpowiadamy w terminie do 30 dni.