Asystio
Wróć do Centrum Prawnego
Dokument oficjalny

Polityka Prywatności

Ostatnia aktualizacja: 1 marca 2026Dokument oficjalny

1. Administrator danych

Administratorem danych osobowych jest Kamil Rogaczewski prowadzący działalność gospodarczą pod firmą Kamil Rogaczewski Asystio, ul. Kościuszki 60/4, 32-090 Słomniki, NIP: 9121865465, REGON: 542655431. Kontakt: [email protected], w sprawach ochrony danych: [email protected].

2. Cele i podstawy przetwarzania

  • Świadczenie usług (art. 6 ust. 1 lit. b RODO) – przetwarzanie niezbędne do wykonania umowy.
  • Obowiązki prawne (art. 6 ust. 1 lit. c RODO) – księgowość, podatki, archiwizacja faktur.
  • Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) – bezpieczeństwo, analityka, dochodzenie roszczeń.
  • Zgoda (art. 6 ust. 1 lit. a RODO) – marketing, newsletter, profilowanie AI (opcjonalne).

3. Zakres danych

Przetwarzamy: imię i nazwisko, adres e-mail, numer telefonu, dane firmy (NIP, nazwa), adres, dane płatności (metadane przetwarzane przez Autopay albo Stripe, zależnie od ścieżki płatności; pełne dane kart nie są przechowywane przez Asystio), logi dostępu (IP, przeglądarka), oraz dane wprowadzone do Platformy (kontakty CRM, dane klientów, treści rozmów AI).

4. Odbiorcy danych

Dane mogą być przekazywane: Google Cloud Platform (infrastruktura EU), Firebase (autentykacja), Autopay (operator płatności wdrażany; aktywny dla ścieżek objętych integracją po potwierdzeniu live), Stripe (płatności legacy/migration), Resend (e-maile transakcyjne), Infobip (SMS/2FA/Voice), ElevenLabs (synteza/transkrypcja głosu — recepcjonistka AI), Vertex AI / Gemini (przetwarzanie AI), Google Analytics, PostHog, Microsoft Clarity oraz Meta Pixel - wyłącznie w zakresie wynikającym z udzielonej zgody na analitykę lub marketing. Pełna lista podprocesorów dostępna w dokumencie „Lista podprocesorów”.

5. Transfer danych poza EOG

Dane są przechowywane na serwerach Google Cloud w UE (europe-west4, Holandia). Transfer do USA / poza EOG, w szczególności przez Stripe, Resend lub ElevenLabs, odbywa się na podstawie Standardowych Klauzul Umownych (SCC 2021) oraz, w stosownych przypadkach, EU-US Data Privacy Framework. Autopay co do zasady przetwarza dane płatnościowe w Polsce/UE; jeżeli konkretny przepływ wymagałby transferu poza EOG, zastosujemy właściwe zabezpieczenia zgodnie z RODO.

6. Prawa osób, których dane dotyczą

Przysługuje Ci prawo do: dostępu do danych (art. 15), sprostowania (art. 16), usunięcia (art. 17), ograniczenia przetwarzania (art. 18), przenoszenia danych (art. 20), sprzeciwu (art. 21), oraz cofnięcia zgody w dowolnym momencie. Wnioski kieruj na: [email protected]. Masz także prawo złożyć skargę do Prezesa UODO (ul. Stawki 2, 00-193 Warszawa).

7. Okres przechowywania

Dane przechowujemy przez czas trwania umowy, a po jej zakończeniu: dane księgowe – 5 lat, logi systemowe – 12 miesięcy, kopie zapasowe – 30 dni. Szczegóły w dokumencie „Polityka retencji danych”.

8. Bezpieczeństwo danych

Stosujemy szyfrowanie TLS 1.3 (transmisja) i AES-256 (dane w spoczynku), kontrolę dostępu z 2FA, regularne kopie zapasowe, monitoring 24/7, oraz testy penetracyjne. Szczegóły w dokumencie „Polityka bezpieczeństwa”.

9. Profilowanie i AI

Platforma wykorzystuje sztuczną inteligencję (Google Gemini / Vertex AI) do analizy danych i generowania odpowiedzi. Nie podejmujemy zautomatyzowanych decyzji wywołujących skutki prawne bez udziału człowieka. Szczegóły w dokumencie „Polityka AI”.

10. Dane użytkownika Google

Jeśli połączysz swoje konto Google z Asystio (logowanie przez Google, Kalendarz Google, Gmail, Dysk Google), możemy uzyskać dostęp do następujących danych:

10.1. Zakres danych, do których uzyskujemy dostęp

  • Dane uwierzytelniania (Google Sign-In): adres e-mail, imię i nazwisko, zdjęcie profilowe - wyłącznie w celu uwierzytelnienia i wyświetlenia profilu użytkownika w aplikacji.
  • Kalendarz Google (scope: calendar): pełny dostęp do odczytu i zapisu wydarzeń, w tym tytuły, daty, opisy, uczestnicy, statusy, bloki całodniowe (np. urlopy, nieobecności). Umożliwia dwukierunkową synchronizację wydarzeń pomiędzy Kalendarzem Google a modułem Kalendarz Asystio.
  • Gmail (scopes: gmail.readonly, gmail.send, gmail.compose, gmail.modify): odczyt wiadomości e-mail (temat, treść, nadawca, odbiorcy, załączniki), wysyłanie wiadomości, tworzenie szkiców, modyfikacja (oznaczanie jako przeczytane, archiwizacja, etykiety). Dane te wykorzystywane są w module Skrzynka Odbiorcza (Unified Inbox) do zarządzania komunikacją z klientami z poziomu Asystio.
  • Dysk Google (scope: drive.readonly): dostęp tylko do odczytu plików na Dysku Google. Scope ten jest zadeklarowany na potrzeby przyszłej integracji z modułem Dokumenty; na chwilę obecną żadne pliki z Dysku Google nie są odczytywane ani przechowywane.

10.2. Cel przetwarzania danych Google

  • Uwierzytelnianie i tworzenie konta użytkownika (Google Sign-In).
  • Synchronizacja kalendarza - automatyczne przenoszenie wizyt i wydarzeń pomiędzy Google Calendar a Asystio.
  • Zarządzanie pocztą e-mail - odczyt, wysyłanie i organizacja wiadomości w zintegrowanej skrzynce (Unified Inbox) Asystio, ułatwiając komunikację CRM z klientami.
  • Żadne dane Google nie są wykorzystywane do celów reklamowych, marketingowych, profilowania ani trenowania modeli AI.

10.3. Udostępnianie danych Google osobom trzecim

Dane Google NIE są udostępniane żadnym stronom trzecim, z wyjątkiem podprocesorów infrastrukturalnych wymienionych w sekcji 4 (Google Cloud Platform, Firebase), którzy przetwarzają dane wyłącznie na potrzeby świadczenia usługi. Dane Google nie są sprzedawane, nie są wykorzystywane do reklam ani do trenowania modeli sztucznej inteligencji.

10.4. Przechowywanie i ochrona danych Google

  • Dane profilu Google przechowywane są w bazie PostgreSQL w UE (Google Cloud, region europe-west4, Holandia).
  • Dane kalendarza synchronizowane są i przechowywane w tabelach appointments oraz staff_availability z oznaczeniem źródła source='google'.
  • Treści e-maili przechowywane są w tabelach unified_threads i unified_messages, zaszyfrowane w spoczynku (AES-256) i izolowane przez Row Level Security (RLS) per tenant.
  • Tokeny OAuth (access_token, refresh_token) przechowywane są wyłącznie w Google Cloud Secret Manager - nigdy w bazie danych ani w logach aplikacji.
  • Cała komunikacja odbywa się przez TLS 1.3.

10.5. Okres przechowywania i usuwanie danych Google

  • Dane kalendarza przechowywane są tak długo, jak integracja jest aktywna. Po odłączeniu integracji dane synchronizowane z Google są usuwane w ciągu 30 dni.
  • Dane e-mail przechowywane są tak długo, jak konto e-mail jest połączone. Użytkownik może usunąć poszczególne wiadomości lub odłączyć konto Gmail w ustawieniach Asystio.
  • Dane profilu Google usuwane są w ciągu 30 dni od usunięcia konta Asystio.
  • Możesz w dowolnym momencie cofnąć dostęp Asystio do danych Google w ustawieniach uprawnień konta Google.
  • Po cofnięciu uprawnień lub usunięciu konta, wszystkie dane pochodzące z Google zostaną trwale usunięte z naszych systemów w ciągu 30 dni.

Korzystanie z danych użytkownika Google jest zgodne z Google API Services User Data Policy, w tym z wymogami Limited Use (ograniczonego wykorzystania).

English summary

This Privacy Policy describes how Asystio (operated by Kamil Rogaczewski, sole proprietorship in Poland) processes personal data. Data is stored in the EU (Google Cloud, europe-west4). We process data for service delivery, legal obligations, legitimate interests, and with consent for marketing. Data may be shared with subprocessors (Google, Autopay, Stripe, Resend, Infobip), with Autopay disclosed for implemented payment paths and Stripe retained for legacy/migration payment paths. Users have full GDPR rights including access, rectification, erasure, portability, and the right to lodge a complaint with the Polish DPA (UODO). AI processing uses Google Gemini/Vertex AI with human oversight.