Polityka prywatności aplikacji

1.1 Administratorem danych osobowych jest Prospekt AI Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie, Al. Jerozolimskie 81, lok. 7.10, 02-001 Warszawa, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: 0001246602, NIP: 5223375633, REGON: 544958265, kapitał zakładowy: 5 000 PLN (dalej: „Dostawca" lub „my").

1.2 We wszystkich sprawach dotyczących danych osobowych możesz kontaktować się z nami pod adresem e-mail: kontakt@prospektai.pl lub listownie na adres siedziby.

1.3 Dostawca nie wyznaczył Inspektora Ochrony Danych (art. 37 RODO); na obecnym etapie działalności obowiązek taki nie zachodzi.

• -Zbieramy tylko to, co potrzebne do działania Aplikacji: dane konta (e-mail), skład Twojego portfela (wpisany ręcznie lub zaimportowany z pliku CSV) oraz dane techniczne.
• -NIE widzimy i NIE przechowujemy danych Twojej karty płatniczej - płatności obsługują wyłącznie Apple i Google w ramach zakupów w Aplikacji.
• -Do wygenerowania słownego podsumowania portfela przekazujemy do OpenAI (USA) wyłącznie zagregowane metryki (np. struktura sektorowa, dywersyfikacja) - nigdy listy Twoich spółek, liczby akcji ani cen zakupu.
• -Biometria (Face ID / Touch ID) nigdy nie opuszcza Twojego urządzenia - obsługuje ją wyłącznie system operacyjny.
• -Konto możesz usunąć w Aplikacji (Ustawienia -> Konto -> Usuń konto); realizujemy usunięcie w ciągu 30 dni.
• -Masz pełne prawa RODO (dostęp, sprostowanie, usunięcie, przeniesienie, sprzeciw) - rozdział 7 zawiera gotowy wzór wniosku.

Poniżej znajdziesz zestawienie wszystkich procesów przetwarzania danych osobowych prowadzonych przez Dostawcę. Dane portfelowe (pozycje, liczba akcji, ceny zakupu) stanowią Twoje dane finansowe - nie są danymi szczególnych kategorii w rozumieniu art. 9 RODO.

Uwagi do tabeli:

• -Portfel (import CSV): Plik CSV jest przetwarzany jednorazowo w pamięci w celu importu danych portfela i nie jest przez nas przechowywany.
• -Raportowanie awarii (Sentry): Raporty o awariach są wysyłane wyłącznie po wyrażeniu przez Ciebie zgody (rozdz. 13 „Pliki cookies i identyfikatory urządzenia"); konfigurujemy narzędzie tak, aby ograniczać dane do informacji technicznych niezbędnych do diagnostyki.
• -Podsumowanie AI portfela: Nie przekazujemy do modelu poszczególnych pozycji portfela, liczby posiadanych akcji ani cen ich zakupu.
• -Płatności: Nie otrzymujemy ani nie przechowujemy danych karty płatniczej.

Przetwarzanie danych przez Dostawcę odbywa się przy współudziale podmiotów trzecich wyłącznie w zakresie niezbędnym do świadczenia Usługi. Poniższa tabela obejmuje odbiorców danych osobowych Użytkowników.

Uwagi do tabeli:

• -Apple i Google jako operatorzy płatności działają jako samodzielni administratorzy danych - przetwarzają dane płatności na własnych zasadach i zgodnie z własnymi politykami prywatności. Dostawca nie otrzymuje ani nie przechowuje danych karty płatniczej.
• -Apple (APNs) i Google (FCM) jako dostawcy powiadomień push działają jako procesorzy w rozumieniu art. 4 pkt 8 RODO - przetwarzają token push wyłącznie w celu doręczenia powiadomień zleconych przez Dostawcę.
• -Procesorzy (Hetzner, OpenAI, Brevo, Sentry, Apple/Google w zakresie push) przetwarzają dane na polecenie Dostawcy na podstawie umów powierzenia przetwarzania spełniających wymogi art. 28 RODO.

Dane core Aplikacji (konto, portfel, logi) przechowywane są na infrastrukturze zlokalizowanej w Europejskim Obszarze Gospodarczym - u dostawcy hostingu Hetzner Online GmbH w Niemczech. Mailing obsługuje Brevo (Sendinblue SAS) we Francji (EOG). Niektóre dane przekazujemy do USA: token push (Apple, Google); zagregowane metryki portfela (OpenAI - rozdz. 3 i 4); dane uwierzytelniania przy logowaniu przez Apple Sign-In lub Google Sign-In (jeśli wybrane przez Użytkownika); dane techniczne o awariach (Sentry - rozdz. 3 i 4, po wyrażeniu zgody). Dane płatności przetwarzane są bezpośrednio przez Apple Inc. oraz Google LLC jako samodzielnych administratorów, zgodnie z ich własnymi politykami prywatności. Transfery odbywają się na podstawie decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (decyzja w sprawie EU-US Data Privacy Framework z dnia 10 lipca 2023 r.) - dla podmiotów certyfikowanych w DPF - lub standardowych klauzul umownych (SCC) przyjętych decyzją Komisji 2021/914. Kopię zabezpieczeń możesz uzyskać kontaktując się z nami (rozdz. 1).

• -Dane konta i portfela: Przez czas trwania umowy (czas posiadania konta). Po usunięciu konta - dane są usuwane w ciągu 30 dni od złożenia żądania. Konto możesz usunąć samodzielnie w Aplikacji: Ustawienia -> Konto -> Usuń konto.
• -Token push (powiadomienia serwisowe): Przez czas posiadania konta lub do wygaśnięcia albo odwołania tokena przez system operacyjny urządzenia.
• -Dane rozliczeniowe (potwierdzenia transakcji od Apple / Google): Przez 5 lat od końca roku podatkowego, w którym dokonano transakcji - ze względu na obowiązek podatkowy.
• -Reklamacje i korespondencja RODO: Do upływu terminów przedawnienia roszczeń.
• -Dane przekazane do modelu językowego (zagregowane metryki portfela): Nie są przechowywane przez Dostawcę po wygenerowaniu podsumowania. Po stronie OpenAI dane przekazane przez API są przechowywane przez okres do 30 dni w celu monitorowania nadużyć, a następnie usuwane (chyba że uzgodniono z OpenAI tryb zero data retention).
• -Logi techniczne: 12 miesięcy.
• -Kopie zapasowe: Kopia zapasowa konta jest przechowywana przez 30 dni; po usunięciu konta dane są usuwane z kopii zapasowych w ramach cyklu rotacji, nie później niż w ciągu 30 dni.
• -Dane newslettera i push marketingowy: Do cofnięcia zgody przez Użytkownika.
• -Raportowanie awarii (Sentry): 90 dni.

Przysługują Ci następujące prawa w zakresie Twoich danych osobowych przetwarzanych przez Dostawcę:

• -Prawo dostępu (art. 15 RODO) - możesz uzyskać potwierdzenie, czy Twoje dane są przetwarzane, oraz kopię tych danych wraz z informacjami o celach, podstawach prawnych, odbiorcach i planowanym okresie przechowywania.
• -Prawo do sprostowania (art. 16 RODO) - możesz zażądać niezwłocznego sprostowania nieprawidłowych danych lub uzupełnienia danych niekompletnych.
• -Prawo do usunięcia (art. 17 RODO) - możesz zażądać usunięcia Twoich danych w przypadkach określonych w art. 17 RODO (m.in. gdy dane nie są już niezbędne do celów, dla których zostały zebrane, lub cofnąłeś(-aś) zgodę). Konto możesz usunąć samodzielnie w Aplikacji: Ustawienia -> Konto -> Usuń konto.
• -Prawo do ograniczenia przetwarzania (art. 18 RODO) - możesz zażądać ograniczenia przetwarzania Twoich danych w przypadkach określonych w art. 18 RODO (m.in. gdy kwestionujesz prawidłowość danych lub wniosłeś(-aś) sprzeciw wobec przetwarzania).
• -Prawo do przenoszenia danych (art. 20 RODO) - możesz otrzymać Twoje dane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przesłać je innemu administratorowi, jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy i w sposób zautomatyzowany.
• -Prawo do sprzeciwu (art. 21 RODO) - możesz w dowolnym momencie wnieść sprzeciw wobec przetwarzania Twoich danych na podstawie art. 6 ust. 1 lit. f RODO (uzasadniony interes Dostawcy), w tym wobec profilowania; Dostawca zaprzestanie przetwarzania, chyba że wykaże istnienie prawnie uzasadnionych podstaw nadrzędnych wobec Twoich interesów, praw i wolności.
• -Prawo do cofnięcia zgody - w zakresie, w jakim przetwarzanie odbywa się na podstawie Twojej zgody (art. 6 ust. 1 lit. a RODO, rozdz. 3 - m.in. push marketingowy, newsletter), możesz w każdej chwili cofnąć zgodę bez podania przyczyny; cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem ani na dostęp do Usługi.
• -Prawo do wniesienia skargi - masz prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (szczegóły w rozdz. 11).

Tryb realizacji praw: Żądania realizacji praw RODO kieruj na adres e-mail: kontakt@prospektai.pl lub listem na adres siedziby Dostawcy (rozdz. 1). Dostawca rozpatruje żądania w terminie 30 dni od dnia ich otrzymania. Termin może zostać przedłużony o dalsze 2 miesiące w szczególnie skomplikowanych przypadkach; o przedłużeniu Dostawca informuje Cię przed upływem pierwszego terminu. Przed realizacją żądania Dostawca może zażądać potwierdzenia Twojej tożsamości w celu ochrony przed nieuprawnionym dostępem do danych.

7.1 Wzór wniosku

Skopiuj poniższy szablon do wiadomości e-mail na adres kontakt@prospektai.pl:

Scoring generowany przez Aplikację stanowi zautomatyzowane przetwarzanie danych. W zakresie, w jakim przetwarzanie to podlega art. 22 RODO, przysługuje Ci prawo do:

• -uzyskania interwencji człowieka po stronie Dostawcy w ocenę wyniku scoringowego,
• -wyrażenia własnego stanowiska,
• -zakwestionowania oceny.

Logika systemu scoringowego i główne czynniki determinujące ocenę opisane są w Metodologii dostępnej pod adresem: prospektai.pl/metodologia (Art. 13 ust. 2 lit. f RODO).

Ocena nie wywołuje bezpośrednich skutków prawnych ani finansowych poza Aplikacją i nie wpływa na zewnętrzne systemy scoringowe, zdolność kredytową ani inne rejestry; może natomiast pośrednio wpłynąć na decyzje inwestycyjne podejmowane wyłącznie na własną odpowiedzialność.

Żądania interwencji człowieka lub zakwestionowania oceny kieruj na adres: kontakt@prospektai.pl z tytułem „Art. 22 RODO". Dostawca rozpatruje takie żądania w terminie 30 dni od ich otrzymania, po uprzedniej weryfikacji Twojej tożsamości.

Odblokowanie Aplikacji biometrią jest opcjonalne. Dane biometryczne są przetwarzane wyłącznie lokalnie na Twoim urządzeniu przez system operacyjny (iOS / Android) i nigdy nie są przekazywane Dostawcy ani podmiotom trzecim. Dostawca otrzymuje wyłącznie wynik weryfikacji (potwierdzenie/odmowa). W tym zakresie Dostawca nie przetwarza danych biometrycznych w rozumieniu art. 9 RODO.

Aplikacja jest przeznaczona wyłącznie dla osób, które ukończyły 18 lat. Nie zbieramy świadomie danych osobowych osób niepełnoletnich; jeżeli stwierdzimy, że konto należy do osoby poniżej 18 lat, usuniemy je wraz z danymi.

Przysługuje Ci prawo wniesienia skargi do organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, kancelaria@uodo.gov.pl (art. 77 RODO).

W okresie testów beta przetwarzamy dodatkowo: dane kontaktowe testerów (e-mail, opcjonalnie imię), zgłoszenia i opinie (feedback) oraz korespondencję z testerami - w celu przeprowadzenia testów i poprawy Aplikacji (art. 6 ust. 1 lit. b RODO w zakresie umowy o testy, art. 6 ust. 1 lit. f w zakresie analizy zgłoszeń). Dane testerów przechowujemy do zakończenia programu beta, a następnie do upływu terminów przedawnienia roszczeń. Pozostałe zasady niniejszej Polityki stosuje się wprost.

13.1 Czym są cookies i identyfikatory urządzenia. Pliki cookies to niewielkie pliki tekstowe zapisywane przez przeglądarkę na urządzeniu podczas odwiedzania strony prospektai.pl. W aplikacji mobilnej Prospekt AI analogiczną rolę pełnią identyfikatory urządzenia oraz lokalne magazyny danych (np. token sesji, preferencje użytkownika przechowywane w pamięci urządzenia). Podstawą prawną przechowywania informacji lub uzyskiwania dostępu do informacji już przechowywanej w urządzeniu końcowym jest art. 399 ustawy z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej (PKE). Przechowywanie informacji inne niż niezbędne do świadczenia usługi żądanej przez Użytkownika odbywa się wyłącznie za uprzednią zgodą Użytkownika.

13.2 Niezbędne (bez zgody - art. 399 ust. 3 PKE)

13.3 Analityczne i pozostałe (za zgodą)

Jeżeli nie wyrazisz zgody, podstawowe funkcjonalności Aplikacji pozostają w pełni dostępne; nie będziemy jedynie zbierać raportów o awariach.

13.4 Zarządzanie zgodą

• -W aplikacji: Ustawienia -> Cookies (panel zgód prezentuje równorzędne opcje „wyrażam zgodę" / „nie wyrażam zgody"; brak domyślnie zaznaczonych pól).
• -Na stronie prospektai.pl: baner cookies przy pierwszej wizycie + ustawienia przeglądarki.
• -Zgodę możesz wycofać w każdej chwili ze skutkiem na przyszłość.

13.5 Aplikacja a strona internetowa. Aplikacja mobilna i strona prospektai.pl używają odrębnych technologii; niniejszy rozdział opisuje obie. Strona ma charakter informacyjny.

O istotnych zmianach niniejszej Polityki (obejmującej także zasady stosowania plików cookies i identyfikatorów urządzenia - rozdz. 13) poinformujemy w Aplikacji oraz e-mailem co najmniej 14 dni przed wejściem zmian w życie. Aktualna wersja jest zawsze dostępna pod adresem prospektai.pl/polityka-prywatnosci-aplikacji oraz w Aplikacji (Ustawienia -> Prywatność).