1. O czym jest ten dokument
Niniejsza Polityka prywatności (dalej: „Polityka") informuje Cię, w jaki sposób Aventech Innovation Sp. z o.o. — prowadząca działalność pod marką Aventium — przetwarza Twoje dane osobowe zbierane w związku z korzystaniem ze strony internetowej aventium.ai (dalej: „Serwis") oraz świadczeniem usług Aventium.
Dokument jest zgodny z:
- Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO),
- Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 z późn. zm.),
- Ustawą z dnia 12 lipca 2024 r. — Prawo komunikacji elektronicznej (w zakresie regulującym pliki cookies i podobne technologie).
Polityka prywatności jest uzupełniana przez odrębną Politykę cookies, w której znajdziesz szczegóły dotyczące plików cookies wykorzystywanych w Serwisie.
2. Administrator danych osobowych
Administratorem Twoich danych osobowych jest:
AVENTECH INNOVATION Spółka z ograniczoną odpowiedzialnością
ul. Kędzierzyńska 17
41-902 Bytom
KRS: 0000942894
Sąd Rejestrowy: Sąd Rejonowy Katowice-Wschód w Katowicach, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego
NIP: 6252480528
REGON: 520804227
Kapitał zakładowy: 5000,00 zł
Marka handlowa: Aventium
Domena: aventium.ai
Kontakt w sprawach ochrony danych osobowych:
- Email: [email protected]
- Odpowiadamy w ciągu 7 dni roboczych.
Inspektor Ochrony Danych (IOD): Administrator nie wyznaczył IOD. W sprawach dotyczących danych osobowych prosimy o bezpośredni kontakt na podany powyżej adres e-mail.
3. Podsumowanie Twoich praw
Na gruncie RODO przysługuje Ci siedem fundamentalnych praw, a także prawo do wniesienia skargi do organu nadzorczego. Szczegółowy opis w sekcji 13. Tutaj — skrót:
| Prawo | Podstawa | Krótko |
|---|---|---|
| Prawo dostępu do danych | art. 15 RODO | Możesz zapytać jakie dane mamy i otrzymać ich kopię |
| Prawo do sprostowania | art. 16 RODO | Jeśli coś jest nieprawidłowe, możesz żądać poprawy |
| Prawo do usunięcia („bycia zapomnianym") | art. 17 RODO | W wielu przypadkach możesz żądać usunięcia danych |
| Prawo do ograniczenia przetwarzania | art. 18 RODO | Możesz żądać wstrzymania przetwarzania |
| Prawo do przenoszenia danych | art. 20 RODO | Możesz otrzymać dane w formacie elektronicznym |
| Prawo sprzeciwu | art. 21 RODO | Możesz sprzeciwić się przetwarzaniu opartemu na uzasadnionym interesie |
| Prawo do wycofania zgody | art. 7 ust. 3 RODO | Jeśli podstawą jest Twoja zgoda, możesz ją wycofać |
| Prawo skargi do UODO | — | Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa |
Aby skorzystać z praw: napisz do nas na [email protected].
4. Jakie dane o Tobie zbieramy
Zbieramy tylko te dane, które są nam niezbędne do świadczenia usług Aventium oraz prowadzenia komunikacji z Tobą. Stosujemy zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO).
4.1. Dane z formularzy kontaktowych
W Serwisie dostępne są cztery formularze kontaktowe, w zależności od tego, z którego filaru usług Aventium chcesz skorzystać. Każdy formularz wyraźnie wskazuje, jakie dane zbieramy.
Formularz „Bezpłatna Diagnoza AI" (filar Automatyzacja)
| Pole | Wymagane | Kategoria danych |
|---|---|---|
| Imię i nazwisko | Tak | Dane identyfikacyjne |
| Email firmowy | Tak | Dane kontaktowe |
| Numer telefonu | Tak | Dane kontaktowe |
| Nazwa firmy | Tak | Dane firmowe |
| Branża | Tak | Dane firmowe |
| Wielkość firmy | Tak | Dane firmowe |
| Opis procesów do automatyzacji | Tak | Dane opisowe dot. Twojego biznesu |
| Preferowana pora kontaktu | Tak | Dane preferencyjne |
| Zgoda na przetwarzanie danych (RODO) | Tak | Oświadczenie woli |
Formularz „Audyt Widoczności w AI" (filar Widoczność)
| Pole | Wymagane | Kategoria danych |
|---|---|---|
| Imię i nazwisko | Tak | Dane identyfikacyjne |
| Email firmowy | Tak | Dane kontaktowe |
| Numer telefonu | Tak | Dane kontaktowe |
| URL Twojej strony | Tak | Dane firmowe |
| Nazwa firmy | Tak | Dane firmowe |
| Branża | Tak | Dane firmowe |
| Frazy kluczowe (5–10) | Tak | Dane opisowe dot. Twojego biznesu |
| Główni konkurenci (max 3) | Nie | Dane opisowe dot. Twojego biznesu |
| Zgoda na przetwarzanie danych (RODO) | Tak | Oświadczenie woli |
Formularze „Szybki kontakt" (Automatyzacja i Widoczność)
| Pole | Wymagane | Kategoria danych |
|---|---|---|
| Imię | Tak | Dane identyfikacyjne |
| Numer telefonu | Tak | Dane kontaktowe |
| Krótka wiadomość | Nie | Dane opisowe |
| Zgoda na przetwarzanie danych (RODO) | Tak | Oświadczenie woli |
4.2. Dane z komunikacji mailowej
Jeśli napiszesz do nas bezpośrednio na adres email (np. [email protected] lub inny adres Aventium), przetwarzamy dane zawarte w Twojej wiadomości — przede wszystkim: Twój adres email, imię (jeśli je podasz), treść wiadomości, ewentualne załączniki.
4.3. Dane techniczne
Podczas Twojej wizyty w Serwisie automatycznie zbierane są niektóre dane techniczne:
- Adresy IP odwiedzających — zapisywane w logach serwera Cloudflare (krótka retencja, do celów bezpieczeństwa i ochrony przed atakami DDoS),
- User Agent przeglądarki — informacja o typie urządzenia i przeglądarce,
- Geolokalizacja na poziomie kraju — wynika z adresu IP, używana do dostarczania zawartości z najbliższego węzła CDN,
- Czas żądań HTTP — ślad techniczny dla potrzeb diagnostyki.
Te dane są przetwarzane wyłącznie w celach bezpieczeństwa i utrzymania działania Serwisu. Nie są wykorzystywane do profilowania ani identyfikacji pojedynczych użytkowników.
4.4. Dane techniczne (pliki cookies)
Podczas Twojej wizyty w Serwisie wykorzystujemy pliki cookies i podobne technologie. Szczegółowy wykaz znajdziesz w odrębnej Polityce cookies.
4.5. Czego NIE zbieramy
Dla jasności — Aventium nie zbiera żadnych danych wrażliwych w rozumieniu art. 9 RODO. Oznacza to, że nie zbieramy informacji o:
- pochodzeniu rasowym lub etnicznym,
- poglądach politycznych, przekonaniach religijnych lub światopoglądowych,
- przynależności do związków zawodowych,
- danych genetycznych ani biometrycznych,
- stanie zdrowia,
- życiu seksualnym lub orientacji seksualnej.
Aventium nie prowadzi również:
- newslettera ani mailingu marketingowego (na dzień wejścia w życie tej Polityki),
- kont użytkowników na stronie aventium.ai (Serwis ma charakter wyłącznie marketingowy, brak rejestracji),
- sklepu internetowego ani transakcji online.
5. W jakim celu i na jakiej podstawie przetwarzamy Twoje dane
Dla każdego rodzaju działania, które podejmujesz w kontakcie z Aventium, przedstawiamy poniżej cel przetwarzania, podstawę prawną (artykuł RODO) oraz okres przechowywania danych.
5.1. Wypełniasz formularz „Diagnoza AI" lub „Audyt Widoczności" (formularze pełne)
| Pole | Wartość |
|---|---|
| W jakim celu? | Przyjęcie Twojego zgłoszenia, kontakt w sprawie bezpłatnej diagnozy / audytu, przygotowanie wstępnej oferty usług Aventium |
| Na jakiej podstawie prawnej? | Art. 6 ust. 1 lit. a RODO — Twoja zgoda wyrażona poprzez zaznaczenie checkboxa „Zgoda na przetwarzanie danych osobowych" w formularzu. Dodatkowo: art. 6 ust. 1 lit. b RODO — podjęcie działań na Twoje żądanie przed zawarciem umowy. |
| Jak długo? | Do momentu wycofania zgody — lub do 3 lat od ostatniego kontaktu (jeśli nie nawiążemy współpracy) — lub przez okres obowiązywania umowy powiększony o okresy wskazane w sekcji 5.6 (jeśli zostaniesz klientem). |
| Co się stanie, jeśli nie podam danych? | Nie będziemy mogli skontaktować się z Tobą ani przeprowadzić bezpłatnej diagnozy / audytu. |
5.2. Wypełniasz formularz „Szybki kontakt" (callback)
| Pole | Wartość |
|---|---|
| W jakim celu? | Oddzwonienie do Ciebie na podany numer telefonu w sprawie interesujących Cię usług Aventium |
| Na jakiej podstawie prawnej? | Art. 6 ust. 1 lit. a RODO — Twoja zgoda wyrażona poprzez zaznaczenie checkboxa w formularzu. Dodatkowo: art. 6 ust. 1 lit. b RODO — podjęcie działań na Twoje żądanie przed zawarciem umowy. |
| Jak długo? | Do momentu wycofania zgody — lub do 3 lat od ostatniego kontaktu (jeśli nie nawiążemy współpracy). |
| Co się stanie, jeśli nie podam danych? | Nie będziemy mogli do Ciebie zadzwonić. |
5.3. Piszesz do nas mailowo (poza formularzem)
| Pole | Wartość |
|---|---|
| W jakim celu? | Obsługa Twojego zapytania, udzielenie odpowiedzi, prowadzenie bieżącej komunikacji |
| Na jakiej podstawie prawnej? | Art. 6 ust. 1 lit. f RODO — nasz prawnie uzasadniony interes polegający na obsłudze zapytań kierowanych do nas. W przypadku gdy Twoje zapytanie dotyczy umowy: art. 6 ust. 1 lit. b RODO. |
| Jak długo? | Przez 3 lata od ostatniego kontaktu — lub do momentu wniesienia przez Ciebie skutecznego sprzeciwu wobec przetwarzania. |
| Co się stanie, jeśli nie podam danych? | Nie będziemy mogli odpowiedzieć na Twoje zapytanie. |
5.4. Zostajesz klientem Aventium (po zawarciu umowy)
| Pole | Wartość |
|---|---|
| W jakim celu? | Realizacja usług Aventium (automatyzacja AI lub audyt widoczności), prowadzenie komunikacji w ramach projektu, rozliczenia finansowe, wystawianie faktur |
| Na jakiej podstawie prawnej? | Art. 6 ust. 1 lit. b RODO — wykonanie umowy zawartej z Tobą (lub z podmiotem, który reprezentujesz). Art. 6 ust. 1 lit. c RODO — wypełnienie obowiązków prawnych (rachunkowość, podatki). |
| Jak długo? | Przez okres obowiązywania umowy. Po jej zakończeniu — przez okres wymagany przepisami prawa, w szczególności przez 5 lat od końca roku, w którym zakończyła się współpraca (zgodnie z art. 74 ust. 2 ustawy z 29 września 1994 r. o rachunkowości) oraz przez okres przedawnienia ewentualnych roszczeń (sekcja 5.7). |
| Co się stanie, jeśli nie podam danych? | Nie będziemy mogli świadczyć usług na Twoją rzecz. |
5.5. Wsparcie analityczne przez narzędzia AI (LLM)
| Pole | Wartość |
|---|---|
| W jakim celu? | Wsparcie analityczne i operacyjne w obsłudze Twojego zgłoszenia — przygotowanie podsumowania zgłoszenia, propozycji odpowiedzi, wstępnej analizy potrzeb — do ręcznej weryfikacji przez człowieka przed podjęciem jakiejkolwiek decyzji lub wysłaniem odpowiedzi do Ciebie |
| Na jakiej podstawie prawnej? | Art. 6 ust. 1 lit. f RODO — nasz prawnie uzasadniony interes polegający na efektywnej obsłudze zgłoszeń. Nie stanowi to profilowania ani zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO — szczegóły w sekcji 9 i 10. |
| Jak długo? | Dane przekazywane do narzędzi AI są przetwarzane w ramach pojedynczego zadania i nie są wykorzystywane do dalszego trenowania modeli (zgodnie z politykami operatorów zabraniającymi treningu na danych API — OpenAI, Anthropic, Google). Ogólny okres przechowywania danych z formularza — taki sam jak w sekcjach 5.1–5.2. |
| Co się stanie, jeśli nie podam danych? | Nie dotyczy — narzędzia AI analizują dane, które już nam przekazałeś przez formularz. |
5.6. Rachunkowość, podatki i archiwizacja
| Pole | Wartość |
|---|---|
| W jakim celu? | Wypełnienie obowiązków prawnych nałożonych na Aventech Innovation Sp. z o.o. jako podatnika i podmiotu prowadzącego księgi rachunkowe |
| Na jakiej podstawie prawnej? | Art. 6 ust. 1 lit. c RODO w zw. z art. 74 ust. 2 ustawy o rachunkowości oraz art. 70 § 1 Ordynacji podatkowej |
| Jak długo? | 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku (dla dokumentacji podatkowej) oraz zgodnie z wymogami ustawy o rachunkowości. |
| Co się stanie, jeśli nie podam danych? | Bez danych niezbędnych do wystawienia faktury lub rozliczenia transakcji nie możemy zawrzeć umowy odpłatnej. |
5.7. Dochodzenie lub obrona roszczeń
| Pole | Wartość |
|---|---|
| W jakim celu? | Ustalenie, dochodzenie lub obrona ewentualnych roszczeń związanych z naszymi usługami lub zawartą umową |
| Na jakiej podstawie prawnej? | Art. 6 ust. 1 lit. f RODO — nasz prawnie uzasadniony interes |
| Jak długo? | Do upływu okresu przedawnienia roszczeń — standardowo 3 lata dla roszczeń związanych z prowadzoną działalnością gospodarczą (art. 118 Kodeksu cywilnego), 6 lat dla innych roszczeń cywilnych — lub do momentu uwzględnienia Twojego sprzeciwu, w zależności od tego, które zdarzenie nastąpi wcześniej. |
| Co się stanie, jeśli nie podam danych? | Nie dotyczy — to przetwarzanie następcze, oparte na danych już przez Ciebie podanych. |
5.8. Bezpieczeństwo Serwisu i ochrona przed atakami
| Pole | Wartość |
|---|---|
| W jakim celu? | Ochrona Serwisu przed nadużyciami (ataki DDoS, automatyczny ruch botów, próby exploitacji), zapewnienie integralności i dostępności Serwisu |
| Na jakiej podstawie prawnej? | Art. 6 ust. 1 lit. f RODO — nasz prawnie uzasadniony interes w zapewnieniu bezpieczeństwa Serwisu |
| Jak długo? | Krótki okres retencji logów Cloudflare (zgodnie z polityką dostawcy infrastruktury) |
| Co się stanie, jeśli nie podam danych? | Nie dotyczy — przetwarzanie automatyczne na poziomie infrastruktury sieciowej, niezależne od Twojego wypełnienia formularza |
6. Tabela okresów przechowywania (skonsolidowana)
Poniżej zbiorczo wszystkie okresy przechowywania wymienione w sekcji 5:
| Rodzaj danych | Okres | Podstawa |
|---|---|---|
| Dane z formularza kontaktowego (lead nieskonwertowany) | 3 lata od ostatniego kontaktu | art. 6 ust. 1 lit. a + okres przedawnienia roszczeń |
| Dane klienta po zakończeniu umowy | 5 lat od końca roku, w którym zakończyła się współpraca | art. 74 ust. 2 ustawy o rachunkowości |
| Dokumentacja podatkowa | 5 lat od końca roku, w którym upłynął termin płatności | art. 70 § 1 Ordynacji podatkowej |
| Korespondencja email poza formularzem | 3 lata od ostatniego kontaktu | art. 6 ust. 1 lit. f |
| Dane dotyczące roszczeń | Do upływu okresu przedawnienia (3–6 lat) | art. 118 Kodeksu cywilnego |
| Logi techniczne / dane bezpieczeństwa | Zgodnie z polityką dostawcy Cloudflare (krótka retencja) | art. 6 ust. 1 lit. f |
| Zgoda na przetwarzanie danych | Do wycofania zgody | art. 7 RODO |
Po upływie powyższych okresów Twoje dane są usuwane lub anonimizowane, chyba że istnieje inna podstawa prawna do ich dalszego przetwarzania.
7. Komu przekazujemy Twoje dane
Aby móc świadczyć usługi Aventium, korzystamy z zaufanych dostawców narzędzi — tak zwanych podmiotów przetwarzających (ang. processors). Przetwarzają oni Twoje dane wyłącznie na nasze udokumentowane polecenie, na podstawie zawartych umów powierzenia przetwarzania danych osobowych (art. 28 RODO).
Nie sprzedajemy Twoich danych żadnym podmiotom trzecim w celach marketingowych.
Poniżej pełna lista odbiorców Twoich danych:
7.1. Dostawca platformy formularzy — Filllout
| Pole | Wartość |
|---|---|
| Nazwa podmiotu | Filllout, Inc. |
| Siedziba | Stany Zjednoczone |
| Rola | Dostawca platformy do tworzenia i hostowania formularzy kontaktowych. Przechowuje dane wypełnionych formularzy na swoich serwerach. |
| Jakie dane otrzymuje? | Wszystkie dane, które wpisujesz w formularzach (zobacz sekcja 4.1) |
| Lokalizacja przetwarzania | Serwery w USA / EU (zależnie od planu) |
| Podstawa transferu do USA | Data Privacy Framework (DPF) — decyzja wykonawcza Komisji Europejskiej (UE) 2023/1795. Dodatkowo: standardowe klauzule umowne (SCC) |
| Polityka prywatności dostawcy | https://www.fillout.com/legal/privacy-policy |
7.2. Dostawca poczty firmowej — Google Workspace
| Pole | Wartość |
|---|---|
| Nazwa podmiotu | Google LLC |
| Siedziba | 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA |
| Rola | Dostawca poczty firmowej (Google Workspace) — skrzynki email w domenie aventium.ai, w tym obsługa zgłoszeń z formularzy. |
| Jakie dane otrzymuje? | Dane zawarte w wiadomościach email (imię, email, telefon, treść zgłoszenia z formularza, treść Twoich wiadomości) |
| Podstawa transferu do USA | Data Privacy Framework (DPF) + SCC |
| Polityka prywatności dostawcy | https://policies.google.com/privacy |
7.3. Dostawca platformy automatyzacji — Make
| Pole | Wartość |
|---|---|
| Nazwa podmiotu | Make (produkt Celonis SE) |
| Siedziba | Niemcy — Celonis SE, Theresienstraße 6, 80333 Monachium (Unia Europejska) |
| Rola | Platforma automatyzacji procesów biznesowych (workflow automation). Odbiera webhookami powiadomienia o nowych zgłoszeniach i koordynuje ich przetwarzanie. |
| Jakie dane otrzymuje? | Dane zawarte w zgłoszeniach z formularzy |
| Lokalizacja przetwarzania | Serwery w Unii Europejskiej (EOG) |
| Podstawa transferu | Nie dotyczy — przetwarzanie w EOG |
| Polityka prywatności dostawcy | https://www.make.com/en/privacy-notice |
7.4. Dostawcy narzędzi AI (LLM)
W ramach wsparcia analitycznego opisanego w sekcjach 5.5 i 9, korzystamy z następujących dostawców modeli językowych:
7.4.1. OpenAI (ChatGPT / API)
| Pole | Wartość |
|---|---|
| Nazwa podmiotu | OpenAI, L.L.C. |
| Siedziba | 3180 18th Street, San Francisco, CA 94110, USA |
| Rola | Dostawca modeli językowych (GPT) używanych do wsparcia analitycznego w obsłudze zgłoszeń |
| Podstawa transferu do USA | Data Privacy Framework (DPF) + SCC |
| Zakaz treningu na danych API | Zgodnie z polityką OpenAI, dane przesyłane przez API nie są wykorzystywane do trenowania modeli. |
| Polityka prywatności dostawcy | https://openai.com/policies/privacy-policy |
7.4.2. Anthropic (Claude)
| Pole | Wartość |
|---|---|
| Nazwa podmiotu | Anthropic PBC |
| Siedziba | San Francisco, Kalifornia, USA |
| Rola | Dostawca modeli językowych (Claude) używanych do wsparcia analitycznego |
| Podstawa transferu do USA | Data Privacy Framework (DPF) + SCC |
| Zakaz treningu na danych API | Zgodnie z polityką Anthropic, dane przesyłane przez API nie są wykorzystywane do trenowania modeli. |
| Polityka prywatności dostawcy | https://www.anthropic.com/legal/privacy |
7.4.3. Google (Gemini)
| Pole | Wartość |
|---|---|
| Nazwa podmiotu | Google LLC (ten sam podmiot co w 7.2) |
| Rola | Dostawca modeli językowych (Gemini) używanych do wsparcia analitycznego |
| Podstawa transferu do USA | Data Privacy Framework (DPF) + SCC |
| Polityka prywatności dostawcy | https://policies.google.com/privacy |
7.5. Dostawca hostingu i infrastruktury — Cloudflare
| Pole | Wartość |
|---|---|
| Nazwa podmiotu | Cloudflare, Inc. |
| Siedziba | 101 Townsend St., San Francisco, CA 94107, USA |
| Rola | Hosting Serwisu (Cloudflare Pages — czysty statyczny HTML), zarządzanie DNS, sieć CDN z węzłami edge na całym świecie (w tym w UE), ochrona przed atakami DDoS, terminacja szyfrowania HTTPS/TLS 1.3 |
| Jakie dane otrzymuje? | Dane techniczne odwiedzających Serwis: adresy IP, User Agents, geolokalizacja na poziomie kraju, czasy żądań HTTP. Cloudflare nie otrzymuje bezpośrednio danych z formularzy — te są obsługiwane przez Filllout w osadzonym iframe. |
| Lokalizacja przetwarzania | Globalna sieć edge — większość ruchu polskich odwiedzających obsługiwana z węzłów w UE (Polska, Niemcy, Holandia). Logi systemowe oraz funkcje analityczne mogą być agregowane w USA. |
| Certyfikacje | SOC 2 Type II, ISO 27001, ISO 27018, PCI DSS Level 1 |
| Podstawa transferu do USA | Data Privacy Framework (DPF) — Cloudflare jest podmiotem certyfikowanym. Dodatkowo: standardowe klauzule umowne (SCC) inkorporowane do DPA Cloudflare jako mechanizm zabezpieczający. |
| DPA / Polityka prywatności | DPA Cloudflare · Polityka prywatności |
7.6. Biuro księgowe
| Pole | Wartość |
|---|---|
| Nazwa podmiotu | Kancelaria Bombała Sp. z o.o. |
| Siedziba | ul. Pszczyńska 13, 41-902 Bytom, Polska |
| NIP / KRS | NIP: 6263040916, KRS: 0000872206 |
| Rola | Obsługa księgowa Aventech Innovation Sp. z o.o. — prowadzenie ksiąg rachunkowych, rozliczenia podatkowe, obsługa faktur |
| Jakie dane otrzymuje? | Dane kontrahentów (w tym klientów Aventium) niezbędne do wystawienia i zaksięgowania faktur: imię i nazwisko / nazwa firmy, NIP, adres, dane transakcji |
| Podstawa transferu | Nie dotyczy — przetwarzanie w Polsce |
| Strona internetowa | https://kancelariabombala.pl |
7.7. Repozytorium kodu źródłowego — GitHub
| Pole | Wartość |
|---|---|
| Nazwa podmiotu | GitHub, Inc. (spółka zależna Microsoft Corporation) |
| Siedziba | 88 Colin P. Kelly Jr St., San Francisco, CA 94107, USA |
| Rola | Hosting prywatnego repozytorium kodu źródłowego Serwisu (statyczny HTML, CSS, JavaScript) |
| Jakie dane otrzymuje? | Wyłącznie kod źródłowy Serwisu. Repozytorium nie zawiera danych osobowych odwiedzających ani klientów Aventium. |
| Status w kontekście RODO | Wymieniony dla pełnej transparentności — odwiedzający Serwis nie ma bezpośredniego kontaktu z infrastrukturą GitHub. |
| Podstawa transferu do USA | Data Privacy Framework (DPF) — GitHub jest podmiotem certyfikowanym. Dodatkowo: standardowe klauzule umowne (SCC). |
| DPA / Polityka prywatności | GitHub Data Protection Agreement |
7.8. Organy publiczne
W określonych przepisami prawa przypadkach jesteśmy zobowiązani udostępnić Twoje dane organom publicznym — na przykład sądom, prokuraturze, policji, Urzędowi Skarbowemu, ZUS. Udostępnienie następuje wyłącznie na ich udokumentowane żądanie i w zakresie wymaganym prawem.
8. Transfer danych poza Europejski Obszar Gospodarczy
Niektórzy z naszych dostawców narzędzi mają siedzibę poza EOG — konkretnie w Stanach Zjednoczonych. Dotyczy to:
- Cloudflare, Inc. (sekcja 7.5)
- Filllout, Inc. (sekcja 7.1)
- Google LLC (sekcje 7.2 i 7.4.3)
- OpenAI, L.L.C. (sekcja 7.4.1)
- Anthropic PBC (sekcja 7.4.2)
- GitHub, Inc. (sekcja 7.7)
W odniesieniu do tych transferów danych stosujemy następujące zabezpieczenia:
8.1. Data Privacy Framework (DPF) jako podstawa pierwotna
Wszystkie wymienione powyżej podmioty ze Stanów Zjednoczonych są certyfikowane w ramach Data Privacy Framework — programu pomiędzy UE a USA, zatwierdzonego decyzją wykonawczą Komisji Europejskiej (UE) 2023/1795 z dnia 10 lipca 2023 r., która stwierdza, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych z UE do certyfikowanych podmiotów amerykańskich.
Oznacza to, że przekazanie Twoich danych do tych podmiotów odbywa się na podstawie decyzji adekwatnościowej Komisji Europejskiej (art. 45 RODO) — najmocniejszej dostępnej w RODO podstawy transferu.
Listę podmiotów certyfikowanych możesz zweryfikować pod adresem: https://www.dataprivacyframework.gov/list
8.2. Standardowe klauzule umowne (SCC) jako wzmocnienie
Niezależnie od certyfikacji DPF, wszystkie wymienione podmioty stosują równolegle standardowe klauzule umowne zatwierdzone przez Komisję Europejską (decyzja wykonawcza KE (UE) 2021/914 z 4 czerwca 2021 r.), o których mowa w art. 46 ust. 2 lit. c RODO. Klauzule te są inkorporowane do umów DPA każdego dostawcy i pełnią rolę mechanizmu zabezpieczającego na wypadek gdyby certyfikacja DPF kiedykolwiek wygasła lub została zakwestionowana (precedens: orzeczenie TSUE w sprawie Schrems II, lipiec 2020 r., dotyczące unieważnienia poprzedniego programu Privacy Shield).
8.3. Lokalizacja przetwarzania w praktyce
W odniesieniu do Cloudflare — dostawcy infrastruktury hostingowej Serwisu — większość ruchu polskich odwiedzających Serwis obsługiwana jest z węzłów edge zlokalizowanych w Unii Europejskiej (Polska, Niemcy, Holandia). Faktyczne przekazanie danych do USA dotyczy ograniczonych zakresów (logi systemowe, agregowane statystyki).
9. Wykorzystanie narzędzi AI (LLM) do wsparcia komunikacji
Z racji profilu Aventium — agencji specjalizującej się w sztucznej inteligencji — chcemy być wobec Ciebie w pełni transparentni w kwestii wykorzystania AI we własnych procesach.
9.1. Do czego używamy AI
Korzystamy z modeli językowych (LLM) — ChatGPT (OpenAI), Claude (Anthropic), Gemini (Google) — do wsparcia analitycznego w obsłudze Twoich zgłoszeń. Konkretnie:
- Podsumowanie zgłoszenia — LLM pomaga nam skondensować treść dłuższego formularza w szybkie podsumowanie, żebyśmy mogli efektywniej przygotować się do rozmowy z Tobą.
- Wstępna propozycja odpowiedzi — LLM przygotowuje szkic odpowiedzi lub pytań uzupełniających, który następnie człowiek (Mateusz Górski — CEO Aventium) weryfikuje, edytuje i ewentualnie wysyła.
- Analiza branżowa — LLM może pomóc w zrozumieniu specyfiki Twojej branży i zaproponowaniu wstępnego kierunku rozmowy.
9.2. Czego AI w Aventium NIE robi
- NIE podejmuje decyzji biznesowych wobec Ciebie (np. czy odpowiemy, kiedy, w jakim priorytecie).
- NIE ocenia Cię jako klienta (nie scoreuje, nie kategoryzuje jako „hot lead" / „cold lead").
- NIE wysyła automatycznie żadnych odpowiedzi do Ciebie — wszystkie maile, które dostajesz od Aventium, są przeczytane i zaakceptowane przez człowieka przed wysyłką.
- NIE trenuje się na Twoich danych — zgodnie z politykami operatorów (OpenAI, Anthropic, Google), dane przesyłane przez API biznesowe nie są wykorzystywane do trenowania modeli publicznych.
9.3. Twoje prawo do sprzeciwu
Jeśli nie chcesz, aby Twoje dane z formularza były analizowane z wykorzystaniem narzędzi AI (nawet w asystującej roli opisanej powyżej), możesz wnieść sprzeciw zgodnie z art. 21 RODO, pisząc do nas na [email protected]. Wówczas Twoje zgłoszenie zostanie obsłużone wyłącznie ręcznie.
10. Profilowanie i zautomatyzowane podejmowanie decyzji
Aventium nie stosuje wobec Ciebie profilowania ani zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO, które wywoływałoby wobec Ciebie skutki prawne lub w podobny sposób istotnie na Ciebie wpływało.
W szczególności:
- Nie tworzymy Twojego profilu marketingowego,
- Nie scoreujemy Cię jako leada,
- Nie podejmujemy wobec Ciebie decyzji w sposób wyłącznie zautomatyzowany,
- Wszystkie istotne decyzje w Twojej sprawie (np. przygotowanie oferty, umówienie spotkania, odpowiedź na zapytanie) podejmowane są przez człowieka.
Narzędzia AI opisane w sekcji 9 pełnią wyłącznie rolę asystującą — nie rolę decydenta.
11. Bezpieczeństwo Twoich danych
Przetwarzając Twoje dane osobowe stosujemy środki techniczne i organizacyjne odpowiednie do ryzyka, zgodnie z art. 32 RODO. W szczególności:
11.1. Środki techniczne
- Szyfrowanie połączenia HTTPS / TLS 1.3 dla całego ruchu w Serwisie — zapewniane automatycznie przez infrastrukturę Cloudflare,
- HSTS (HTTP Strict Transport Security) — wymuszenie szyfrowanych połączeń przez przeglądarki użytkowników,
- Ochrona przed atakami DDoS — Cloudflare Bot Management i WAF (Web Application Firewall) na poziomie infrastruktury,
- Brak własnej bazy danych po stronie Serwisu — Serwis to czysty statyczny HTML, dane osobowe są przekazywane wyłącznie do podmiotów wymienionych w sekcji 7 (Filllout, Make, Google Workspace), żadne dane osobowe nie są przechowywane bezpośrednio na serwerach Cloudflare ani w infrastrukturze własnej Aventium,
- Szyfrowanie danych w spoczynku u wszystkich dostawców wymienionych w sekcji 7,
- Kontrola dostępu — dostęp do Twoich danych mają wyłącznie osoby upoważnione, w zakresie niezbędnym do wykonywania obowiązków,
- Kopie zapasowe danych u dostawców poczty i platform,
- Monitoring bezpieczeństwa po stronie dostawców infrastruktury (Cloudflare, Google Workspace, Filllout, Make) — posiadają certyfikaty SOC 2, ISO 27001 lub równoważne.
11.2. Środki organizacyjne
- Umowy powierzenia przetwarzania danych (art. 28 RODO) zawarte ze wszystkimi podmiotami przetwarzającymi (na podstawie publicznie dostępnych DPA dostawców),
- Zasada minimalizacji danych — zbieramy tylko dane niezbędne do realizacji celu,
- Regularny przegląd zabezpieczeń i dostępów.
11.3. W przypadku naruszenia ochrony danych
Jeżeli doszłoby do naruszenia ochrony Twoich danych osobowych, zgodnie z art. 33 i 34 RODO:
- Zgłosimy naruszenie do Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od jego stwierdzenia (jeżeli istnieją takie prawne obowiązki),
- Poinformujemy Cię bez zbędnej zwłoki, jeśli naruszenie może skutkować wysokim ryzykiem dla Twoich praw i wolności.
12. Pliki cookies
Nasz Serwis wykorzystuje pliki cookies i podobne technologie (Local Storage, Session Storage). Szczegółowe informacje — jakie konkretnie pliki, w jakim celu, na jaki czas — znajdziesz w odrębnej Polityce cookies.
W skrócie:
- Cookies niezbędne są aktywne zawsze (nie wymagają Twojej zgody) — zapamiętanie wyboru w panelu zgód, ochrona przed botami (Cloudflare), działanie formularza kontaktowego (Filllout).
- Cookies analityczne, marketingowe i funkcjonalne są aktywowane wyłącznie za Twoją zgodą, którą możesz wyrazić lub wycofać w panelu zgód dostępnym w Serwisie.
- Obecnie Serwis nie wykorzystuje cookies analitycznych, marketingowych ani funkcjonalnych. Planowane jest wdrożenie Cloudflare Web Analytics (cookieless — nie wymaga zgody) oraz w dalszej kolejności Google Analytics 4 (wymaga zgody — wówczas zaktualizujemy Politykę cookies).
13. Twoje prawa — szczegółowo
Poniżej szczegółowy opis wszystkich praw, które przysługują Ci na mocy RODO.
13.1. Prawo dostępu do danych (art. 15 RODO)
Możesz uzyskać od nas potwierdzenie, czy przetwarzamy Twoje dane osobowe, oraz otrzymać ich kopię wraz z informacją o:
- celach przetwarzania,
- kategoriach przetwarzanych danych,
- odbiorcach danych,
- planowanym okresie przechowywania,
- przysługujących Ci prawach,
- źródle danych (jeśli nie pochodzą od Ciebie),
- ewentualnym profilowaniu.
13.2. Prawo do sprostowania (art. 16 RODO)
Masz prawo żądać sprostowania danych nieprawidłowych lub uzupełnienia danych niekompletnych.
13.3. Prawo do usunięcia danych („prawo do bycia zapomnianym") (art. 17 RODO)
Możesz żądać usunięcia Twoich danych, jeżeli:
- dane nie są już niezbędne do celów, dla których zostały zebrane,
- wycofałeś/aś zgodę, a nie ma innej podstawy przetwarzania,
- wniosłeś/aś skuteczny sprzeciw wobec przetwarzania,
- dane były przetwarzane niezgodnie z prawem.
Uwaga: Nie w każdym przypadku musimy usunąć Twoje dane — np. jeśli mamy obowiązek prawny ich dalszego przetwarzania (np. dla rachunkowości). W takim przypadku wyjaśnimy Ci, dlaczego i na jak długo musimy je zachować.
13.4. Prawo do ograniczenia przetwarzania (art. 18 RODO)
Możesz żądać wstrzymania przetwarzania Twoich danych (zachowujemy je, ale nie używamy), jeżeli:
- kwestionujesz prawidłowość danych — na czas ich weryfikacji,
- przetwarzanie jest niezgodne z prawem, a sprzeciwiasz się ich usunięciu,
- nie potrzebujemy już danych, ale Ty potrzebujesz ich do dochodzenia roszczeń,
- wniosłeś/aś sprzeciw — na czas jego rozpatrzenia.
13.5. Prawo do przenoszenia danych (art. 20 RODO)
Możesz otrzymać od nas swoje dane w ustrukturyzowanym, powszechnie używanym formacie elektronicznym (np. CSV, JSON) — pod warunkiem, że przetwarzanie odbywa się na podstawie Twojej zgody lub umowy i jest zautomatyzowane.
13.6. Prawo do sprzeciwu (art. 21 RODO)
Możesz wnieść sprzeciw wobec przetwarzania Twoich danych opartego na naszym prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO) — w tym wobec:
- wsparcia analitycznego przez narzędzia AI (sekcja 5.5),
- przetwarzania dla celów dochodzenia roszczeń (sekcja 5.7),
- przetwarzania dla celów bezpieczeństwa Serwisu (sekcja 5.8),
- korespondencji mailowej (sekcja 5.3).
W takim przypadku zaprzestaniemy przetwarzania — chyba że wykażemy istnienie ważnych prawnie uzasadnionych podstaw nadrzędnych wobec Twoich interesów, praw i wolności.
13.7. Prawo do wycofania zgody (art. 7 ust. 3 RODO)
Jeśli przetwarzanie odbywa się na podstawie Twojej zgody (np. zaznaczenie checkboxa w formularzu), możesz ją w każdej chwili wycofać. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na jej podstawie przed wycofaniem.
13.8. Prawo do wniesienia skargi
Jeżeli uważasz, że przetwarzamy Twoje dane niezgodnie z prawem, masz prawo wnieść skargę do organu nadzorczego:
Prezes Urzędu Ochrony Danych Osobowych
ul. Stawki 2
00-193 Warszawa
https://uodo.gov.pl
13.9. Jak skorzystać z praw
Aby skorzystać z dowolnego z powyższych praw:
- Napisz do nas na [email protected] — opisz, z którego prawa chcesz skorzystać.
- Zweryfikujemy Twoją tożsamość (możemy poprosić Cię o podanie dodatkowych informacji, aby upewnić się, że żądanie pochodzi od osoby uprawnionej).
- Odpowiemy w ciągu 1 miesiąca od otrzymania żądania (w wyjątkowych przypadkach możemy przedłużyć ten termin o kolejne 2 miesiące, informując Cię o przyczynach opóźnienia).
- Korzystanie z praw jest dla Ciebie bezpłatne — chyba że żądanie jest ewidentnie nieuzasadnione lub nadmierne (np. powtarzające się bez uzasadnienia), w takim przypadku możemy pobrać rozsądną opłatę lub odmówić działania.
14. Zmiany w Polityce prywatności
Zastrzegamy sobie prawo do zmiany niniejszej Polityki prywatności, w szczególności w przypadku:
- wdrożenia nowych narzędzi lub usług, które wpływają na sposób przetwarzania Twoich danych,
- zmiany podmiotów przetwarzających lub dodania nowych,
- zmian w obowiązujących przepisach prawa,
- zmian w architekturze technicznej Aventium lub Serwisu.
Każda zmiana zostanie odzwierciedlona poprzez:
- aktualizację daty „Ostatnia aktualizacja" na początku dokumentu,
- zwiększenie numeru wersji dokumentu,
- w przypadku istotnych zmian — dodatkowo wyraźne poinformowanie Cię (np. przez email, jeśli jesteś naszym klientem, lub przez komunikat na stronie).
Aktualna wersja Polityki jest zawsze dostępna pod adresem https://aventium.ai/polityka-prywatnosci.
15. Kontakt
W sprawach dotyczących ochrony danych osobowych, realizacji Twoich praw lub jakichkolwiek pytań związanych z niniejszą Polityką prywatności — skontaktuj się z nami:
AVENTECH INNOVATION Sp. z o.o.
ul. Kędzierzyńska 17
41-902 Bytom
KRS: 0000942894
Sąd Rejestrowy: Sąd Rejonowy Katowice-Wschód w Katowicach, VIII Wydział Gospodarczy KRS
NIP: 6252480528
REGON: 520804227
Kapitał zakładowy: 5000,00 zł
E-mail: [email protected]
Strona internetowa: https://aventium.ai
Odpowiadamy w ciągu 7 dni roboczych (a na wnioski dotyczące realizacji praw z RODO — zgodnie z terminem 1 miesiąca przewidzianym w art. 12 ust. 3 RODO).
Wersja dokumentu: 0.2 · Status: do weryfikacji prawnej · Stan po migracji infrastruktury z Lovable na Cloudflare Pages