Polityka prywatności aplikacji Hej Tosia

1. Postanowienia ogólne

Niniejsza Polityka Prywatności opisuje zasady przetwarzania danych osobowych w związku z korzystaniem z aplikacji „Hej Tosia”, w tym z funkcji opartych o sztuczną inteligencję, funkcji głosowych, analizy załączników, integracji z usługami zewnętrznymi oraz funkcji rozliczeniowych.

Polityka ma zastosowanie do osób korzystających z aplikacji mobilnej, aplikacji webowej oraz powiązanych usług cyfrowych oferowanych w ramach produktu Hej Tosia.

Administratorem danych osobowych jest Taxedo Sp. z o.o. z siedzibą w Gdańsku, Aleja Grunwaldzka 472C, 80-309 Gdańsk, NIP: 5833439225, e-mail: [email protected], tel.: 58 500 88 67, dalej jako „Administrator” albo „Taxedo”.

Administrator dokłada należytej staranności, aby dane były przetwarzane zgodnie z obowiązującymi przepisami prawa, w szczególności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 („RODO”), oraz z poszanowaniem zasad przejrzystości, minimalizacji danych i bezpieczeństwa.

2. Zakres Polityki

Niniejsza Polityka obejmuje dane przetwarzane w związku z:

  1. utworzeniem i utrzymaniem konta użytkownika,
  2. korzystaniem z funkcji czatu AI,
  3. przesyłaniem wiadomości, poleceń, dokumentów, plików i obrazów,
  4. korzystaniem z funkcji głosowych, w tym rozpoznawania mowy i syntezy mowy,
  5. korzystaniem z integracji aktywowanych przez użytkownika,
  6. korzystaniem z funkcji rozliczeniowych i zakupów cyfrowych,
  7. kontaktem z Administratorem, wsparciem technicznym i zgłoszeniami błędów,
  8. zapewnieniem bezpieczeństwa, ciągłości działania oraz poprawy jakości usług.

3. Kategorie przetwarzanych danych

W zależności od zakresu korzystania z aplikacji Administrator może przetwarzać następujące kategorie danych:

3.1. Dane konta użytkownika

Może to obejmować w szczególności:

  1. imię i nazwisko,
  2. adres e-mail,
  3. numer telefonu,
  4. dane logowania i identyfikatory konta,
  5. dane o uprawnieniach, ustawieniach konta i preferencjach użytkownika,
  6. informacje o statusie subskrypcji, pakietach tokenów i historii rozliczeń.

3.2. Dane przekazywane w treści korzystania z aplikacji

Może to obejmować w szczególności:

  1. treść wiadomości, pytań, poleceń i promptów wpisywanych przez użytkownika,
  2. historię konwersacji i kontekst niezbędny do wygenerowania odpowiedzi,
  3. dokumenty, pliki, obrazy, załączniki i inne materiały przesyłane przez użytkownika,
  4. dane zawarte w materiałach przekazanych do analizy lub opracowania,
  5. treść odpowiedzi generowanych w ramach działania aplikacji.

3.3. Dane głosowe

Jeżeli użytkownik korzysta z funkcji głosowych, Administrator może przetwarzać:

  1. dane audio przekazywane przez mikrofon,
  2. transkrypcje wypowiedzi użytkownika,
  3. komendy głosowe,
  4. dane niezbędne do syntezy odpowiedzi głosowych.

Dane głosowe nie są wykorzystywane do identyfikacji biometrycznej użytkownika.

3.4. Dane z integracji aktywowanych przez użytkownika

Jeżeli użytkownik sam połączy aplikację z usługami zewnętrznymi, Administrator może przetwarzać dane pochodzące z tych integracji w zakresie niezbędnym do wykonania żądanej funkcji, w szczególności:

  1. dane z poczty elektronicznej,
  2. dane z kalendarzy,
  3. dane z chmury plików,
  4. dane z komunikatorów biznesowych,
  5. dane z systemów księgowych, kadrowych lub innych systemów biznesowych połączonych przez użytkownika lub organizację użytkownika.

Zakres danych zależy od rodzaju integracji, zakresu udzielonego dostępu i czynności wykonanych przez użytkownika.

3.5. Dane techniczne i eksploatacyjne

Administrator może również przetwarzać:

  1. adres IP,
  2. identyfikatory urządzenia i sesji,
  3. informacje o systemie operacyjnym, wersji aplikacji, typie urządzenia i przeglądarce,
  4. logi techniczne, diagnostyczne i bezpieczeństwa,
  5. informacje o błędach aplikacji i zdarzeniach systemowych,
  6. dane dotyczące sposobu korzystania z funkcji aplikacji.

3.6. Dane płatnicze i rozliczeniowe

W związku z zakupami i rozliczeniami Administrator może przetwarzać:

  1. dane o wykupionych pakietach i zakupionych produktach,
  2. identyfikatory transakcji,
  3. informacje o statusie płatności,
  4. dane fakturowe i kontaktowe,
  5. dane dotyczące płatności obsługiwanych przez operatorów płatności lub Apple.

Administrator nie przechowuje pełnych danych karty płatniczej, jeśli są one obsługiwane bezpośrednio przez zewnętrznych operatorów płatności.

4. Cele i podstawy przetwarzania danych

Dane osobowe są przetwarzane w następujących celach:

4.1. Utworzenie i obsługa konta użytkownika

W celu rejestracji, logowania, uwierzytelnienia, utrzymania konta i obsługi ustawień użytkownika.

Podstawa prawna:
art. 6 ust. 1 lit. b RODO.

4.2. Świadczenie funkcji aplikacji

W celu umożliwienia korzystania z czatu, analizy treści, pracy na załącznikach, generowania odpowiedzi oraz wykonywania działań żądanych przez użytkownika.

Podstawa prawna:
art. 6 ust. 1 lit. b RODO.

4.3. Świadczenie funkcji AI

W celu:

  1. generowania odpowiedzi przez modele AI,
  2. analizy treści wiadomości, dokumentów, obrazów i innych plików,
  3. przetwarzania kontekstu rozmowy niezbędnego do wygenerowania odpowiedzi,
  4. rozpoznawania mowy, transkrypcji i obsługi funkcji głosowych,
  5. syntezy mowy i generowania odpowiedzi audio.

Podstawa prawna:
art. 6 ust. 1 lit. b RODO, a w zakresie wymagającym uprzedniego potwierdzenia przez użytkownika również art. 6 ust. 1 lit. a RODO.

4.4. Obsługa integracji zewnętrznych

W celu umożliwienia dostępu do danych z usług i systemów, które użytkownik sam połączył z aplikacją, oraz wykonania działań zainicjowanych przez użytkownika z wykorzystaniem tych integracji.

Podstawa prawna:
art. 6 ust. 1 lit. b RODO.

4.5. Rozliczenia, płatności i zakupy cyfrowe

W celu obsługi subskrypcji, pakietów tokenów, zakupów cyfrowych, rozliczeń, weryfikacji płatności i obsługi reklamacji.

Podstawa prawna:
art. 6 ust. 1 lit. b RODO oraz art. 6 ust. 1 lit. c RODO, jeśli wymagają tego przepisy podatkowe lub rachunkowe.

4.6. Bezpieczeństwo, zapobieganie nadużyciom i utrzymanie jakości usług

W celu wykrywania nadużyć, zapewnienia bezpieczeństwa kont i infrastruktury, diagnozowania błędów, utrzymania stabilności usług oraz obrony przed roszczeniami.

Podstawa prawna:
art. 6 ust. 1 lit. f RODO.

4.7. Kontakt z użytkownikiem i obsługa wsparcia

W celu odpowiadania na pytania, zgłoszenia i reklamacje, a także rozwiązywania problemów technicznych.

Podstawa prawna:
art. 6 ust. 1 lit. b RODO lub art. 6 ust. 1 lit. f RODO, w zależności od charakteru kontaktu.

5. Zgoda na korzystanie z zewnętrznych usług AI

Przed pierwszym użyciem funkcji AI aplikacja informuje użytkownika o tym, że określone dane mogą zostać przekazane do zewnętrznych dostawców AI, wskazuje tych dostawców, zakres danych oraz cel przetwarzania.

Użytkownik musi wyrazić zgodę na takie przetwarzanie przed rozpoczęciem korzystania z funkcji AI, jeżeli wymaga tego charakter usługi, sposób prezentacji funkcji lub obowiązujące wymagania regulacyjne i platformowe.

Brak wyrażenia zgody może uniemożliwić korzystanie z funkcji AI lub części funkcji głosowych.

Wyrażenie zgody nie pozbawia użytkownika praw wynikających z RODO, w tym prawa do cofnięcia zgody, jeśli dana operacja przetwarzania jest wykonywana na podstawie zgody.

6. Odbiorcy danych

Dane mogą być udostępniane wyłącznie podmiotom, które współpracują z Administratorem przy realizacji usług, i wyłącznie w zakresie niezbędnym do wykonania określonej funkcji.

W związku z korzystaniem z aplikacji Hej Tosia odbiorcami danych mogą być w szczególności:

6.1. Dostawcy usług AI i głosowych

W zależności od używanej funkcji i aktywnej konfiguracji technicznej dane mogą być przekazywane do:

  1. OpenAI,
  2. Microsoft Azure OpenAI,
  3. Google Gemini,
  4. ElevenLabs,
  5. Microsoft Azure Speech Services.

Zakres danych przekazywanych do tych dostawców może obejmować:

  1. treść wiadomości i promptów,
  2. historię rozmowy lub jej fragment niezbędny do wygenerowania odpowiedzi,
  3. dokumenty, obrazy, załączniki i inne treści przesłane przez użytkownika,
  4. dane audio i transkrypcje, jeżeli użytkownik korzysta z funkcji głosowych.

Dane są przekazywane wyłącznie w zakresie niezbędnym do realizacji funkcji żądanej przez użytkownika.

6.2. Dostawcy integracji i infrastruktury

W zależności od działań użytkownika i podłączonych usług odbiorcami danych mogą być również:

  1. Microsoft, w zakresie usług Microsoft 365, Exchange, Teams, OneDrive, SharePoint, Azure AD oraz usług powiązanych,
  2. dostawcy poczty elektronicznej i usług IMAP,
  3. dostawcy hostingu, infrastruktury chmurowej, przechowywania danych i monitoringu technicznego,
  4. dostawcy narzędzi wspierających autoryzację, bezpieczeństwo i utrzymanie działania aplikacji.

6.3. Dostawcy płatności i rozliczeń

W związku z płatnościami i zakupami odbiorcami danych mogą być:

  1. Apple, w zakresie transakcji dokonywanych przez In-App Purchase,
  2. operatorzy płatności wykorzystywani do rozliczeń poza App Store,
  3. podmioty wspierające wystawianie dokumentów księgowych i obsługę rozliczeń.

Administrator nie sprzedaje danych osobowych użytkowników.

7. Przekazywanie danych poza Europejski Obszar Gospodarczy

W związku z korzystaniem z zewnętrznych usług technologicznych, w tym usług AI, głosowych, hostingowych lub integracyjnych, dane mogą być przekazywane poza Europejski Obszar Gospodarczy.

Jeżeli dochodzi do takiego przekazania, Administrator stosuje odpowiednie mechanizmy wymagane przez RODO, w szczególności standardowe klauzule umowne, decyzje stwierdzające odpowiedni stopień ochrony lub inne dopuszczalne prawem podstawy transferu danych.

8. Okres przechowywania danych

Dane przechowujemy przez okres niezbędny do realizacji celu, dla którego zostały zebrane, a następnie przez okres wymagany przepisami prawa lub uzasadniony ochroną interesów Administratora.

Co do zasady dane mogą być przechowywane:

  1. przez czas trwania konta użytkownika i świadczenia usług,
  2. przez czas niezbędny do obsługi integracji aktywowanych przez użytkownika,
  3. przez okres wymagany przepisami podatkowymi, rachunkowymi lub archiwizacyjnymi,
  4. przez okres niezbędny do rozpatrzenia reklamacji i obrony przed roszczeniami,
  5. przez okres wynikający z udzielonej zgody albo do czasu jej wycofania, jeśli przetwarzanie odbywa się na podstawie zgody,
  6. przez okres technicznie uzasadniony dla logów bezpieczeństwa i diagnostyki.

Dane przekazywane do zewnętrznych dostawców usług mogą być również przechowywane zgodnie z ich politykami retencji, w zakresie niezbędnym do świadczenia usługi, zapewnienia bezpieczeństwa i zgodności z prawem.

9. Prawa użytkownika

Osobie, której dane dotyczą, przysługują prawa wynikające z RODO, w szczególności:

  1. prawo dostępu do danych,
  2. prawo sprostowania danych,
  3. prawo usunięcia danych, jeżeli zachodzą przesłanki ustawowe,
  4. prawo ograniczenia przetwarzania,
  5. prawo przenoszenia danych,
  6. prawo sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie Administratora,
  7. prawo cofnięcia zgody w dowolnym momencie, jeżeli przetwarzanie odbywa się na podstawie zgody,
  8. prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

W celu wykonania swoich praw użytkownik może skontaktować się z Administratorem pod adresem: [email protected].

10. Bezpieczeństwo danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne mające na celu ochronę danych, w tym środki chroniące przed nieuprawnionym dostępem, utratą, zniszczeniem, zmianą lub bezprawnym ujawnieniem danych.

Środki te mogą obejmować w szczególności:

  1. kontrolę dostępu,
  2. uwierzytelnianie i autoryzację użytkowników,
  3. szyfrowanie transmisji,
  4. monitoring bezpieczeństwa,
  5. logowanie zdarzeń,
  6. kopie zapasowe,
  7. ograniczanie zakresu dostępu do danych,
  8. procedury reagowania na incydenty.

Administrator współpracuje wyłącznie z takimi dostawcami usług, którzy są zobowiązani do zapewnienia odpowiedniego poziomu ochrony danych i stosowania środków bezpieczeństwa odpowiadających charakterowi przetwarzania.

11. Dobrowolność podania danych

Podanie danych jest co do zasady dobrowolne, jednak w wielu przypadkach jest niezbędne do utworzenia konta, korzystania z funkcji aplikacji, realizacji zakupu, użycia funkcji AI lub integracji z wybranymi usługami.

Niepodanie określonych danych może uniemożliwić korzystanie z części lub całości funkcji aplikacji.

12. Dane dzieci i kont zależnych

Aplikacja nie jest przeznaczona do samodzielnego korzystania przez dzieci poniżej wieku dopuszczalnego przez obowiązujące przepisy bez udziału osoby uprawnionej.

Jeżeli w ramach aplikacji dostępne są konta zależne, podrzędne lub konta zarządzane przez innego użytkownika, dane w takim koncie są przetwarzane w zakresie niezbędnym do realizacji funkcji przypisanych do takiego modelu korzystania z usługi.

13. Zmiany Polityki Prywatności

Administrator może aktualizować niniejszą Politykę Prywatności w szczególności w przypadku:

  1. zmiany przepisów prawa,
  2. rozwoju funkcji aplikacji,
  3. zmiany wykorzystywanych dostawców lub technologii,
  4. zmiany sposobu przetwarzania danych.

Aktualna wersja Polityki Prywatności jest publikowana w miejscu udostępnianym użytkownikowi przez Administratora.

14. Kontakt

W sprawach dotyczących przetwarzania danych osobowych można kontaktować się z Administratorem:

Taxedo Sp. z o.o.
Aleja Grunwaldzka 472C
80-309 Gdańsk
NIP: 5833439225
E-mail: [email protected]
Telefon: 58 500 88 67