Polityka Prywatności

1. Wstęp

Niniejsza Polityka Prywatności określa zasady przetwarzania i ochrony danych osobowych w związku z korzystaniem z platformy BetterCX dostępnej pod adresem https://app.bettercx.ai/ (dalej: „Platforma” lub „System”).

Polityka została opracowana w oparciu o obowiązujące przepisy prawa, w szczególności:

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (dalej: „RODO”);
• Ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych;
• Ustawę z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną;
• Ustawę z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne;
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji (AI Act);
• inne mające zastosowanie przepisy prawa polskiego i unijnego.

2. Administrator danych osobowych

Administratorem danych osobowych przetwarzanych w związku z funkcjonowaniem Platformy jest:

AppWave Sp. z o.o. z siedzibą w Łodzi (adres: ul. Kolumny 147E/1, 93-611 Łódź), wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: 0001193213, NIP: 9820394623, REGON: 542683999 (dalej: „Administrator”).

Kontakt w sprawach ochrony danych osobowych:

[email protected]

3. Definicje

• Platforma – aplikacja internetowa BetterCX dostępna pod adresem https://app.bettercx.ai/, służąca do automatyzacji komunikacji z klientami z wykorzystaniem sztucznej inteligencji.
• Użytkownik – podmiot (przedsiębiorca lub jego pracownik), który zarejestrował konto na Platformie i korzysta z jej funkcjonalności.
• Użytkownik Końcowy – osoba fizyczna (klient Użytkownika), której dane osobowe są przetwarzane za pośrednictwem Platformy w ramach komunikacji prowadzonej przez Użytkownika.
• AI / Sztuczna Inteligencja – system oparty na modelach językowych dostarczanych przez OpenAI, wykorzystywany w Platformie do analizy tekstu, generowania odpowiedzi i automatyzacji komunikacji.
• Dane Osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej w rozumieniu art. 4 pkt 1 RODO.

4. Role w przetwarzaniu danych osobowych

4.1. Administrator danych

AppWave Sp. z o.o. jest administratorem danych osobowych Użytkowników Platformy, tj. osób rejestrujących konto, korzystających z funkcjonalności Platformy, dokonujących płatności oraz kontaktujących się z Administratorem.

4.2. Podmiot przetwarzający (procesor)

W odniesieniu do danych osobowych Użytkowników Końcowych (klientów naszych Użytkowników), AppWave Sp. z o.o. pełni rolę podmiotu przetwarzającego (procesora) w rozumieniu art. 28 RODO. Administratorem tych danych jest Użytkownik Platformy, który samodzielnie określa cele i środki przetwarzania danych swoich klientów.

Przetwarzanie danych Użytkowników Końcowych odbywa się na podstawie umowy powierzenia przetwarzania danych osobowych (Data Processing Agreement – DPA) zawieranej pomiędzy AppWave Sp. z o.o. a Użytkownikiem.

5. Kategorie i zakres przetwarzanych danych osobowych

5.1. Dane Użytkowników Platformy

W ramach rejestracji i korzystania z Platformy przetwarzamy następujące dane Użytkowników:

• imię i nazwisko;
• adres e-mail;
• hasło (w formie zaszyfrowanej);
• numer telefonu (wymagany do aktywacji konta – weryfikacja kodem SMS);
• dane rozliczeniowe (w zakresie obsługi płatności przez Stripe);
• dane dotyczące konfiguracji konta i ustawień systemu AI;
• logi aktywności na Platformie.

5.2. Dane Użytkowników Końcowych

Za pośrednictwem Platformy mogą być przetwarzane dane Użytkowników Końcowych, których zakres zależy od konfiguracji systemu AI dokonanej przez Użytkownika. Mogą to być w szczególności:

• imię i nazwisko;
• adres e-mail;
• numer telefonu;
• treść korespondencji (e-mail, czat, wiadomości w mediach społecznościowych);
• inne dane podawane dobrowolnie w toku komunikacji z systemem AI (np. kwota zadłużenia, numer zamówienia, preferencje – w zależności od konfiguracji Użytkownika).

Zakres danych Użytkowników Końcowych jest określany przez Użytkownika (administratora tych danych).

Administrator Platformy nie ma wpływu na to, jakie dane Użytkownik Końcowy poda w toku komunikacji z systemem AI.

6. Cele i podstawy prawne przetwarzania danych

7. Przetwarzanie danych z wykorzystaniem sztucznej inteligencji

7.1. Informacja ogólna

Platforma BetterCX wykorzystuje modele sztucznej inteligencji dostarczane przez OpenAI (OpenAI, L.L.C., San Francisco, USA) za pośrednictwem interfejsu API. System AI służy do:

• analizy treści wiadomości przychodzących (e-mail, czat, media społecznościowe);
• automatycznego generowania odpowiedzi i ich wysyłania;
• zbierania danych osobowych podawanych przez Użytkowników Końcowych w toku konwersacji;
• obsługi klientów Użytkowników na stronach internetowych, w czatach i przez komunikatory.

7.2. Zasady przetwarzania danych przez OpenAI

Dane przesyłane do OpenAI za pośrednictwem API są przetwarzane zgodnie z następującymi zasadami deklarowanymi przez OpenAI:

• OpenAI nie wykorzystuje danych przesyłanych przez API do trenowania swoich modeli AI (domyślnie);
• dane wejściowe i wyjściowe przechowywane są w logach OpenAI przez okres do 30 dni w celu monitorowania nadużyć, po czym są automatycznie usuwane;
• dane są szyfrowane w spoczynku (AES-256) oraz podczas transmisji (TLS 1.2+);
• OpenAI posiada certyfikację SOC 2 Type 2;
• OpenAI jest certyfikowanym uczestnikiem programu EU-US Data Privacy Framework.

Szczegółowe informacje o polityce ochrony danych OpenAI: https://openai.com/business-data/ | https://developers.openai.com/api/docs/guides/your-data/ | https://openai.com/policies/

7.3. Automatyczne podejmowanie decyzji i profilowanie

System AI automatycznie analizuje treść wiadomości w celu generowania odpowiedzi i zbierania danych. Nie jest to jednak zautomatyzowane podejmowanie decyzji wywołujące skutki prawne lub w podobny sposób istotnie wpływające na osoby, których dane dotyczą, w rozumieniu art. 22 RODO. System AI pełni rolę narzędzia wspierającego komunikację, a Użytkownik zachowuje pełną kontrolę nad konfiguracją i treścią odpowiedzi generowanych przez AI.

Użytkownik Końcowy ma prawo do uzyskania interwencji ludzkiej ze strony Użytkownika (administratora swoich danych), do wyrażenia własnego stanowiska i do zakwestionowania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu.

7.4. Obowiązki informacyjne wynikające z AI Act

Zgodnie z Rozporządzeniem (UE) 2024/1689 (AI Act), informujemy że:

• Platforma wykorzystuje system sztucznej inteligencji oparty na dużych modelach językowych (LLM) dostarczanych przez OpenAI;
• treści generowane przez AI mogą nie być w pełni dokładne – Użytkownik powinien weryfikować kluczowe informacje;
• Użytkownicy Końcowi komunikujący się za pośrednictwem czatu, e-maila lub komunikatora obsługiwanego przez Platformę powinni zostać poinformowani, że komunikują się z systemem AI;
• Użytkownik Platformy jest odpowiedzialny za zapewnienie prawidłowego oznaczenia komunikacji prowadzonej przez AI wobec swoich klientów.

8. Odbiorcy danych i podmioty przetwarzające

W celu realizacji usług Platformy dane osobowe mogą być przekazywane następującym kategoriom odbiorców:

8.1. Dostawca usług AI

OpenAI, L.L.C. (San Francisco, USA) – przetwarzanie danych za pośrednictwem API w celu analizy tekstu i generowania odpowiedzi. Transfer danych do USA odbywa się na podstawie EU-US Data Privacy Framework oraz standardowych klauzul umownych (SCC).

8.2. Infrastruktura i hosting

Amazon Web Services (AWS) – serwery zlokalizowane w Europie (region EU), na których przechowywane są dane Platformy i baza danych Użytkowników.

8.3. Obsługa płatności

Stripe, Inc. (USA / Irlandia) – przetwarzanie płatności, w tym w modelu Stripe Connect umożliwiającym pobieranie przedpłat w imieniu Użytkowników w związku z rezerwacjami kalendarza.

Stripe jest niezależnym administratorem danych w zakresie realizacji transakcji płatniczych. Dane płatnicze (dane kart) są przetwarzane bezpośrednio przez Stripe – Administrator Platformy nie ma do nich dostępu.

8.4. Integracje z platformami zewnętrznymi

Platforma umożliwia integrację z następującymi usługami zewnętrznymi:

• Poczta e-mail: Microsoft Outlook, Gmail (Google), własne skrzynki SMTP/IMAP;
• Media społecznościowe i komunikatory: Instagram, WhatsApp, Facebook Messenger (Meta Platforms);
• Platformy e-commerce: Shopify, WooCommerce, PrestaShop;
• Kalendarze: Google Calendar, Outlook Calendar;

W ramach integracji System odczytuje wiadomości przychodzące, automatycznie generuje odpowiedzi i może je wysyłać w imieniu Użytkownika.

8.5. Pozostali odbiorcy danych

• podmioty świadczące usługi prawne i doradcze;
• podmioty świadczące usługi księgowe i rachunkowe;
• organy państwowe – wyłącznie w zakresie wymaganym przez przepisy prawa.

9. Przekazywanie danych do państw trzecich

Dane przetwarzane w związku z korzystaniem z Platformy przechowywane są na serwerach AWS zlokalizowanych na terenie Europejskiego Obszaru Gospodarczego (EOG).

W związku z korzystaniem z usług OpenAI i Stripe, dane mogą być przekazywane do Stanów Zjednoczonych. Transfer ten odbywa się na podstawie:

• decyzji wykonawczej Komisji Europejskiej (UE) 2023/1795 z dnia 10 lipca 2023 r. stwierdzającej odpowiedni stopień ochrony danych osobowych w ramach EU-US Data Privacy Framework;
• standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (SCC).

Aktualny status certyfikacji podmiotów w ramach DPF: https://www.dataprivacyframework.gov/s/participant-search

W ramach integracji z platformami Meta, Google i Microsoft, dane mogą być również przekazywane do USA na analogicznych podstawach prawnych.

10. Bezpieczeństwo danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne:

• szyfrowanie danych w transmisji (TLS 1.2+) i w spoczynku;
• przechowywanie haseł wyłącznie w formie zaszyfrowanej (haszowanej);
• hosting na serwerach AWS w EOG z certyfikacją ISO 27001, SOC 2;
• kontrola dostępu oparta na zasadzie minimalnych uprawnień;
• regularne przeglądy bezpieczeństwa i monitorowanie logów;
• zabezpieczenie transmisji danych do OpenAI (szyfrowanie AES-256 w spoczynku, TLS 1.2+ w transmisji).

11. Okres przechowywania danych

• Dane konta Użytkownika: przez okres trwania umowy, a następnie przez okres przedawnienia roszczeń (co do zasady 3 lata) lub dłużej, jeśli wymagają tego przepisy prawa.
• Dane rozliczeniowe: 5 lat od końca roku podatkowego, w którym powstał obowiązek podatkowy.
• Dane Użytkowników Końcowych: przez okres wynikający z konfiguracji Użytkownika. Po usunięciu konta dane są usuwane w terminie 30 dni, chyba że ich przechowywanie jest wymagane przez prawo.
• Logi systemowe: do 12 miesięcy od ich powstania.
• Dane marketingowe: do czasu wycofania zgody lub wniesienia sprzeciwu.
• Dane w logach OpenAI: do 30 dni (polityka retencji OpenAI dla API), chyba że OpenAI zostanie zobowiązane do dłuższego przechowywania na podstawie nakazu prawnego.

12. Prawa osób, których dane dotyczą

12.1. Prawa Użytkowników

Jako osoba, której dane przetwarzamy w roli administratora, masz prawo do:

• dostępu do swoich danych osobowych (art. 15 RODO);
• sprostowania nieprawidłowych danych (art. 16 RODO);
• usunięcia danych (art. 17 RODO);
• ograniczenia przetwarzania (art. 18 RODO);
• przenoszenia danych (art. 20 RODO);
• sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie, w tym marketingu bezpośredniego (art. 21 RODO);
• cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem (art. 7 ust. 3 RODO).

Wnioski dotyczące realizacji praw można składać na adres e-mail:

[email protected]

Administrator rozpatrzy wniosek bez zbędnej zwłoki, nie później niż w terminie 1 miesiąca. W uzasadnionych przypadkach termin może zostać przedłużony o kolejne 2 miesiące.

12.2. Prawa Użytkowników Końcowych

Jeśli jesteś Użytkownikiem Końcowym (klientem naszego Użytkownika), administratorem Twoich danych jest Użytkownik Platformy, z którym prowadzisz komunikację. W celu realizacji swoich praw skontaktuj się bezpośrednio z tym podmiotem.

AppWave Sp. z o.o. wspiera Użytkowników w realizacji żądań Użytkowników Końcowych w zakresie wymaganym przez art. 28 RODO.

13. Pliki cookies i technologie śledzące

Platforma BetterCX może wykorzystywać pliki cookies i podobne technologie w celu:

• zapewnienia prawidłowego działania i bezpieczeństwa Platformy (cookies niezbędne);
• zapamiętania preferencji Użytkownika (cookies funkcjonalne);
• prowadzenia analiz sposobu korzystania z Platformy (cookies analityczne);
• prowadzenia działań marketingowych (cookies marketingowe).

Przy pierwszym wejściu na stronę Platformy Użytkownik zostaje poinformowany o stosowanych cookies i ma możliwość wyrażenia zgody na poszczególne ich kategorie lub ich odrzucenia (z wyjątkiem cookies niezbędnych).

14. Wymagania wiekowe i przetwarzanie danych osób nieletnich

Platforma BetterCX jest przeznaczona wyłącznie dla podmiotów gospodarczych i osób pełnoletnich (18+). Rejestracja konta na Platformie wymaga ukończenia 18 roku życia. Administrator nie przetwarza świadomie danych osób niepełnoletnich w roli Użytkowników Platformy.

W przypadku powzięcia informacji, że konto na Platformie zostało założone przez osobę niepełnoletnią, konto zostanie niezwłocznie zablokowane, a dane usunięte. W odniesieniu do danych Użytkowników Końcowych (klientów naszych Użytkowników), to Użytkownik Platformy – jako administrator danych swoich klientów – ponosi odpowiedzialność za zapewnienie zgodności z przepisami dotyczącymi przetwarzania danych osób nieletnich, w tym za uzyskanie ewentualnej zgody opiekuna prawnego.

15. Obowiązki Użytkowników Platformy

Użytkownik Platformy, jako administrator danych swoich klientów, zobowiązany jest w szczególności do:

• posiadania ważnej podstawy prawnej przetwarzania danych Użytkowników Końcowych;
• spełnienia obowiązku informacyjnego wobec Użytkowników Końcowych, w tym poinformowania ich o wykorzystaniu systemu AI w komunikacji;
• zapewnienia realizacji praw osób, których dane przetwarza za pośrednictwem Platformy;
• zawarcia z Administratorem Platformy umowy powierzenia przetwarzania danych (DPA);
• konfiguracji systemu AI w sposób adekwatny do celów przetwarzania i zgodny z zasadą minimalizacji danych;
• nieprzetwarzania za pośrednictwem Platformy szczególnych kategorii danych osobowych (art. 9 RODO), chyba że posiada do tego ważną podstawę prawną i wyraźną zgodę osoby, której dane dotyczą.

16. Prawo wniesienia skargi

Jeśli uważasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO, masz prawo wnieść skargę do organu nadzorczego:

Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, Infolinia: 606-950-000, E-mail: [email protected], Strona: https://uodo.gov.pl/

17. Zmiany Polityki Prywatności

Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności. O istotnych zmianach Użytkownicy zostaną poinformowani za pośrednictwem Platformy lub wiadomości e-mail z odpowiednim wyprzedzeniem.

Korzystanie z Platformy po wejściu w życie zmienionej Polityki Prywatności oznacza ich akceptację.

Aktualna wersja Polityki Prywatności jest zawsze dostępna na stronie Platformy.