Polityka prywatności
Tu opisujemy jakie Twoje dane osobowe przetwarzamy, w jakim celu, na jakiej podstawie prawnej, komu je przekazujemy i jakie masz prawa. Dokument zgodny z RODO (UE 2016/679), AI Act (UE 2024/1689), Digital Services Act i polską ustawą o ochronie danych osobowych.
- Obowiązuje od
- 17.04.2026
- Administrator danych
- Infinity Tech Group sp. z o.o.
- KRS 0001236454 · NIP 9223090619 · REGON 544554591
- ul. Rynek Solny 1 lok. 6, 22-400 Zamość, Polska
- Kontakt ws. danych
- contact@infinityteam.io
1. Administrator danych
Administratorem Twoich danych osobowych jest Infinity Tech Group sp. z o.o., z siedzibą w Zamościu, ul. Rynek Solny 1 lok. 6, 22-400 Zamość, woj. lubelskie, wpisana do Rejestru Przedsiębiorców KRS pod numerem 0001236454, NIP: 9223090619, REGON: 544554591, prowadząca platformę ClawLabs PRO pod adresem clawlabs.pro (dalej: „Administrator”).
Kontakt w sprawach ochrony danych osobowych: contact@infinityteam.io.
Administrator przetwarza dane osobowe użytkowników z całej Unii Europejskiej, w tym z Polski, Czech, Holandii, Hiszpanii i Niemiec, zgodnie z Rozporządzeniem (UE) 2016/679 (RODO).
Inspektor Ochrony Danych (IOD/DPO): Administrator nie wyznaczył formalnego IOD w rozumieniu art. 37 RODO — nie jesteśmy podmiotem publicznym, nie prowadzimy systematycznego monitorowania osób na dużą skalę ani nie przetwarzamy szczególnych kategorii danych w sposób który wymagałby wyznaczenia. W sprawach dotyczących ochrony danych osobowych (realizacja praw z art. 15-22 RODO, pytania, skargi) kontakt: contact@infinityteam.io — odpowiadamy w terminie 30 dni zgodnie z art. 12 ust. 3 RODO.
2. Jakie dane zbieramy
W zależności od sposobu korzystania z Platformy przetwarzamy następujące kategorie danych:
2.1. Dane rejestracyjne
- Adres e-mail (wymagany do rejestracji i weryfikacji konta).
- Imię lub pseudonim (opcjonalnie, podawane podczas rejestracji).
- Zdjęcie profilowe (pobierane automatycznie przy logowaniu przez Google OAuth).
2.2. Dane rozliczeniowe
- Identyfikator klienta Stripe (do obsługi płatności i subskrypcji).
- Historia transakcji i stan kredytów.
- Dane kart płatniczych NIE są przechowywane przez Administratora — przetwarzane są wyłącznie przez Stripe, Inc. zgodnie z normą PCI DSS. Stripe jest certyfikowanym operatorem płatności przetwarzającym dane zgodnie z RODO na podstawie standardowych klauzul umownych (SCC).
2.3. Dane techniczne
- Adres IP (do ochrony przed nadużyciami i rate limitingu).
- Typ przeglądarki i systemu operacyjnego.
- Logi serwera (czas dostępu, żądania HTTP).
2.4. Dane agentów AI
- Konfiguracja agentów (nazwa, model AI, kanały komunikacji, skille).
- Logi rozmów i wyniki pracy agentów.
- Klucze API dostawców AI (przechowywane w zaszyfrowanej formie).
2.5. Dane z formularzy kontaktowych
- Adres e-mail, imię, treść wiadomości (formularz kontaktowy i waitlist).
3. Cele i podstawy prawne przetwarzania
| Cel | Podstawa prawna (RODO) | Okres przechowywania |
|---|---|---|
| Rejestracja i prowadzenie konta | Art. 6 ust. 1 lit. b — wykonanie umowy | Do usunięcia konta + 30 dni |
| Obsługa płatności i subskrypcji (Stripe) | Art. 6 ust. 1 lit. b — wykonanie umowy | Przez czas trwania konta + 5 lat po usunięciu (obowiązek podatkowy art. 74 ust. 2 ustawy o rachunkowości) |
| Weryfikacja e-mail | Art. 6 ust. 1 lit. b — wykonanie umowy | Do zakończenia weryfikacji |
| Obsługa agentów AI i przechowywanie logów | Art. 6 ust. 1 lit. b — wykonanie umowy | Do usunięcia agenta/konta |
| Ochrona przed nadużyciami (rate limiting) | Art. 6 ust. 1 lit. f — prawnie uzasadniony interes | Czas sesji + 24h |
| Formularz kontaktowy / waitlist | Art. 6 ust. 1 lit. a — zgoda | Do wycofania zgody |
| Dochodzenie roszczeń | Art. 6 ust. 1 lit. f — prawnie uzasadniony interes | 3 lata (przedawnienie) |
4. Odbiorcy danych
Twoje dane mogą być przekazywane następującym kategoriom odbiorców. Szczegóły dotyczące transferu danych poza EOG znajdziesz w sekcji 5 poniżej.
| Dostawca | Rola / Model | Kraj | Podstawa transferu | Trening na danych? |
|---|---|---|---|---|
| MiniMax (Shanghai) | Model AI domyślny (Free/Premium/Pro) | Chiny | SCC + art. 49 RODO (zgoda użytkownika) | Wg polityki MiniMax |
| Anthropic, PBC | Claude (BYOK) | USA | SCC | NIE — 7 dni retencja API |
| OpenAI, LLC | GPT (BYOK) | USA | SCC | NIE (API domyślnie) |
| Google LLC | Gemini (BYOK), Google OAuth | USA | SCC | NIE (Vertex AI) |
| Resend, Inc. | E-maile transakcyjne | USA | SCC | — |
| Stripe, Inc. | Obsługa płatności | USA | SCC (PCI DSS L1) | — |
| Hetzner Online GmbH | Hosting serwerów agentów | Niemcy/Finlandia (UE) | — (wewnątrz EOG) | — |
| Vercel, Inc. | Hosting aplikacji webowej | USA | SCC | — |
| Neon, Inc. | Baza danych PostgreSQL | USA/UE | SCC | — |
4.1. Umowy powierzenia przetwarzania (DPA) — art. 28 RODO
Z każdym procesorem danych zawarliśmy umowę powierzenia przetwarzania (Data Processing Agreement) zgodnie z art. 28 ust. 3 RODO. Linki do aktualnych umów:
- Anthropic — anthropic.com/legal/data-processing-addendum
- OpenAI — openai.com/policies/data-processing-addendum
- Google Cloud — cloud.google.com/terms/data-processing-addendum
- Stripe — stripe.com/legal/dpa
- Hetzner (AV) — hetzner.com/AV/AV_en.pdf
- Vercel — vercel.com/legal/dpa
- Neon — neon.tech/dpa
- Resend — resend.com/legal/dpa
- MiniMax — brak publicznego DPA; transfer danych opiera się na art. 49 ust. 1 lit. a RODO (wyraźna zgoda użytkownika) — szczegóły w sekcji 5.1.
Lista sub-procesorów może się zmieniać. O istotnych zmianach powiadomimy użytkowników e-mailem lub bannerem w panelu z co najmniej 30-dniowym wyprzedzeniem.
4.2. Trenowanie modeli AI — EDPB Opinion 28/2024
Zgodnie z Opinią EDPB 28/2024 dotyczącą modeli AI i danych osobowych, poniżej udostępniamy szczegóły polityki trenowania każdego dostawcy:
- Anthropic (Claude, BYOK): dane NIE są używane do trenowania modeli (domyślna polityka Enterprise API, retencja 7-30 dni).
- OpenAI (GPT, BYOK): dane przesyłane przez API domyślnie NIE są używane do trenowania (polityka OpenAI API — opt-out domyślny).
- Google (Gemini, BYOK via Vertex AI): dane NIE są używane do trenowania modeli Gemini (Google Cloud DPA).
- MiniMax: polityka trenowania nie jest w pełni transparentna. Jeśli zależy Ci na gwarancji „no training”, rekomendujemy przejście na BYOK (Claude / GPT / Gemini) dostępne w planach Pro / Ultra Pro.
Rekomendacja: dla danych wrażliwych lub biznesowo krytycznych używaj BYOK z własnym kluczem API — masz wtedy gwarancję zgodną z DPA tego dostawcy. Możesz także zażądać pseudonimizacji lub anonimizacji danych przed wysłaniem, ale nie gwarantujemy że każdy model ją obsłuży w sposób bezpieczny.
5. Przekazywanie danych poza EOG
Część podmiotów przetwarzających dane (Stripe, Vercel, Resend, dostawcy AI) ma siedzibę w Stanach Zjednoczonych. Transfer danych odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską, zgodnie z art. 46 ust. 2 lit. c RODO.
Administrator dokłada wszelkich starań, aby dane użytkowników ze wszystkich krajów UE były przetwarzane z zachowaniem najwyższych standardów ochrony. W przypadku transferu danych poza EOG, Administrator zapewnia odpowiedni poziom ochrony poprzez zastosowanie standardowych klauzul umownych lub innych mechanizmów przewidzianych w RODO.
5.1. Transfer danych do Chin — MiniMax
Modele MiniMax są rozwijane przez firmę z siedzibą w Chinach. Chiny nie zostały uznane przez Komisję Europejską za kraj zapewniający odpowiedni poziom ochrony danych osobowych (brak decyzji stwierdzającej odpowiedni stopień ochrony zgodnie z art. 45 RODO).
Jeśli korzystasz z modeli MiniMax (dostępnych domyślnie w planach Free/Premium/Pro), Twoje zapytania są przesyłane do MiniMax AI Lab w Szanghaju. Podstawą prawną transferu są standardowe klauzule umowne (SCC) zawarte z dostawcą modelu, zgodnie z art. 46 ust. 2 lit. c RODO, lub — w przypadku braku SCC — Twoja wyraźna zgoda udzielona zgodnie z art. 49 ust. 1 lit. a RODO przy pierwszym wyborze modelu MiniMax.
Możesz uniknąć transferu danych do Chin korzystając z modeli Claude (Anthropic, USA), GPT (OpenAI, USA) lub Gemini (Google, USA) z własnym kluczem API — dostępnymi w planach Pro/Ultra Pro. Dane pozostają wtedy wyłącznie w jurysdykcji UE lub USA (pokrytej SCC).
Dlaczego wybieramy art. 49 ust. 1 lit. a (wyraźna zgoda) zamiast SCC? (1) Chiny nie mają decyzji stwierdzającej odpowiedni poziom ochrony od Komisji Europejskiej; (2) MiniMax nie jest stroną EU Standard Contractual Clauses — nie możemy ich z nim podpisać w sposób prawnie wiążący; (3) zapewniamy realną alternatywę — BYOK (Claude/GPT/Gemini) w planach Pro i Ultra Pro. Jeśli cofasz zgodę, musisz albo przełączyć się na BYOK, albo zakończyć subskrypcję — Twoje dane po stronie MiniMax zostaną usunięte w ciągu 30 dni. Precedens prawny: decyzja irlandzkiej DPC wobec TikTok (maj 2025, kara 530 mln EUR) pokazuje że sama zgoda bez realnej alternatywy jest słaba — dlatego gwarantujemy Ci BYOK.
6. Sztuczna inteligencja i przetwarzanie danych
Platforma ClawLabs PRO wykorzystuje modele sztucznej inteligencji do realizacji zadań zleconych przez Użytkownika. W związku z tym:
- Wiadomości wysyłane do agentów AI są przekazywane do dostawców modeli AI (np. Anthropic, OpenAI) w celu wygenerowania odpowiedzi.
- Administrator nie wykorzystuje danych Użytkowników do trenowania modeli AI.
- Użytkownik jest informowany, że rozmawia z systemem AI, zgodnie z wymogami AI Act (Rozporządzenie UE 2024/1689).
- Na Platformie nie jest stosowane automatyczne podejmowanie decyzji ani profilowanie w rozumieniu art. 22 RODO, które wywierałoby skutki prawne wobec Użytkownika.
- Logi rozmów z agentami AI są przechowywane na infrastrukturze Administratora i dostępne dla Użytkownika poprzez interfejs Platformy.
- Administrator posiada techniczny dostęp do danych przetwarzanych w systemie, w tym do logów rozmów i konfiguracji agentów. Dostęp ten jest wykorzystywany wyłącznie w celach utrzymania usługi, wsparcia technicznego, diagnostyki błędów oraz wypełnienia obowiązków prawnych. Administrator nie przegląda treści rozmów Użytkowników bez uzasadnionej przyczyny.
6a. Dane osób trzecich w rozmowach z agentami AI
Gdy wprowadzasz do rozmowy z agentem AI dane osobowe osób trzecich (np. imię, adres e-mail, numer telefonu, adres, dane finansowe klienta, współpracownika, rodziny) — obowiązuje następujący podział ról:
- Administrator danych osób trzecich: Użytkownik. W rozumieniu art. 4 pkt 7 RODO to Użytkownik decyduje o celach i sposobach przetwarzania danych osób trzecich, które wprowadza do Platformy — my nie wiemy kogo dotyczą te dane ani po co je tam wklejasz.
- ClawLabs jako podmiot przetwarzający: dane osób trzecich przetwarzamy wyłącznie jako podmiot przetwarzający w rozumieniu art. 28 RODO — w imieniu Użytkownika, na jego polecenie (treść zapytania do agenta), w zakresie i celu określonym przez Użytkownika. Ograniczenia techniczne i zabezpieczenia opisane w sekcji 10.
- Obowiązki po stronie Użytkownika: obowiązki informacyjne (art. 13-14 RODO), zapewnienie podstawy prawnej przetwarzania (art. 6 lub art. 9 dla danych szczególnych), realizacja praw osób, których dane dotyczą (art. 15-22 RODO), dobór odpowiedniego okresu przechowywania oraz ocena skutków dla ochrony danych (art. 35, jeśli wymagana) — spoczywają na Użytkowniku.
- Ograniczenia ClawLabs: nie jesteśmy w stanie indywidualnie zidentyfikować osób trzecich, których dane Użytkownik wprowadza do czatu — zakres i treść tych danych zależy wyłącznie od niego. Nie mamy podstawy prawnej ani technicznej możliwości kontaktowania się z tymi osobami.
- Zgłoszenia od osób trzecich: jeżeli osoba trzecia, której dane zostały wprowadzone przez Użytkownika, skontaktuje się z nami w celu realizacji swoich praw z RODO, przekażemy zgłoszenie Użytkownikowi jako administratorowi w terminie 14 dni i poinformujemy o tym osobę wnioskującą. Użytkownik zobowiązany jest odpowiedzieć w ciągu 30 dni zgodnie z art. 12 ust. 3 RODO.
- Powołanie na art. 14 ust. 5 lit. b RODO: ze względu na charakter usługi (wolny tekst generowany przez Użytkownika) ClawLabs nie jest w stanie samodzielnie spełnić obowiązku informacyjnego wobec osób trzecich — co stanowi niewspółmierny wysiłek w rozumieniu art. 14 ust. 5 lit. b RODO. Odpowiedzialność informacyjna pozostaje po stronie Użytkownika jako administratora.
- Konsekwencja naruszenia: Użytkownik ponosi pełną odpowiedzialność za ewentualne roszczenia osób trzecich, skargi do organów nadzorczych oraz kary administracyjne wynikające z przetwarzania danych osób trzecich bez ich zgody, bez podstawy prawnej lub bez wypełnienia obowiązków informacyjnych.
7. Pliki cookies
Platforma wykorzystuje następujące rodzaje plików cookies:
7.1. Cookies niezbędne (funkcjonalne)
- next-auth.session-token — utrzymanie sesji logowania (JWT). Wygasa po zamknięciu przeglądarki lub po upływie czasu sesji.
- next-auth.csrf-token — ochrona przed atakami CSRF.
- locale — zapamiętanie wybranego języka interfejsu.
Te cookies są niezbędne do prawidłowego działania Platformy i nie wymagają zgody zgodnie z art. 5 ust. 3 Dyrektywy 2002/58/WE (Dyrektywa ePrivacy).
7.2. Cookies analityczne
Platforma aktualnie nie korzysta z narzędzi analitycznych takich jak Google Analytics. W przypadku ich wdrożenia w przyszłości, Użytkownik zostanie poproszony o wyrażenie zgody za pośrednictwem bannera cookies, zgodnie z wymogami Dyrektywy ePrivacy.
7.3. Zarządzanie cookies
Użytkownik może zarządzać plikami cookies w ustawieniach przeglądarki. Wyłączenie cookies funkcjonalnych może uniemożliwić korzystanie z Platformy.
8. Twoje prawa
Zgodnie z RODO (Rozporządzenie UE 2016/679) przysługują Ci następujące prawa w odniesieniu do Twoich danych osobowych, niezależnie od kraju zamieszkania w UE:
- Prawo dostępu (art. 15) — możesz uzyskać informację, jakie dane przetwarzamy.
- Prawo do sprostowania (art. 16) — możesz poprawić nieprawidłowe dane.
- Prawo do usunięcia (art. 17, „prawo do bycia zapomnianym”) — możesz zażądać usunięcia swoich danych.
- Prawo do ograniczenia przetwarzania (art. 18) — możesz żądać ograniczenia przetwarzania w określonych sytuacjach.
- Prawo do przenoszenia danych (art. 20) — pobierz swoje dane w formacie JSON z ustawień konta (Ustawienia → Eksport danych). W razie problemów zrealizujemy to prawo również na żądanie e-mail w terminie 30 dni.
- Prawo do sprzeciwu (art. 21) — możesz wnieść sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie.
- Prawo do wycofania zgody — w każdej chwili, bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem.
Aby skorzystać z powyższych praw, wyślij wiadomość na adres: contact@infinityteam.io. Odpowiemy w terminie 30 dni.
W szczególnie skomplikowanych przypadkach termin 30 dni może zostać przedłużony o kolejne 2 miesiące (art. 12 ust. 3 RODO), o czym poinformujemy Użytkownika przed upływem pierwotnego terminu.
9. Prawo do skargi
Jeśli uważasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO, masz prawo wnieść skargę do organu nadzorczego właściwego dla Twojego kraju zamieszkania:
- Polska: Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa — uodo.gov.pl
- Czechy: Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7 — uoou.cz
- Holandia: Autoriteit Persoonsgegevens (AP), Bezuidenhoutseweg 30, 2594 AV Den Haag — autoriteitpersoonsgegevens.nl
- Hiszpania: Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan 6, 28001 Madrid — aepd.es
- Niemcy: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Graurheindorfer Str. 153, 53117 Bonn — bfdi.bund.de (lub właściwy organ krajowy danego landu)
10. Bezpieczeństwo danych
Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych, w tym:
- Szyfrowanie połączeń (TLS/SSL) na wszystkich endpointach.
- Szyfrowanie haseł algorytmem bcrypt.
- Szyfrowanie kluczy API przechowywanych na Platformie.
- Kontrola dostępu oparta na rolach (RBAC).
- Rate limiting na endpointach logowania, rejestracji i formularzy.
- Regularne aktualizacje oprogramowania i zależności.
11. Dane dzieci
Platforma jest przeznaczona dla osób, które ukończyły 16 lat. Weryfikacja wieku odbywa się poprzez aktywne oświadczenie Użytkownika przy rejestracji (obowiązkowy checkbox). Administrator świadomie nie zbiera danych osób niepełnoletnich. W przypadku powzięcia informacji o przetwarzaniu danych osoby poniżej 16 lat, konto i dane zostaną niezwłocznie usunięte.
12. Zmiany polityki prywatności
Administrator zastrzega sobie prawo do aktualizacji niniejszej Polityki prywatności. O istotnych zmianach Użytkownik zostanie poinformowany drogą e-mailową lub za pośrednictwem komunikatu na Platformie.
Digital Omnibus (2026): Unia Europejska przygotowuje pakiet uproszczeń RODO dla małych i średnich przedsiębiorstw (tzw. Digital Omnibus). Po jego wejściu w życie możemy zaktualizować niniejszą Politykę — w szczególności w zakresie obowiązku informacyjnego z art. 13-14 RODO, terminów notyfikacji naruszeń z art. 33 oraz wymogów dla SME. O takich zmianach poinformujemy Użytkownika z co najmniej 30-dniowym wyprzedzeniem e-mailem oraz bannerem w panelu, a zmiany zaznaczymy w historii wersji (data, zakres zmian).
13. Kontakt
Wszelkie pytania dotyczące ochrony danych osobowych należy kierować na adres: contact@infinityteam.io.