Polityka Prywatności

Wersja: 2.1 · Obowiązuje od: 18 maja 2026

1. Kim jesteśmy

Administratorem danych osobowych w rozumieniu RODO (Rozporządzenie UE 2016/679) jest:

Premiumads sp. z o.o. Al. Zwycięstwa 96/98, 81-451 Gdynia, Polska KRS: 0001146555 · NIP: 5862413010 · REGON: 540509530 E-mail: [email protected]

(dalej „Operator” lub „My”)

Operator prowadzi serwis Geoboard.ai (https://geoboard.ai) — narzędzie analityczne SaaS do audytu widoczności firmy w modelach AI (GEO — Generative Engine Optimization).

2. Jakie dane przetwarzamy

2.1 Dane podawane przez Użytkownika

Adres e-mail (wymagany do rejestracji konta i autentykacji magic-link)
Imię i nazwisko (opcjonalne, dla personalizacji raportów)
Nazwa firmy + NIP (opcjonalne, dla wystawienia faktury VAT)
Adres siedziby firmy (opcjonalne, dla faktury VAT)
Telefon (opcjonalne, dla supportu)
Dane karty płatniczej (number, expiry, CVV, cardholder name) — NIE są zapisywane przez Operatora. Przekazywane bezpośrednio do operatora płatności Tpay (PCI-DSS Level 1 compliant).

2.2 Dane zbierane automatycznie

Adres IP (rate limiting, anti-abuse, log audytów)
User Agent (browser type, OS — debugging + analityka)
Cookies sesji (session_token httpOnly + secure, ważność 30 dni)
Dane audytowanej domeny (URL, treść HTML, struktura JSON-LD, signały on-page)
Event tracking (PostHog EU, anonimizowany — viewport, kliknięcia w panelu, conversion funnel)

2.3 Dane generowane

Raporty audytu (GRI Score, lista konkurencji, top topics, plan rekomendacji)
Logi LLM API calls (model, input tokens, output tokens, cost PLN, status) — wewnętrzne tracking budgetów

3. Cel przetwarzania danych

Przetwarzamy dane osobowe w celu:

Cel Podstawa prawna
Wykonanie umowy świadczenia usług elektronicznych (audyt, dashboard) Art. 6 ust. 1 lit. b RODO
Wystawienie faktury VAT (obowiązek podatkowy) Art. 6 ust. 1 lit. c RODO
Marketing własnych usług Operatora (e-mail z nowościami) Art. 6 ust. 1 lit. f RODO (uzasadniony interes), zgoda Użytkownika (opcjonalna)
Rate limiting i anti-abuse (IP tracking) Art. 6 ust. 1 lit. f RODO (bezpieczeństwo)
Analityka produktowa (PostHog, anonimizowany) Art. 6 ust. 1 lit. f RODO (rozwój usługi)
Obsługa support (Crisp chat + email) Art. 6 ust. 1 lit. b RODO

4. Lista Procesorów (GDPR art. 28)

Operator powierza przetwarzanie danych osobowych następującym podmiotom (procesorom), z którymi zawarł umowy powierzenia zgodnie z art. 28 RODO:

Procesor Zakres przetwarzania Lokalizacja Podstawa transferu
Tpay (Krajowy Integrator Płatności S.A., KRS 0000412357, NIP 7773061579) Obsługa płatności online (karty, BLIK, przelewy) Polska (EU) Brak transferu poza EOG
Anthropic Inc. (USA) Generowanie raportów AI (model Claude Sonnet 4.6 + Haiku 4.5) USA Data Privacy Framework (DPF) wg Decyzji KE 2023/1795 + Standard Contractual Clauses (SCC) jako backup
OpenAI Inc. (USA) Cross-validation konkurencji (model GPT-4o-mini) USA Data Privacy Framework (DPF) wg Decyzji KE 2023/1795 + Standard Contractual Clauses (SCC) jako backup
OpenRouter Inc. (USA) Gateway dla dodatkowych modeli AI (DeepSeek, Gemini, Mistral, Llama) routowanych przez 1 API key — cross-validation konkurencji USA (front), różne (backend per model) Standard Contractual Clauses (SCC) wg Decyzji KE 2021/914 — OpenRouter jako bezpośredni procesor odpowiada za sub-processory
lh.pl (Cyber Solutions Sp. z o.o., NIP 6321858569) Hosting serwerów (lh.pl, Polska) Polska (EU) Brak transferu poza EOG
Cloudflare Inc. (USA) DNS + CDN + DDoS protection USA / Global edge Standard Contractual Clauses (SCC)
Google LLC (Google Workspace) Skrzynka e-mail [email protected], SMTP sending USA Data Privacy Framework (DPF) wg Decyzji KE 2023/1795 + Standard Contractual Clauses (SCC) jako backup
PostHog Inc. (EU region) Analityka produktowa (event tracking, funnel) UE (Frankfurt) Brak transferu poza EOG
Crisp IM SARL (Francja, EU) Chat support (widget na geoboard.ai) Francja (EU) Brak transferu poza EOG
Wszyscy procesorzy zostali zweryfikowani pod kątem zgodności z RODO (w tym Schrems II — assessment dla podmiotów USA). Status certyfikacji DPF (Anthropic, OpenAI, Google) jest weryfikowany corocznie na https://www.dataprivacyframework.gov/list — w przypadku wygaśnięcia certyfikatu Operator przechodzi automatycznie na SCC jako podstawę transferu.

Decyzja architektoniczna (12.05.2026): Operator zrezygnował z bezpośredniego procesora DeepSeek AI (China/Hong Kong) na rzecz gateway OpenRouter Inc. (USA, SCC). Skutek: brak transferu danych Użytkowników do Chin, prostsza struktura procesorów, jednolite podstawy transferu (DPF/SCC dla USA).

5. Przekazywanie danych poza EOG

Przekazywanie danych do USA odbywa się na podstawie:

Data Privacy Framework (DPF) zgodnie z Decyzją Komisji Europejskiej 2023/1795 z dnia 10 lipca 2023 r. — dotyczy Anthropic Inc., OpenAI Inc. oraz Google LLC, które są aktywnie certyfikowane w programie DPF (status weryfikowalny pod https://www.dataprivacyframework.gov/list). DPF to mechanizm adekwatności zatwierdzony przez UE jako następca Privacy Shield (unieważnionego przez Schrems II w 2020 r.).
Standard Contractual Clauses (SCC) zgodnie z Decyzją KE 2021/914 — dla Cloudflare Inc. oraz OpenRouter Inc., a także jako podstawa zapasowa (backup) dla wszystkich procesorów USA na wypadek wygaśnięcia certyfikatu DPF.
Dodatkowe środki organizacyjne (DPA — Data Processing Agreement, minimalizacja danych przekazywanych do każdego procesora).
Decyzja Operatora (12.05.2026): Geoboard.ai NIE przekazuje danych Użytkowników do Chin ani innych jurysdykcji bez decyzji adekwatności KE. Bezpośredni procesor DeepSeek AI (China/Hong Kong) został zastąpiony przez gateway OpenRouter Inc. (USA/SCC) — wszystkie modele AI inne niż Claude (Anthropic) i GPT (OpenAI) są routowane przez OpenRouter jako podprocesor odpowiedzialny za downstream transfery.

Użytkownik ma prawo w dowolnym momencie zażądać informacji o transferach lub wycofania zgody na konkretny transfer (jednak może to ograniczyć dostępność niektórych funkcji Serwisu).

6. Okres przechowywania danych

Typ danych Okres
Konto Użytkownika (e-mail, imię, firma) Do momentu usunięcia konta przez Użytkownika
Dane karty płatniczej NIE są przechowywane (po stronie Tpay PCI-DSS)
Faktury VAT 5 lat od końca roku rozliczeniowego (obowiązek podatkowy, art. 86 § 1 Ordynacji podatkowej)
Logi audytu (IP, UA, raport) 24 miesiące
Logi systemowe (debug, error) 90 dni
Cookies sesji 30 dni od ostatniej aktywności
Dane analityczne PostHog 12 miesięcy (auto-delete)
Dane Crisp chat 24 miesiące

7. Twoje prawa (RODO)

Zgodnie z RODO przysługuje Ci prawo do:

Dostępu do danych (art. 15) — kopia Twoich danych w panelu Settings + e-mail do [email protected]
Sprostowania (art. 16) — edycja danych konta w panelu Settings
Usunięcia (art. 17, „prawo do bycia zapomnianym”) — panel Settings → „Strefa niebezpieczna” → „Usuń konto”:
Konto anonimizowane natychmiast (e-mail → [email protected])
Wszystkie PII (imię, NIP, telefon, IP, UA) usunięte
Brandy + audyty + sesje → cascade delete
Faktury VAT zachowywane 5 lat bez powiązania z Tobą
Ograniczenia przetwarzania (art. 18) — e-mail do [email protected]
Przenoszenia danych (art. 20) — eksport JSON na żądanie (e-mail do [email protected], response w 14 dni)
Sprzeciwu (art. 21) — wobec przetwarzania na podstawie uzasadnionego interesu (marketing, analityka) — e-mail
Cofnięcia zgody w dowolnym momencie (nie wpływa na zgodność przetwarzania przed cofnięciem)
Wniesienia skargi do organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl
Dotyczące zautomatyzowanego podejmowania decyzji (art. 22 RODO) — Operator informuje, że NIE podejmuje wobec Użytkownika zautomatyzowanych decyzji wywołujących skutki prawne ani w podobny sposób istotnie wpływających na Użytkownika. Wszystkie raporty audytu (GRI Score, lista konkurencji, plan rekomendacji) generowane przez modele AI mają charakter wyłącznie doradczy i informacyjny — stanowią predykcję, nie decyzję. Użytkownik samodzielnie decyduje o wdrożeniu lub odrzuceniu rekomendacji, a Operator nie warunkuje dostępu do żadnych usług na podstawie zautomatyzowanych analiz.

8. Cookies i podobne technologie

8.1 Cookies używane przez Geoboard.ai

Cookie Typ Czas życia Cel
pa_geo_session Sesyjne (httpOnly, secure, SameSite=Lax) 30 dni Identyfikacja zalogowanego Użytkownika
pa_geo_active_brand Sesyjne 30 dni Multi-brand switcher state
posthog Analityczne (anonimizowane) 12 miesięcy Event tracking funnel
crisp* Funkcjonalne sesja Chat support widget

8.2 Cookies podmiotów trzecich

Cloudflare — cf_* (DDoS protection, performance)
Google Workspace — _GRECAPTCHA (Cloudflare Turnstile zastępuje, opcjonalnie)

8.3 Zarządzanie cookies

Użytkownik może w dowolnym momencie wyłączyć cookies w ustawieniach przeglądarki. Wyłączenie cookies sesyjnych uniemożliwi logowanie do Serwisu.

9. Bezpieczeństwo danych

Operator stosuje:

HTTPS/TLS 1.3 dla całego ruchu na geoboard.ai
Klucze API LLM szyfrowane libsodium XSalsa20-Poly1305 (master key w wp-config.php, nie w bazie)
Hasła w wp-config.php nie zapisywane w git (.gitignore)
CSRF tokens (X-WP-Nonce) dla wszystkich mutujących endpoint’ów
Rate limiting (5 req/h IP, 3 req/h email dla signup)
Session cookies httpOnly + secure + SameSite=Lax
Backup DB co 24h (lh.pl automated)
Monitoring logi błędów (admin notification gdy >3 fail/h)

10. Marketing i newsletter

E-mail marketing Operatora (newsletter z nowościami) wymaga dobrowolnej zgody Użytkownika podczas rejestracji lub w Settings.

Zgoda może być cofnięta w dowolnym momencie:

Link „Wypisz się” w stopce każdego maila
Settings → Powiadomienia → wyłącz newsletter
Bez zgody marketingowej Operator wysyła wyłącznie:

Maile transakcyjne (magic-link, potwierdzenie płatności, faktura)
Maile systemowe (krytyczne aktualizacje regulaminu z 14-dniowym wyprzedzeniem)

11. Postanowienia końcowe

Zmiany Polityki Prywatności będą publikowane pod https://geoboard.ai/polityka-prywatnosci/ z 14-dniowym wyprzedzeniem przed wejściem w życie.

Powiadomienie o zmianach wysyłane jest na adres e-mail Użytkownika.

Wersja: 2.1 z dnia 18 maja 2026 (zmiana względem v2.0: usunięcie DeepSeek z bezpośrednich procesorów, dodanie OpenRouter, aktualizacja podstawy transferu USA z SCC na DPF dla Anthropic/OpenAI/Google, dodanie art. 22 RODO w pkt 7.9). Poprzednie wersje (1.0, 2.0) dostępne na życzenie pod [email protected].

Pytania: [email protected]

Premiumads sp. z o.o. · Gdynia · 12 maja 2026