Dokumenty prawne
Polityka Prywatności Auramatic
Ostatnia aktualizacja: 11 maja 2026
§ 1. Informacje ogólne
- Niniejsza Polityka prywatności (dalej: „Polityka") określa zasady przetwarzania danych osobowych w związku z korzystaniem z aplikacji mobilnej Auramatic (dalej: „Aplikacja") oraz platformy zarządzania programami lojalnościowymi Auramatic (dalej: „Platforma").
- Administratorem danych osobowych jest Wiktor Nowak, adres do korespondencji: ul. Kłosia 17, 02-466 Warszawa (dalej: „Administrator").
- Kontakt z Administratorem w sprawach dotyczących danych osobowych jest możliwy pod adresem e-mail: kontakt@auramatic.pl.
- Administrator przetwarza dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: „RODO") oraz innymi obowiązującymi przepisami prawa polskiego i unijnego.
- Dane osobowe są przechowywane na serwerach zlokalizowanych w UE.
§ 2. Definicje
Terminy pisane wielką literą, niezdefiniowane w niniejszej Polityce, mają znaczenie nadane im w Regulaminie Aplikacji Auramatic (dla Klientów) oraz Regulaminie Platformy Auramatic (dla Partnerów Biznesowych).
- Klient – osoba fizyczna korzystająca z Aplikacji jako uczestnik programu lojalnościowego Partnera,
- Partner – przedsiębiorca korzystający z Platformy w celu zarządzania swoim programem lojalnościowym,
- Użytkownik – łącznie Klient i Partner, w zależności od kontekstu.
§ 3. Zakres i cele przetwarzania danych osobowych Klientów (B2C)
Administrator przetwarza następujące dane osobowe Klientów:
| Kategoria danych | Przykładowe dane | Cel przetwarzania | Podstawa prawna |
|---|---|---|---|
| Dane identyfikacyjne | Imię, nazwisko, data urodzenia | Utworzenie i obsługa Konta, personalizacja (np. bonusy urodzinowe) | Art. 6 ust. 1 lit. b RODO (wykonanie umowy) |
| Dane kontaktowe | Numer telefonu | Rejestracja i weryfikacja tożsamości (SMS OTP), komunikacja | Art. 6 ust. 1 lit. b RODO (wykonanie umowy) |
| Dane lojalnościowe | Historia wizyt, saldo punktów, zrealizowane nagrody, przynależność do programów Partnerów | Świadczenie usługi lojalnościowej, naliczanie i realizacja punktów | Art. 6 ust. 1 lit. b RODO (wykonanie umowy) |
| Dane techniczne | Identyfikator urządzenia, system operacyjny, wersja Aplikacji, push token, adres IP | Dostarczanie powiadomień push, zapewnienie bezpieczeństwa i prawidłowego działania Aplikacji | Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — bezpieczeństwo i utrzymanie usługi) |
| Dane analityczne | Zdarzenia w Aplikacji, czas korzystania, crash logi | Analiza użytkowania, diagnozowanie błędów, ulepszanie Aplikacji | Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — rozwój i poprawa usługi) |
| Dane dotyczące zdrowia (opcjonalnie) | Typ zabiegu / usługi przy check-in | Personalizacja programu lojalnościowego, treści edukacyjne | Art. 9 ust. 2 lit. a RODO (wyraźna zgoda) |
Przetwarzanie danych dotyczących zdrowia (typ zabiegu / usługi) ma miejsce wyłącznie wtedy, gdy Partner udostępnia taką funkcjonalność w swoim programie lojalnościowym, a Klient wyrazi na to wyraźną, odrębną zgodę. Klient może wycofać zgodę w dowolnym momencie w ustawieniach Aplikacji, co nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem zgody.
§ 4. Zakres i cele przetwarzania danych osobowych Partnerów (B2B)
Administrator przetwarza następujące dane osobowe Partnerów (osób fizycznych prowadzących działalność gospodarczą) oraz osób reprezentujących Partnerów:
| Kategoria danych | Przykładowe dane | Cel przetwarzania | Podstawa prawna |
|---|---|---|---|
| Dane identyfikacyjne i firmowe | Imię, nazwisko, nazwa firmy, NIP, REGON, adres | Zawarcie i wykonanie Umowy, wystawianie faktur | Art. 6 ust. 1 lit. b RODO (wykonanie umowy) |
| Dane kontaktowe | Adres e-mail, numer telefonu | Komunikacja, obsługa Konta, wsparcie techniczne | Art. 6 ust. 1 lit. b RODO (wykonanie umowy) |
| Dane rozliczeniowe | Historia płatności, dane do faktury | Rozliczenia, księgowość, obowiązki podatkowe | Art. 6 ust. 1 lit. c RODO (obowiązek prawny) |
| Dane techniczne | Adres IP, dane logowania, logi aktywności w Dashboardzie | Bezpieczeństwo, audyt, diagnozowanie problemów | Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes) |
| Materiały brandingowe | Logo, kolory, nazwa Partnera | Konfiguracja brandowanego widoku Aplikacji | Art. 6 ust. 1 lit. b RODO (wykonanie umowy) |
§ 5. Rola Administratora w przetwarzaniu danych Klientów Partnerów
- W zakresie danych osobowych Klientów gromadzonych w ramach programu lojalnościowego danego Partnera:
- Partner pełni rolę administratora danych osobowych swoich Klientów,
- Administrator (Auramatic) pełni rolę podmiotu przetwarzającego w rozumieniu art. 28 RODO.
- Szczegółowe zasady powierzenia przetwarzania danych reguluje Umowa Powierzenia Danych (DPA), stanowiąca odrębny dokument akceptowany przez Partnera przy zawarciu Umowy.
- W zakresie danych niezbędnych do funkcjonowania Aplikacji (Konto Klienta, dane techniczne, dane analityczne) Administrator przetwarza dane jako niezależny administrator.
§ 6. Podmioty, którym dane mogą być przekazywane (podprocesorzy)
Administrator może przekazywać dane osobowe następującym kategoriom odbiorców:
| Podmiot / kategoria | Rola | Lokalizacja danych | Zakres danych |
|---|---|---|---|
| Supabase, Inc. | Hosting bazy danych, uwierzytelnianie, Edge Functions | UE (Frankfurt) | Wszystkie dane Klientów i Partnerów przechowywane w Platformie |
| Vercel, Inc. | Hosting Dashboardu (Platforma) | UE | Dane techniczne (logi, adresy IP) |
| Stripe, Inc. | Obsługa płatności | UE/USA (Standard Contractual Clauses) | Dane rozliczeniowe Partnerów |
| SMSAPI (link Mobility Poland) | Wysyłka SMS OTP | UE (Polska) | Numery telefonów Klientów |
| Apple Push Notification Service (APNs) | Dostarczanie powiadomień push (iOS) | UE/USA | Push tokeny, treść powiadomień |
| Firebase Cloud Messaging (FCM) / Google | Dostarczanie powiadomień push (Android) | UE/USA (Standard Contractual Clauses) | Push tokeny, treść powiadomień |
| PostHog, Inc. (PostHog) | Analityka użytkowania | UE | Dane analityczne, zdarzenia w Aplikacji i na stronie internetowej |
| Dostawcy AI (OpenAI / Anthropic) [PLANOWANE] | Funkcje AI (personalizacja, predykcje) | UE/USA (Standard Contractual Clauses) | Zanonimizowane lub pseudonimizowane dane lojalnościowe |
- Przekazywanie danych do podmiotów spoza Europejskiego Obszaru Gospodarczego odbywa się na podstawie standardowych klauzul umownych (Standard Contractual Clauses) zatwierdzonych przez Komisję Europejską lub na podstawie decyzji stwierdzającej odpowiedni stopień ochrony, zgodnie z art. 46 RODO.
- Dane osobowe nie są wykorzystywane do treningu modeli sztucznej inteligencji.
- Administrator może przekazywać dane osobowe także organom publicznym, jeżeli wynika to z obowiązujących przepisów prawa.
§ 7. Okresy przechowywania danych
Dane osobowe są przechowywane przez następujące okresy:
| Kategoria | Okres przechowywania |
|---|---|
| Dane Klienta (Konto aktywne) | Przez cały okres korzystania z Aplikacji |
| Dane Klienta po złożeniu dyspozycji usunięcia Konta | 30 dni (okres karencji) + 90 dni (archiwizacja), łącznie do 120 dni od złożenia dyspozycji |
| Dane Partnera (Umowa aktywna) | Przez cały okres obowiązywania Umowy |
| Dane Partnera po zakończeniu Umowy | 90 dni (okres dostępu do danych i eksportu), następnie trwałe usunięcie |
| Dane rozliczeniowe (faktury, płatności) | 5 lat od końca roku podatkowego, w którym powstał obowiązek podatkowy (obowiązek prawny) |
| Dane analityczne i crash logi | Do 26 miesięcy |
| Dane przetwarzane na podstawie zgody | Do momentu wycofania zgody |
| Dane przetwarzane na podstawie prawnie uzasadnionego interesu | Do momentu wniesienia skutecznego sprzeciwu |
Po upływie okresów wskazanych powyżej dane osobowe są trwale usuwane lub anonimizowane.
§ 8. Prawa Użytkowników
- Każdy Użytkownik, którego dane osobowe przetwarza Administrator, ma prawo do:
- dostępu do danych — uzyskania informacji o przetwarzanych danych oraz otrzymania ich kopii (art. 15 RODO),
- sprostowania danych — żądania poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych (art. 16 RODO),
- usunięcia danych („prawo do bycia zapomnianym") — żądania usunięcia danych, jeżeli nie ma podstawy do ich dalszego przetwarzania (art. 17 RODO),
- ograniczenia przetwarzania — żądania ograniczenia przetwarzania danych w określonych przypadkach (art. 18 RODO),
- przenoszenia danych — otrzymania swoich danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (JSON, CSV) oraz przesłania ich innemu administratorowi (art. 20 RODO),
- sprzeciwu — wniesienia sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora (art. 21 RODO),
- wycofania zgody — w dowolnym momencie, jeżeli przetwarzanie odbywa się na podstawie zgody; wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem (art. 7 ust. 3 RODO).
- W celu skorzystania z powyższych praw Użytkownik może:
- skontaktować się z Administratorem pod adresem: kontakt@auramatic.pl,
- skorzystać z funkcji eksportu danych dostępnej w ustawieniach Aplikacji (Klienci) lub Dashboardu (Partnerzy).
- Administrator realizuje żądania bez zbędnej zwłoki, nie później niż w terminie 30 (trzydziestu) dni od otrzymania żądania. W przypadku skomplikowanych lub licznych żądań termin może zostać przedłużony o kolejne 60 dni, o czym Użytkownik zostanie poinformowany.
- Użytkownik ma prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl), jeżeli uzna, że przetwarzanie jego danych osobowych narusza przepisy RODO.
§ 9. Pliki cookies i technologie śledzące
- Strona internetowa Auramatic (landing page) oraz Dashboard wykorzystują pliki cookies i podobne technologie.
- Stosowane kategorie plików cookies:
| Kategoria | Cel | Przykłady | Wymagana zgoda? |
|---|---|---|---|
| Niezbędne | Prawidłowe działanie strony i Dashboardu, uwierzytelnianie, bezpieczeństwo | Cookies sesyjne, tokeny CSRF | Nie (prawnie uzasadniony interes) |
| Analityczne | Analiza ruchu na stronie, statystyki użytkowania | PostHog | Tak |
| Funkcjonalne | Zapamiętanie preferencji Użytkownika | Ustawienia języka, motyw interfejsu | Nie (prawnie uzasadniony interes) |
- Użytkownik może zarządzać ustawieniami cookies za pomocą:
- banera cookies wyświetlanego przy pierwszej wizycie na stronie,
- ustawień przeglądarki internetowej (instrukcje dostępne w dokumentacji przeglądarki).
- Wyłączenie plików cookies niezbędnych może uniemożliwić prawidłowe korzystanie ze strony lub Dashboardu.
- Aplikacja mobilna nie wykorzystuje plików cookies. Identyfikacja Klienta odbywa się na podstawie tokena uwierzytelniającego (SMS OTP).
§ 10. Profilowanie i zautomatyzowane podejmowanie decyzji
- Administrator może wykorzystywać dane Klientów do profilowania w celu personalizacji usługi, w szczególności:
- doboru treści powiadomień push,
- prezentacji treści edukacyjnych dopasowanych do historii aktywności,
- segmentacji Klientów na potrzeby programów lojalnościowych Partnerów.
- Profilowanie, o którym mowa w ust. 1, nie prowadzi do zautomatyzowanego podejmowania decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na Klienta w rozumieniu art. 22 RODO.
- Klient ma prawo wniesienia sprzeciwu wobec profilowania na zasadach opisanych w § 8 ust. 1 pkt 6 niniejszej Polityki.
§ 11. Bezpieczeństwo danych
- Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych osobowych, w tym:
- szyfrowanie transmisji danych (TLS/SSL),
- szyfrowanie danych w spoczynku,
- uwierzytelnianie wieloskładnikowe (SMS OTP) dla Klientów,
- kontrolę dostępu opartą na rolach (Row Level Security) zapewniającą izolację danych między Partnerami,
- regularne tworzenie kopii zapasowych,
- monitorowanie i logowanie dostępu do danych.
- W przypadku naruszenia ochrony danych osobowych Administrator podejmuje działania zgodne z art. 33–34 RODO, w tym w stosownych przypadkach powiadamia organ nadzorczy oraz osoby, których dane dotyczą.
§ 12. Zmiany Polityki prywatności
- Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce.
- O istotnych zmianach Polityki Administrator informuje Użytkowników za pośrednictwem:
- komunikatu w Aplikacji lub Dashboardzie,
- powiadomienia push (Klienci) lub poczty elektronicznej (Partnerzy).
- Aktualna wersja Polityki jest zawsze dostępna w Aplikacji, w Dashboardzie oraz na stronie internetowej Auramatic.
§ 13. Postanowienia końcowe
- Niniejsza Polityka obowiązuje od dnia 11 maja 2026 r.
- W sprawach nieuregulowanych w niniejszej Polityce zastosowanie mają przepisy RODO oraz polskie przepisy o ochronie danych osobowych.