1. Kto odpowiada za Twoje dane
Administratorem danych osobowych jest Om Fund Operations sp. z o.o., [adres], Polska („Brontwell", „my"). Kontakt w sprawach prywatności: privacy@brontwell.app (nie powołaliśmy formalnego inspektora ochrony danych; weryfikujemy tę potrzebę w miarę rozwoju). Naszym organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych — UODO (uodo.gov.pl).
Ogólne rozporządzenie o ochronie danych (RODO) stosujemy wobec wszystkich użytkowników na świecie. Jeśli prawo Twojego kraju daje Ci dodatkowe uprawnienia, stosuje się do Ciebie również sekcja 14.
2. W skrócie
- Twoje profile zdrowotne żyją na Twoim urządzeniu, nie na naszych serwerach.
- Gdy zadajesz pytanie, do naszego dostawcy AI (OpenAI Ireland Ltd., UE) trafiają wyłącznie dane potrzebne do tego pytania — na podstawie Twojej wyraźnej zgody, którą możesz w każdej chwili wyłączyć w Ustawienia → Prywatność.
- Twoje dane zdrowotne nigdy nie służą nam do trenowania modeli AI — a na mocy naszej umowy z OpenAI nie służą do tego również naszemu dostawcy AI (w planie BYO Key obowiązuje Twoja własna umowa z OpenAI — patrz sekcja 5). Nigdy ich nie sprzedajemy.
- Analityka: PostHog, hostowany w UE, [cookieless — wariant A polityki cookies], nigdy nie zawiera treści Twoich pytań ani danych zdrowotnych.
3. Co przetwarzamy, po co i na jakiej podstawie
| Dane | Cel | Podstawa prawna |
|---|---|---|
| Dane konta (e-mail, hash hasła) | logowanie, bezpieczeństwo, komunikaty serwisowe | umowa (art. 6 ust. 1 lit. b RODO) |
| Dane profilowe i zdrowotne (historia diety, choroby, które zapiszesz, alergie i nietolerancje, suplementy, wyniki badań, względy religijne lub światopoglądowe dotyczące diety, etap życia — np. ciąża) — Twoje i osób pod Twoją opieką | spersonalizowane wskazówki żywieniowe AI | wyraźna zgoda (art. 9 ust. 2 lit. a RODO) — osobny krok zgody w onboardingu; przy profilu dorosłego członka rodziny — jego własna zgoda przekazana za Twoim pośrednictwem (patrz sekcja 3a) |
| Zdjęcia posiłków oraz wnioski żywieniowe, które nasza AI wyprowadza z Twoich danych i pytań | analiza posiłku w Twoim zapytaniu; personalizacja | wyraźna zgoda (art. 9 ust. 2 lit. a RODO) — zdjęcia mogą ujawniać kontekst zdrowotny; przetwarzane per zapytanie |
| Podstawowe dane o ciele, które podasz (wiek, płeć, wzrost, waga) | kontekst personalizacji Twoich zapytań | wyraźna zgoda (art. 9 ust. 2 lit. a RODO) — przetwarzane razem z profilem zdrowotnym |
| Dane techniczne i diagnostyczne (adres IP, typ urządzenia/przeglądarki, logi błędów po oczyszczeniu) | działanie usługi, bezpieczeństwo, usuwanie błędów | prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) |
| E-mail marketingowy (opcjonalny) | nowości produktowe i oferty | zgoda (art. 6 ust. 1 lit. a RODO) — osobny, domyślnie odznaczony opt-in; wycofanie w każdej chwili linkiem rezygnacji lub w Ustawieniach |
| Dane profili zwierząt | wskazówki żywieniowe dla zwierzęcia | umowa (art. 6 ust. 1 lit. b RODO) — informacje o Twoim zwierzęciu dotyczą Ciebie jako właściciela i są przetwarzane w ramach Twojego konta |
| Dane płatnicze | rozliczenia | umowa; przetwarza Stripe — nigdy nie widzimy pełnych numerów kart |
| Analityka użytkowania | rozwój produktu | prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) — bez cookies, wyłącznie zagregowana, nigdy nie obejmuje danych zdrowotnych ani treści pytań; przełącznik sprzeciwu w Ustawienia → Prywatność |
| Korespondencja z pomocą techniczną | pomoc Tobie | prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO); jeśli w wiadomości zawrzesz informacje o zdrowiu, użyjemy ich wyłącznie do załatwienia Twojej sprawy — Twoja wiadomość jest Twoją wyraźną prośbą (art. 9 ust. 2 lit. a RODO) — i usuniemy je po jej rozwiązaniu |
| Dokumentacja rozliczeniowa i księgowa | obowiązki podatkowe i rachunkowe | obowiązek prawny (art. 6 ust. 1 lit. c RODO) — przechowywana przez okres ustawowy (Polska: 5 lat) |
Względy religijne lub światopoglądowe dotyczące diety są również danymi szczególnych kategorii (art. 9 RODO) — obejmuje je ten sam krok wyraźnej zgody, w którym są wymienione z nazwy.
Czy podanie danych jest wymagane? Dane konta i płatności są niezbędne do założenia konta i zakupu subskrypcji — bez nich nie możemy świadczyć usługi. Wszystkie dane profilu zdrowotnego są dobrowolne: bez Twojej zgody funkcje AI po prostu pozostają niedostępne, a z części aplikacji niezwiązanych z AI nadal możesz korzystać. Żadnych danych nie podajesz z mocy prawa.
Nota o profilowaniu: wskazówki Brontwella powstają w drodze zautomatyzowanego przetwarzania (profilowania) danych, które podajesz — na tym polega usługa, którą zamawiasz. Nie zapadają przy tym żadne decyzje wywołujące wobec Ciebie skutki prawne ani podobnie istotne, a każdą wątpliwość może na Twoją prośbę zweryfikować człowiek: privacy@brontwell.app.
3a. Profile innych osób dorosłych
Gdy tworzysz profil innej osoby dorosłej (np. partnera lub rodzica), jej dane zdrowotne należą do niej. Taki profil możesz utworzyć tylko wtedy, gdy ta osoba zapoznała się z naszą krótką notą dla członków rodziny i wyraziła zgodę; prosimy Cię o potwierdzenie tego przy tworzeniu profilu i rejestrujemy to potwierdzenie jak każdą inną zgodę. Osoba, której profil dotyczy, może w każdej chwili napisać na privacy@brontwell.app, aby uzyskać dostęp do swoich danych, wnieść sprzeciw lub zażądać usunięcia profilu — realizujemy takie żądania bezpośrednio, bez potrzeby akceptacji posiadacza konta.
4. Dane zdrowotne i wyraźna zgoda
Dane dotyczące zdrowia w rozumieniu art. 9 ust. 1 RODO przetwarzamy wyłącznie na podstawie Twojej wyraźnej zgody (art. 9 ust. 2 lit. a RODO), odbieranej w dedykowanym kroku onboardingu, odrębnie od regulaminu i od jakichkolwiek zgód marketingowych. Zgoda wymienia kategorie danych, cel (wskazówki żywieniowe generowane przez AI), odbiorcę (OpenAI Ireland Ltd.) oraz zasadnicze konsekwencje przetwarzania — w tym to, że wskazówki generowane przez AI mogą być niepełne lub błędne oraz że dane zdrowotne są przekazywane naszemu dostawcy AI przy każdym zapytaniu.
Zgodę możesz wycofać w każdej chwili: Ustawienia → Prywatność → Przetwarzanie danych zdrowotnych przez AI → Wyłącz. Wycofanie działa natychmiast: żadne dane zdrowotne nie opuszczają już Twojego urządzenia, funkcje AI zostają wstrzymane, a Twoje lokalne dane pozostają na urządzeniu. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania sprzed wycofania (art. 7 ust. 3 RODO).
Rejestrujemy zdarzenia zgody (identyfikator użytkownika, wersja zgody, znacznik czasu, kategorie), aby spełnić obowiązek rozliczalności (art. 7 ust. 1 RODO); retencja: [X lat — decyzja prawnika].
5. Przetwarzanie AI — co opuszcza Twoje urządzenie
Gdy zadajesz pytanie, budujemy prompt zawierający wyłącznie to, czego to pytanie wymaga: odpowiednie atrybuty profilu (np. listę alergenów przy pytaniu o posiłek; konkretną wartość badania przy pytaniu o wyniki — z wyjątkiem użytkowników w Australii, patrz sekcja 14.3), samo pytanie oraz zdjęcie, jeśli je załączysz. Do promptów nigdy nie trafiają Twoje imię i nazwisko, e-mail ani identyfikatory urządzenia.
Prompt trafia do OpenAI Ireland Ltd. (Dublin, Irlandia — podmiot z UE podlegający RODO), działającej jako nasz podmiot przetwarzający na podstawie umowy powierzenia przetwarzania (DPA). OpenAI nie używa danych z API do trenowania swoich modeli i nie przechowuje ich dłużej niż przez krótkie okna operacyjne.
W planie BYO Key aplikacja buduje prompty tak samo, ale wysyła je do OpenAI w ramach Twojego własnego konta OpenAI i Twojej umowy API — OpenAI występuje tam jako odbiorca na podstawie Twojej bezpośredniej relacji z tą firmą, a nie na podstawie naszej umowy powierzenia. Informujemy Cię o tym i prosimy o potwierdzenie przy podpinaniu klucza; do tego ruchu stosują się warunki API OpenAI (w tym zobowiązania no-training).
6. Nasi podmioty przetwarzające i odbiorcy
| Odbiorca | Rola | Lokalizacja | Zabezpieczenie |
|---|---|---|---|
| OpenAI Ireland Ltd. | przetwarzanie AI per zapytanie | UE (Irlandia) | DPA [+ Healthcare Addendum — W TOKU] |
| Stripe | płatności | [podmiot UE — Stripe Payments Europe] | samodzielny administrator w zakresie obsługi płatności |
| PostHog | analityka produktowa | EU Cloud | DPA [zweryfikować podpisanie] |
| Sentry | monitoring błędów | [region — ZWERYFIKOWAĆ; czy errory zawierają dane zdrowotne? — task GH#331] | DPA [status?] |
| Langfuse | monitorowanie jakości LLM — otrzymuje spseudonimizowane logi zapytań: Twoje pytanie, odpowiedź i zdjęcie posiłku (po usunięciu metadanych lokalizacji) — nigdy dane profilu ani Twoją tożsamość; retencja 30 dni | EU Cloud | DPA — podpisać (self-serve) |
| [Dostawca e-mail — SendGrid/Resend TBD] | e-mail transakcyjny | [—] | DPA [status?] |
| [Hosting — DigitalOcean?] | infrastruktura | [region] | DPA [status?] |
Aktualna lista także pod: brontwell.app/subprocessors. O zmianach informujemy z wyprzedzeniem co najmniej [30] dni powiadomieniem w aplikacji i e-mailem.
Nie sprzedajemy danych osobowych i nie udostępniamy ich reklamodawcom ani brokerom danych.
7. Przekazywanie danych poza EOG
Gdzie to możliwe, utrzymujemy przetwarzanie w UE/EOG (OpenAI Ireland, PostHog EU). Jeżeli którykolwiek dostawca przetwarza dane poza EOG, opieramy się na decyzjach stwierdzających odpowiedni stopień ochrony lub na standardowych klauzulach umownych (SCC); szczegóły na żądanie: privacy@brontwell.app.
8. Retencja
- Dane na urządzeniu (profile, dane zdrowotne): pod Twoją kontrolą; znikają, gdy usuwasz profile, czyścisz dane aplikacji lub usuwasz konto.
- Dane konta po stronie serwera: przez czas istnienia konta + [X] dni po usunięciu.
- Dane zapytań AI: nie przechowujemy ich po udzieleniu odpowiedzi, z wyjątkiem zamaskowanych, spseudonimizowanych śladów operacyjnych (niżej); OpenAI — zgodnie ze swoją polityką obsługi danych API [krótkie okno operacyjne].
- Rejestr zgód: [X lat] po usunięciu konta (rozliczalność, art. 7 ust. 1 RODO).
- Analityka: [okres — ustawienie projektu PostHog; ZWERYFIKOWAĆ].
- Spseudonimizowane logi jakości (Langfuse): 30 dni.
- Dokumentacja rozliczeniowa i księgowa: ustawowy okres przechowywania (Polska: 5 lat).
9. Twoje prawa
Masz prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia oraz sprzeciwu, a także prawo wycofania każdej zgody w dowolnym momencie. Realizacja: w aplikacji (Ustawienia → Prywatność / Konto) lub przez privacy@brontwell.app; odpowiadamy w ciągu miesiąca. Możesz też wnieść skargę do Prezesa UODO (Polska) lub swojego lokalnego organu nadzorczego.
Większość danych żyje na Twoim urządzeniu, więc dostęp do danych profilowych i ich usuwanie masz natychmiast we własnych rękach; po stronie serwera przechowujemy dane konta, rejestr zgód i analitykę.
10. Dzieci
Konta Brontwella są dla dorosłych (18+). Profile dzieci tworzy i prowadzi rodzic lub opiekun prawny — dzieci same nie korzystają z Brontwella i nie zbieramy żadnych danych bezpośrednio od dzieci. Posiadacz konta kontroluje dane profilu dziecka i może je w każdej chwili usunąć.
11. Bezpieczeństwo
Twoje profile zdrowotne są przechowywane wyłącznie na Twoim urządzeniu — nie trzymamy ich na naszych serwerach, co usuwa najczęstszy scenariusz wycieku u źródła. Dane w tranzycie chroni TLS. Gdy zadajesz pytanie, urządzenie opuszcza wyłącznie minimum danych potrzebne do odpowiedzi, a nasze narzędzia analityczne i monitoringu błędów są skonfigurowane tak, by nie otrzymywać danych zdrowotnych ani treści pytań. Dane konta po stronie serwera chronią kontrole dostępu, a my prowadzimy ciągły program bezpieczeństwa (niezależne audyty kodu, monitoring zależności, hardening infrastruktury). Żaden system nie jest doskonale bezpieczny: chroń urządzenie kodem blokady i dbaj o bezpieczeństwo konta e-mail, którym się logujesz — dane na urządzeniu są tak bezpieczne, jak urządzenie, na którym żyją.
12. Ocena skutków (DPIA)
Przetwarzanie danych zdrowotnych z użyciem AI to przetwarzanie wysokiego ryzyka; [przeprowadziliśmy / kończymy] ocenę skutków dla ochrony danych zgodnie z art. 35 RODO.
13. Zmiany
Zmiany publikujemy tutaj, aktualizując wersję i datę; o zmianach istotnych informujemy w aplikacji z [30]-dniowym wyprzedzeniem. Jeżeli zmiana wymaga nowej zgody (np. nowy cel przetwarzania danych zdrowotnych), poprosimy o nią — nigdy nie rozszerzamy zgody po cichu.
14. Suplementy krajowe
14.2 Stany Zjednoczone
Jeśli jesteś w Stanach Zjednoczonych, stosuje się do Ciebie ta sekcja oraz nasza odrębna Consumer Health Data Privacy Policy (polityka prywatności danych zdrowotnych konsumentów — wyraźnie podlinkowana na stronie głównej).
Zbieramy kategorie informacji opisane w sekcji 3, w celach tam wskazanych. Dane osobowe udostępniamy wyłącznie dostawcom usług i operatorowi płatności wymienionym w sekcji 6 — dostawcom na podstawie umów ograniczających użycie danych do świadczenia usług dla nas, a Stripe jako niezależnemu operatorowi płatności. Nie sprzedajemy Twoich danych osobowych ani danych zdrowotnych konsumenta i nie udostępniamy ich do reklamy targetowanej. Nasza usługa nie reaguje na sygnały przeglądarki „Do Not Track" ani Global Privacy Control, ponieważ nie śledzimy użytkowników w czasie ani pomiędzy witrynami podmiotów trzecich i nie sprzedajemy ani nie „udostępniamy" danych w rozumieniu tych sygnałów; niniejsza informacja realizuje nasz obowiązek ujawnienia. Podmioty trzecie nie zbierają przez naszą usługę danych o Twojej aktywności online w czasie i pomiędzy witrynami.
Dane zdrowotne konsumenta (mieszkańcy stanów Waszyngton, Nevada, Connecticut): Twoje dane zdrowotne zbieramy wyłącznie za Twoją zgodą opt-in, wyrażaną w dedykowanym kroku w aplikacji, odrębnym od akceptacji regulaminu. Tworząc profil swojego dziecka, wyrażasz tę zgodę w jego imieniu jako rodzic lub opiekun prawny. Możesz w każdej chwili wycofać zgodę, zażądać dostępu (w tym listy podmiotów trzecich, którym dane ujawniono) oraz zażądać usunięcia — w aplikacji lub przez privacy@brontwell.app; odpowiadamy w ciągu 45 dni. Szczegóły i pełna treść: Consumer Health Data Privacy Policy.
14.3 Australia
Jeśli jesteś w Australii, do naszego przetwarzania Twoich danych stosują się Privacy Act 1988 (Cth) i Australian Privacy Principles (APPs — australijskie zasady prywatności) — świadczymy to, co prawo australijskie nazywa „health service", więc przestrzegamy Privacy Act w całości, niezależnie od naszej wielkości.
Informacje o zdrowiu (alergie, historia diety, wyniki badań, etap życia oraz powiązane wnioski) zbieramy wyłącznie za Twoją wyraźną zgodą, wyrażaną w dedykowanym kroku, odrębnym od regulaminu i od wyborów marketingowych (sekcja 4). Tworząc profil dziecka, wyrażasz tę zgodę w jego imieniu jako rodzic lub opiekun prawny; do profili innych dorosłych stosuje się sekcja 3a. Nie używamy Twoich informacji o zdrowiu do marketingu bezpośredniego.
Przetwarzanie za granicą: Twoje dane osobowe są przetwarzane w Polsce i Irlandii (Unia Europejska) [oraz — po weryfikacji Sentry/e-mail — Stany Zjednoczone]. Naszych dostawców wiążą umowy zobowiązujące do postępowania z danymi zgodnie z Australian Privacy Principles, a my pozostajemy przed Tobą odpowiedzialni za ich postępowanie; Stripe obsługuje płatności jako niezależny operator płatności według własnej polityki prywatności.
Zautomatyzowane przetwarzanie: wskazówki żywieniowe Brontwella generują programy komputerowe (modele AI) na podstawie rodzajów informacji opisanych powyżej (Twój profil, informacje o zdrowiu i pytania); rodzaj tak powstających wyników to spersonalizowane sugestie żywieniowe i dotyczące stylu życia. Każdą wątpliwość możesz zgłosić człowiekowi: privacy@brontwell.app.
Wyniki badań (Australia): wyniki badań, które zapiszesz, są przechowywane i wyświetlane wyłącznie do Twojego wglądu — nie są używane przez nasze funkcje AI ani do nich wysyłane.
Naruszenia ochrony danych: podejrzane naruszenia oceniamy w ciągu 30 dni i zawiadamiamy Ciebie oraz Office of the Australian Information Commissioner, gdy naruszenie może wyrządzić poważną szkodę.
Skargi i dostęp: możesz uzyskiwać dostęp do swoich danych i je poprawiać (sekcja 9) oraz złożyć skargę do nas na privacy@brontwell.app — potwierdzamy wpływ w ciągu 7 dni i odpowiadamy merytorycznie w ciągu 30 dni; jeśli odpowiedź Cię nie satysfakcjonuje, możesz poskarżyć się do OAIC (oaic.gov.au).
14.4 Kanada
Jeśli jesteś w Kanadzie, do naszego przetwarzania Twoich danych stosuje się PIPEDA, a Twoje informacje o zdrowiu traktujemy jako wrażliwe i przetwarzamy wyłącznie za Twoją wyraźną zgodą (krok zgody opisany w sekcji 4).
Przetwarzanie poza Kanadą: Twoje dane osobowe są przetwarzane w Unii Europejskiej (oraz, gdzie wskazano w sekcji 6, w innych lokalizacjach) przez nas i naszych dostawców usług i mogą być dostępne dla organów ścigania i innych władz tych jurysdykcji na podstawie tamtejszego prawa.
Pozostajemy odpowiedzialni za dane osobowe przekazywane naszym dostawcom do przetwarzania, niezależnie od ich lokalizacji. Jeżeli naruszenie naszych zabezpieczeń stworzy realne ryzyko poważnej szkody dla Ciebie, zawiadomimy Ciebie oraz Office of the Privacy Commissioner of Canada.
Nasza osoba odpowiedzialna za prywatność: [imię/rola] — privacy@brontwell.app. Możesz też kontaktować się z Office of the Privacy Commissioner of Canada (priv.gc.ca).
Quebec: Brontwell nie jest obecnie oferowany mieszkańcom Quebecu (patrz regulamin, sekcja 15.5).
15. Kontakt
Om Fund Operations sp. z o.o. · [adres] · privacy@brontwell.app