Polityka prywatności
[Niniejszy dokument został przetłumaczony dla Twojej wygody. Wersją prawnie wiążącą jest wersja w języku angielskim (Kanada).]
Ostatnia aktualizacja: 21 marca 2026
Niniejsza Polityka prywatności opisuje, w jaki sposób RAPID DEV GROUP INC., korporacja z Ontario (Kanada) działająca jako Sitetra ("my", "nas" lub "nasz"), zbiera, wykorzystuje, ujawnia i chroni Twoje dane osobowe podczas korzystania z naszej platformy na sitetra.com oraz wszelkich powiązanych usług (łącznie "Usługa").
Sitetra jest wielodostępną platformą do tworzenia i zarządzania stronami internetowymi. Działamy w podwójnej roli:
- Administrator danych: Dla użytkowników, którzy zakładają konta bezpośrednio w Sitetra (operatorzy stron internetowych, deweloperzy i administratorzy).
- Podmiot przetwarzający dane: Dla użytkowników końcowych stron internetowych tworzonych i obsługiwanych przez naszych klientów (operatorów stron internetowych). W tym przypadku operator strony internetowej jest administratorem danych.
Wersja anglojęzyczna niniejszej Polityki prywatności (en-CA) jest wersją nadrzędną i prawnie wiążącą. Tłumaczenia są udostępniane wyłącznie w celach informacyjnych.
Korzystając z Usługi, wyrażasz zgodę na gromadzenie i wykorzystywanie informacji zgodnie z niniejszą Polityką prywatności. Jeśli się nie zgadzasz, prosimy o niekorzystanie z Usługi.
1. Informacje, które zbieramy
1.1 Informacje o koncie
Podczas tworzenia konta zbieramy: imię i nazwisko, adres e-mail, hasło (przechowywane wyłącznie w postaci zaszyfrowanej, nigdy w postaci jawnej), numer telefonu (opcjonalnie), preferowany język/lokalizację oraz nazwę użytkownika.
1.2 Dane uwierzytelniania i bezpieczeństwa
Zbieramy dane związane z aktywnością uwierzytelniania: znaczniki czasu logowań, adresy IP, ciągi agenta użytkownika (analizowane w celu identyfikacji przeglądarki, systemu operacyjnego i urządzenia), przybliżoną geolokalizację na podstawie adresów IP, tokeny OAuth i identyfikatory profili (przy logowaniu przez Google, Microsoft, Facebook lub GitHub), dane konfiguracji MFA oraz rekordy wykrywania nowych urządzeń.
1.3 Informacje rozliczeniowe i płatnicze
Przetwarzanie płatności jest obsługiwane przez zewnętrznych dostawców, w tym Stripe, Square, PayPal i Wise. Nie przechowujemy pełnych numerów kart kredytowych na naszych serwerach. Możemy przechowywać częściowe informacje o karcie (takie jak ostatnie cztery cyfry i typ karty), adresy rozliczeniowe oraz rejestry transakcji dostarczone przez tych dostawców. Prowadzimy również salda kont kredytowych oraz pełną historię transakcji kredytowych.
1.4 Dane treści
Przechowujemy treści, które tworzysz i przesyłasz za pośrednictwem Usługi, w tym: strony internetowe, posty blogowe, artykuły i FAQ; listy produktów, konfiguracje SKU i dane magazynowe; obrazy, dokumenty i inne przesłane pliki (przechowywane na Cloudflare R2, z redundantną kopią zapasową na Vultr Object Storage); konfiguracje stron, style, szablony i ustawienia projektowe.
1.5 Dane e-commerce i transakcyjne
Gdy operatorzy stron korzystają z funkcji e-commerce, przetwarzamy: zawartość koszyka zakupowego (produkty, ilości, ceny), informacje o zamówieniu (imię i nazwisko klienta, e-mail, adresy do wysyłki i rozliczeniowe), rejestry zamówień (numery biletów, status, status płatności, produkty, sumy, podatki, rabaty), rejestry wykorzystania kuponów, szczegóły metod płatności (tokenizowane, tylko ostatnie cztery cyfry) oraz historię zwrotów.
1.6 Dane CRM i relacji
Operatorzy stron mogą przechowywać dane dotyczące relacji z klientami, w tym: dane kontaktowe (imiona, e-maile, numery telefonów, adresy), rekordy kont firmowych i subkont, historię komunikacji (e-maile, notatki, tagi), przypisania agentów sprzedaży oraz typy i kategorie relacji.
1.7 Dane rezerwacji i rezerwacji
Gdy korzystane są funkcje rezerwacji, przetwarzamy: daty, godziny i czasy trwania spotkań, wielkości grup i preferencje dotyczące miejsc, specjalne życzenia i notatki, blokady płatności przed autoryzacją, statusy rezerwacji i szczegóły potwierdzenia oraz konfiguracje stołów i zmian restauracyjnych.
1.8 Dane recenzji
Gdy funkcje recenzji są włączone, zbieramy: oceny gwiazdkowe i oceny kategorii (jakość, wartość, obsługa itp.), tekst recenzji, zdjęcia recenzji (przesłane przez system plików), tożsamość recenzenta (uwierzytelniona lub anonimowa, w zależności od konfiguracji operatora) oraz weryfikację statusu zakupu.
1.9 Dane newsletterowe i komunikacyjne
W przypadku funkcji newsletterów i marketingu e-mailowego przetwarzamy: adresy e-mail subskrybentów i preferencje, przypisania segmentów i tematy subskrypcji, dane śledzenia dostarczania e-maili (dostarczone, odrzucone, otwarte, kliknięte) otrzymane za pośrednictwem webhooków dostawców e-maili, rejestry rezygnacji z subskrypcji i historię zgód oraz rejestry statusu dostarczania SMS.
1.10 Dane interakcji z AI
Gdy korzystasz z naszych funkcji opartych na AI, zbieramy: zapytania i instrukcje przekazywane usługom AI, odpowiedzi i treści wygenerowane przez AI, liczby tokenów i szacowane koszty, wykorzystywany model AI i dostawcę, identyfikatory sesji i historię konwersacji oraz dane kontekstu biznesowego (wytyczne głosu/tonu, opisy biznesu) przekazywane przez operatorów.
1.11 Dane audio
Jeśli korzystasz z funkcji zamiany mowy na tekst, nagrania audio są przetwarzane za pośrednictwem OpenAI Whisper API (przetwarzanie zewnętrzne) lub Speaches (przetwarzanie na własnej infrastrukturze). Dane audio są wykorzystywane wyłącznie do transkrypcji i nie są przechowywane po zakończeniu przetwarzania.
1.12 Dane weryfikacji tożsamości
Gdy operator strony zleci weryfikację tożsamości, IDenfy może przetwarzać: skany rozpoznawania twarzy, obrazy dokumentów tożsamości wydanych przez rząd i wyodrębnione dane (imię, datę urodzenia, płeć, typ dokumentu, numer dokumentu), status weryfikacji (oczekujący, przesłany e-mailem, zatwierdzony, podejrzany), wyniki kontroli AML oraz dokumenty potwierdzające adres. Dane biometryczne (rozpoznawanie twarzy) są przetwarzane przez IDenfy. Sitetra przechowuje wyniki weryfikacji i wyodrębnione dane osobowe, ale nie przechowuje surowych danych biometrycznych.
1.13 Dane analityczne i śledzenia
Zbieramy dane o korzystaniu ze strony, w tym: odsłony stron i ścieżki nawigacji, identyfikatory sesji i czas trwania, odciski przeglądarki (za pośrednictwem FingerprintJS, używane do bezpieczeństwa i anonimowej identyfikacji koszyka, nie do reklam), typ urządzenia i informacje o ekranie, adresy URL odsyłające oraz preferencje lokalizacji/języka.
1.14 Dane przesyłanych plików
W przypadku przesłanych plików przechowujemy: nazwy plików, rozmiary i typy MIME, oznaczenie dostępu publicznego/prywatnego, powiązane metadane i tagi, specjalne typy plików (ikony, logotypy, okładki) oraz wyniki skanowania antywirusowego.
1.15 Dane rejestracji domen
Jeśli rejestrujesz domenę za pośrednictwem Usługi, dane rejestracyjne WHOIS są przetwarzane przez EasyDNS lub Cloudflare Registrar. Może to obejmować twoje imię, organizację, adres, e-mail i numer telefonu, zgodnie z wymaganiami regulacji rejestracji domen i zasadami ICANN.
1.16 Dane powiadomień push
Jeśli włączysz powiadomienia push, przechowujemy tokeny urządzenia (punkty końcowe i klucze szyfrowania) niezbędne do dostarczania powiadomień na twoje urządzenie.
1.17 Dane rynkowe i finansowe
W przypadku stron korzystających z funkcji metali szlachetnych przetwarzamy: dane z kanałów cenowych w czasie rzeczywistym (ceny kupna/sprzedaży złota, srebra, platyny, palladu), dzienne ceny rozliczeniowe London Fix, dane historycznych wykresów cenowych oraz wiadomości z rynku surowców.
2. Jak wykorzystujemy Twoje informacje
Wykorzystujemy zebrane informacje w następujących celach:
- Działanie usługi: Do zapewniania, utrzymywania i ulepszania platformy Sitetra, w tym tworzenia stron internetowych, zarządzania treścią, hostingu i infrastruktury wielodostępnej.
- Generowanie treści AI: Do zasilania funkcji wspomaganych przez AI, takich jak tworzenie treści, tłumaczenie, optymalizacja SEO, tworzenie stron internetowych, transkrypcja mowy na tekst i analiza obrazów przy użyciu dostawców AI stron trzecich.
- Przetwarzanie e-commerce: Do ułatwiania zarządzania produktami, funkcjonalności koszyka, przetwarzania zamówień, koordynacji płatności, zarządzania kuponami i śledzenia zapasów w imieniu operatorów stron internetowych.
- Zarządzanie rezerwacjami: Do przetwarzania rezerwacji, spotkań i synchronizacji kalendarza w imieniu operatorów stron internetowych.
- Weryfikacja tożsamości: Do ułatwiania weryfikacji KYC/AML, gdy jest wymagana przez operatorów stron internetowych, za pomocą IDenfy.
- Licencjonowanie obrazów stockowych: Do wyszukiwania, podglądu, licencjonowania i dostarczania obrazów stockowych z Shutterstock.
- Zarządzanie domenami: Do rejestracji, odnawiania, monitorowania i zarządzania nazwami domen przez EasyDNS lub Cloudflare Registrar.
- Bezpieczeństwo: Do ochrony kont i platformy poprzez skanowanie ClamAV, uwierzytelnianie wieloskładnikowe (MFA), odciski przeglądarki, ograniczanie szybkości, logowanie uwierzytelniania i geolokalizację IP.
- Rozliczenia i płatności: Do przetwarzania płatności, zarządzania kontami kredytowymi, automatycznego doładowywania, miesięcznego rozliczania stron internetowych i prowadzenia ewidencji finansowej.
- Komunikacja transakcyjna: Do wysyłania e-maili i wiadomości SMS związanych z usługą, w tym weryfikacji konta, resetowania hasła, powiadomień o rozliczeniach, alertów bezpieczeństwa, potwierdzeń zamówień, potwierdzeń rezerwacji i wiadomości e-mail dotyczących odzyskiwania porzuconych koszyków.
- Dostarczanie newsletterów: Do wysyłania marketingowych newsletterów i kampanii e-mailowych w imieniu operatorów stron internetowych do ich subskrybentów.
- Powiadomienia push: Do dostarczania alertów rozliczeniowych, powiadomień o zamówieniach, potwierdzeń rezerwacji, powiadomień o recenzjach i innych powiadomień w czasie rzeczywistym.
- Analityka: Do agregowania odsłon stron i zdarzeń w dzienne i miesięczne podsumowania, dostarczające operatorom stron internetowych informacji o ruchu i wykorzystaniu.
- Synchronizacja kalendarza: Do synchronizacji danych rezerwacji i wydarzeń z zewnętrznymi usługami kalendarza za pośrednictwem protokołu CalDAV.
- Ulepszanie usługi: Do analizy zagregowanych, zanonimizowanych danych o wykorzystaniu w celu ulepszenia funkcji, wydajności i doświadczenia użytkownika.
- Zgodność z prawem: Do przestrzegania obowiązujących przepisów prawa, regulacji i procesów prawnych.
3. Jak udostępniamy Twoje informacje
Nie sprzedajemy Twoich danych osobowych.
Udostępniamy informacje następującym kategoriom stron trzecich wyłącznie w zakresie niezbędnym do świadczenia i zabezpieczenia Usługi:
3.1 Dostawcy usług AI
- Anthropic (Claude): Zapytania treści i dane kontekstowe do generowania AI.
- OpenAI: Zapytania treści, dane kontekstowe i dane audio do generowania AI i zamiany mowy na tekst.
- Google (Gemini): Zapytania treści i dane kontekstowe do generowania AI.
- Ollama (własny hosting): Dane pozostają w naszej infrastrukturze i nie są przesyłane na zewnątrz.
3.2 Podmioty przetwarzające płatności
Stripe, Square, PayPal i Wise do przetwarzania płatności, subskrypcji i przelewów pieniężnych.
3.3 Dostawcy komunikacji
Postmark i Mailgun do dostarczania e-maili. VoIP.ms do dostarczania SMS.
3.4 Rejestratorzy domen
EasyDNS i Cloudflare Registrar do rejestracji, odnawiania i zarządzania DNS domen.
3.5 Dostawca obrazów stockowych
Shutterstock do wyszukiwania i licencjonowania obrazów stockowych.
3.6 Weryfikacja tożsamości
IDenfy do weryfikacji tożsamości KYC/KYB/AML, rozpoznawania twarzy i weryfikacji dokumentów.
3.7 Dostawcy infrastruktury
Cloudflare do CDN, DNS, zapory aplikacji webowych, ochrony DDoS i przechowywania plików (R2). Vultr do redundantnego przechowywania kopii zapasowych plików (Nowy Jork, USA).
3.8 Analityka
Google Analytics (tylko po aktywacji przez operatora strony internetowej).
3.9 Dostawcy OAuth/Uwierzytelniania
Google, Microsoft, Facebook i GitHub do logowania społecznościowego (tylko przy wyborze uwierzytelniania przez tych dostawców).
3.10 Operatorzy stron internetowych
Operatorzy stron otrzymują dane swoich klientów przez interfejs administracyjny i API Platformy. Budujący z dostępem do wielu stron mogą przeglądać dane przypisanych stron.
3.11 Wymogi prawne
Możemy ujawnić Twoje informacje, jeśli wymaga tego prawo, nakaz sądowy lub ważny proces prawny, lub jeśli w dobrej wierze uważamy, że jest to niezbędne do: spełnienia obowiązku prawnego, ochrony praw lub własności RAPID DEV GROUP INC., zapobiegania lub badania możliwych naruszeń lub ochrony bezpieczeństwa osobistego użytkowników lub społeczeństwa.
3.12 Transfery biznesowe
W przypadku fuzji, przejęcia, reorganizacji lub sprzedaży aktywów Twoje dane osobowe mogą zostać przekazane jako część tej transakcji. Powiadomimy Cię e-mailem lub widocznym komunikatem w Usłudze przed objęciem Twoich danych inną polityką prywatności.
4. Przechowywanie danych i bezpieczeństwo
Wdrażamy odpowiednie środki techniczne i organizacyjne w celu ochrony Twoich danych osobowych:
- Lokalizacja: Nasza główna infrastruktura znajduje się w Kanadzie (Ontario). Przechowywanie plików na Cloudflare R2 może być globalnie rozproszone. Redundantne kopie zapasowe plików są przechowywane na Vultr Object Storage w USA (Nowy Jork).
- Baza danych: Dane są przechowywane w PostgreSQL z kluczami głównymi UUID i walidacją typów danych.
- Izolacja wielodostępowa: Dane są logicznie izolowane między stronami internetowymi za pomocą architektury opartej na websiteId. Dane każdej strony są oddzielone i nie mogą być dostępne dla innych najemców.
- Szyfrowanie w tranzycie: Wszystkie dane przesyłane między Twoim urządzeniem a naszymi serwerami są szyfrowane za pomocą TLS/HTTPS.
- Bezpieczeństwo haseł: Hasła są przechowywane przy użyciu standardowego w branży hashowania bcrypt. Nigdy nie przechowujemy haseł w postaci jawnej.
- Bezpieczeństwo poświadczeń API: Klucze API stron trzecich i sekrety webhooków przechowywane w ustawieniach poszczególnych stron są szyfrowane w stanie spoczynku.
- Uwierzytelnianie wieloskładnikowe: MFA jest dostępne dla wszystkich kont i wymagane do dostępu deweloperskiego między stronami.
- Skanowanie złośliwego oprogramowania: Wszystkie przesłane pliki są skanowane za pomocą ClamAV.
- Uwierzytelnianie: Dostęp do API jest zabezpieczony uwierzytelnianiem JWT z konfigurowalnym wygaśnięciem.
- Ograniczanie szybkości: Limity szybkości są stosowane do punktów końcowych uwierzytelniania, przetwarzania AI i ogólnego dostępu do API w celu zapobiegania nadużyciom.
- CORS: Ograniczenia CORS są egzekwowane na podstawie domen stron internetowych.
- Architektura miękkiego usuwania: Usunięte rekordy są najpierw oznaczane znacznikiem czasu usunięcia przed trwałym usunięciem, co zapewnia okno odzyskiwania.
Chociaż staramy się stosować komercyjnie akceptowalne środki ochrony Twoich danych osobowych, żadna metoda transmisji przez Internet ani metoda elektronicznego przechowywania nie jest w 100% bezpieczna. Nie możemy zagwarantować absolutnego bezpieczeństwa.
5. Przechowywanie danych
| Kategoria danych | Okres przechowywania |
|---|---|
| Aktywne dane konta | Przez czas trwania aktywnego konta |
| Usunięte dane konta/strony internetowej | 90 dni po usunięciu, następnie trwale usuwane |
| Rekordy rozliczeń i transakcji kredytowych | Przechowywane bezterminowo (niezmienne zapisy finansowe); minimum 7 lat zgodnie z kanadyjskim prawem podatkowym |
| Dzienniki uwierzytelniania | Konfigurowalne dla każdej strony; obowiązuje domyślny czas trwania sesji |
| Historie dostarczania e-maili | Przechowywane przez czas życia strony internetowej |
| Historie dostarczania SMS | Przechowywane przez czas życia strony internetowej |
| Dzienniki błędów | Przechowywane przez czas życia strony internetowej |
| Surowe dane analityczne (odsłony stron) | Agregowane w podsumowania dzienne, surowe dane czyszczone co noc |
| Dzienne podsumowania analityczne | 13 miesięcy, następnie agregowane w podsumowania miesięczne |
| Miesięczne podsumowania analityczne | Przechowywane bezterminowo |
| Pamięć podręczna geolokalizacji IP | Przechowywane tak długo, jak istnieją powiązane rekordy |
| Dane sesji AI i użytkowania | Przechowywane przez czas życia strony internetowej |
| Dane weryfikacji tożsamości | Przechowywane zgodnie z wymaganiami operatora i obowiązującymi przepisami KYC/AML |
| Rekordy rezerwacji/rezerwacji | Przechowywane przez czas życia strony internetowej |
| Porzucone koszyki zakupowe | Czyszczone co noc po upływie skonfigurowanego przez operatora okresu bezczynności |
| Rekordy anulowanych subskrypcji | Usuwane miękko po 90 dniach |
| Niezweryfikowane konta użytkowników | Czyszczone co noc po upływie okresu ważności |
| Dane zawieszonej strony internetowej (z osieroconą domeną) | 90 dni po osieroceniu domeny |
| Zanonimizowane i zagregowane dane | Przechowywane bezterminowo w celach analitycznych i doskonalenia usług |
Operatorzy mogą zażądać wcześniejszego usunięcia danych swojej strony internetowej, z zastrzeżeniem blokad prawnych i wymogów regulacyjnych.
6. Twoje prawa i wybory
6.1 Wszyscy użytkownicy
Niezależnie od Twojej lokalizacji, masz prawo do:
- Dostęp: Żądanie kopii danych osobowych, które posiadamy na Twój temat.
- Korekta: Żądanie poprawienia niedokładnych lub niekompletnych informacji.
- Usunięcie: Żądanie usunięcia Twoich danych osobowych.
- Przenoszenie: Żądanie Twoich danych w ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie (JSON).
- Rezygnacja: Rezygnacja z nieistotnych komunikatów marketingowych w dowolnym momencie.
- Wypisanie z newslettera: Każdy e-mail marketingowy zawiera działający link do wypisania się.
- Kontrola powiadomień push: Cofnięcie uprawnień do powiadomień push w dowolnym momencie za pośrednictwem ustawień przeglądarki lub urządzenia.
- Usunięcie konta: Żądanie całkowitego usunięcia konta i powiązanych danych.
6.2 Mieszkańcy Kanady (PIPEDA)
Na mocy ustawy o ochronie danych osobowych i dokumentów elektronicznych (PIPEDA) masz prawo do: dostępu do swoich danych osobowych, które posiadamy, kwestionowania dokładności i kompletności informacji oraz żądania ich poprawienia, a także wycofania zgody na zbieranie, wykorzystywanie lub ujawnianie informacji, z zastrzeżeniem ograniczeń prawnych lub umownych.
Odpowiemy na żądania dostępu w ciągu 30 dni. Jeśli nie jesteś zadowolony z naszej odpowiedzi, możesz złożyć skargę do Biura Komisarza ds. Ochrony Prywatności Kanady.
6.3 Mieszkańcy Europy (RODO)
Jeśli mieszkasz w Unii Europejskiej lub Europejskim Obszarze Gospodarczym, masz dodatkowe prawa na mocy ogólnego rozporządzenia o ochronie danych (RODO):
- Prawo dostępu (art. 15): Uzyskanie potwierdzenia, czy przetwarzamy Twoje dane, i żądanie kopii.
- Prawo do sprostowania (art. 16): Poprawienie niedokładnych danych osobowych.
- Prawo do usunięcia danych (art. 17): Żądanie usunięcia danych osobowych ("prawo do bycia zapomnianym").
- Prawo do ograniczenia przetwarzania (art. 18): Żądanie ograniczenia przetwarzania w określonych okolicznościach.
- Prawo do przenoszenia danych (art. 20): Otrzymanie danych w ustrukturyzowanym, nadającym się do odczytu maszynowego formacie.
- Prawo do sprzeciwu (art. 21): Sprzeciw wobec przetwarzania na podstawie uzasadnionych interesów lub w celach marketingu bezpośredniego.
- Prawo do wycofania zgody: Wycofanie zgody w dowolnym momencie, gdy przetwarzanie opiera się na zgodzie.
Odpowiemy na żądania RODO w ciągu 30 dni. Masz również prawo do złożenia skargi do lokalnego organu ochrony danych.
6.4 Mieszkańcy Kalifornii (CCPA)
Jeśli jesteś mieszkańcem Kalifornii, masz następujące prawa na mocy kalifornijskiej ustawy o ochronie prywatności konsumentów (CCPA):
- Prawo do informacji: Żądanie informacji o kategoriach i konkretnych elementach zebranych danych osobowych.
- Prawo do usunięcia: Żądanie usunięcia Twoich danych osobowych.
- Prawo do rezygnacji ze sprzedaży: Nie sprzedajemy danych osobowych, więc to prawo nie ma zastosowania.
- Prawo do niedyskryminacji: Nie będziesz dyskryminowany za korzystanie z praw do prywatności.
Odpowiemy na żądania CCPA w ciągu 45 dni.
6.5 Użytkownicy końcowi stron operatorów
Jeśli jesteś użytkownikiem końcowym strony internetowej działającej na platformie Sitetra, prosimy o kierowanie żądań dotyczących prywatności w pierwszej kolejności do operatora strony, ponieważ to on jest administratorem Twoich danych. Jeśli nie jesteś w stanie skontaktować się z operatorem lub rozwiązać swojego żądania, możesz skontaktować się z Sitetra, a my pomożemy w miarę możliwości.
7. Międzynarodowe transfery danych
RAPID DEV GROUP INC. ma siedzibę w Ontario, Kanada. Twoje informacje mogą być przekazywane i przetwarzane w krajach innych niż Twój za pośrednictwem naszych dostawców usług zewnętrznych.
Główne destynacje transferu danych obejmują:
- Stany Zjednoczone: Dostawcy AI (Anthropic, OpenAI, Google), podmioty przetwarzające płatności (Stripe, Square, PayPal), dostawcy poczty elektronicznej (Postmark, Mailgun), obrazy stockowe (Shutterstock) i weryfikacja tożsamości (IDenfy).
- Kanada: Podstawowa infrastruktura i baza danych.
- Globalnie rozproszone: Cloudflare CDN i przechowywanie plików (R2). Vultr Object Storage do kopii zapasowych plików (Nowy Jork).
Kanada uzyskała decyzję o adekwatności od Komisji Europejskiej, co oznacza, że kanadyjskie przepisy o ochronie danych są uznane za zapewniające odpowiedni poziom ochrony danych osobowych przekazywanych z UE/EOG.
W przypadku transferów do Stanów Zjednoczonych i innych jurysdykcji bez decyzji o adekwatności polegamy na standardowych klauzulach umownych (SCC) lub innych odpowiednich zabezpieczeniach wymaganych przez obowiązujące prawo.
W przypadku przetwarzania AI przez Ollama i zamiany mowy na tekst przez Speaches, dane pozostają w naszej własnej infrastrukturze w Kanadzie i nie opuszczają naszych serwerów.
Korzystając z Usługi, wyrażasz zgodę na transfer swoich informacji do Kanady i innych krajów opisanych w niniejszej Polityce prywatności.
8. Prywatność dzieci
Usługa nie jest przeznaczona do użytku przez osoby poniżej 16 roku życia. Nie zbieramy świadomie danych osobowych od dzieci poniżej 16 roku życia. Jeśli dowiemy się, że zebraliśmy dane osobowe od dziecka poniżej 16 roku życia, podejmiemy kroki w celu niezwłocznego usunięcia tych informacji.
Operatorzy stron internetowych, którzy tworzą strony internetowe dostępne dla dzieci, są odpowiedzialni za zapewnienie zgodności z ustawą COPPA i innymi obowiązującymi przepisami dotyczącymi prywatności dzieci w ich jurysdykcji.
Jeśli uważasz, że mogliśmy zebrać informacje od dziecka poniżej 16 roku życia, prosimy o natychmiastowy kontakt.
9. Pliki cookie i technologie śledzenia
| Typ | Cel | Szczegóły |
|---|---|---|
| Niezbędne pliki cookie | Uwierzytelnianie i zarządzanie sesją | Tokeny sesji JWT, ochrona CSRF. Wymagane do funkcjonowania Usługi. |
| Pliki cookie koszyka | Identyfikacja koszyka zakupowego | Identyfikator oparty na plikach cookie do anonimowego śledzenia koszyka, umożliwiający odwiedzającym utrzymanie koszyka przed utworzeniem konta. |
| Pliki cookie zgody | Przechowywanie preferencji użytkownika | Zapisuje Twoje wybory dotyczące plików cookie, aby były zapamiętywane między wizytami. |
| Bezpieczeństwo | Zapobieganie oszustwom i ochrona konta | Odciski palców przeglądarki FingerprintJS do celów bezpieczeństwa i analityki. Nie używane do reklam. |
| Analityka (opcjonalnie) | Analiza ruchu na stronie | Google Analytics, włączane tylko wtedy, gdy operator strony je aktywuje. |
Nie używamy reklamowych plików cookie ani plików cookie do śledzenia między stronami.
Tryby zgody
Platforma obsługuje trzy tryby zgody, konfigurowalne dla każdej strony przez operatora:
- Powiadomienie: Wyświetla informacyjny baner o używaniu plików cookie.
- Jurysdykcja: Stosuje domyślne ustawienia zgody w oparciu o jurysdykcję.
- Pełna: Wymaga wyraźnej zgody przed ustawieniem nieistotnych plików cookie.
10. Operatorzy stron internetowych (przetwarzanie danych)
Sitetra służy jako platforma umożliwiająca operatorom stron internetowych tworzenie i zarządzanie własnymi stronami. W tym kontekście:
10.1 Role i obowiązki
- Operatorzy stron internetowych są administratorami danych osobowych swoich użytkowników końcowych i klientów.
- Sitetra działa jako podmiot przetwarzający dane, przetwarzając dane w imieniu i zgodnie z instrukcjami operatora strony.
10.2 Obowiązki operatora
Operatorzy stron internetowych są odpowiedzialni za:
- Utrzymywanie własnych polityk prywatności zgodnych z obowiązującymi przepisami.
- Uzyskiwanie niezbędnych zgód od użytkowników końcowych na zbieranie i przetwarzanie danych.
- Odpowiadanie na żądania dotyczące danych od swoich klientów.
- Określanie podstawy prawnej przetwarzania danych swoich klientów.
- Zapewnienie, że korzystanie z funkcji platformy (marketing e-mailowy, recenzje, analityka) jest zgodne z obowiązującymi przepisami o ochronie prywatności i przepisami antyspamowymi.
10.3 Automatyczne przetwarzanie
Sitetra wykonuje następujące automatyczne przetwarzanie w imieniu operatorów: e-maile o odzyskiwaniu porzuconych koszyków, e-maile z prośbą o recenzję, rozliczenia subskrypcji, potwierdzenia rezerwacji, dostarczanie newsletterów, rozliczenia stron internetowych i zaplanowane czyszczenie danych.
10.4 Izolacja danych
Wszystkie dane są izolowane przez websiteId. Jeden operator strony nie może uzyskać dostępu do danych użytkowników końcowych innego operatora. Budowniczowie z dostępem między stronami mogą przeglądać dane tylko dla stron internetowych specjalnie im przypisanych.
10.5 Podwykonawcy przetwarzania
Nasi podwykonawcy przetwarzania są wymienieni w sekcji 18 niniejszej Polityki prywatności. Operatorzy stron powinni odnosić się do tej listy we własnych politykach prywatności, gdy ma to zastosowanie.
10.6 Umowa o przetwarzanie danych
Formalna umowa o przetwarzanie danych (DPA) jest dostępna na żądanie dla operatorów wymagających jej w celu zapewnienia zgodności z RODO lub innymi przepisami.
10.7 Usuwanie danych
Po usunięciu strony internetowej wszystkie powiązane dane (w tym dane użytkowników końcowych) są trwale usuwane po 90-dniowym okresie przechowywania.
11. Praktyki dotyczące danych związane z AI
Nasza platforma integruje się z wieloma dostawcami AI. Oto, w jaki sposób dane są obsługiwane dla każdego z nich:
- Anthropic (Claude): Tekstowe monity, kontekst treści, wytyczne biznesowe i istniejące treści witryny są wysyłane do API Anthropic. Przetwarzanie danych przez Anthropic reguluje ich polityka prywatności i warunki korzystania z usług.
- OpenAI: Tekstowe monity, kontekst treści i dane audio (do zamiany mowy na tekst przez Whisper) są wysyłane do API OpenAI. Dane obrazów mogą być wysyłane do analizy wizualnej (analiza logo, klasyfikacja obrazów). Przetwarzanie danych przez OpenAI reguluje ich polityka prywatności i warunki korzystania z usług.
- Google (Gemini): Tekstowe monity i kontekst treści są wysyłane do API Google Gemini. Przetwarzanie danych przez Google reguluje ich polityka prywatności i warunki korzystania z usług.
- Ollama (hostowany samodzielnie): Tekstowe monity są przetwarzane w całości na naszej własnej infrastrukturze. Żadne dane nie są wysyłane na serwery zewnętrzne.
- Speaches (hostowany samodzielnie): Dane audio do zamiany mowy na tekst są przetwarzane w całości na naszej własnej infrastrukturze. Żadne dane nie są wysyłane na serwery zewnętrzne.
Rejestrowanie użycia AI
Dla każdej interakcji z AI rejestrujemy: dostawcę AI i używany model, liczbę tokenów wejściowych/wyjściowych, szacunkowy koszt w kredytach, identyfikator sesji i powiązaną stronę internetową. Te dane są wykorzystywane do rozliczeń, analizy użytkowania i doskonalenia usług.
Dane kontekstowe AI
Podczas generowania treści AI może otrzymać: nazwę, opis i kontekst biznesowy Twojej strony internetowej, wytyczne dotyczące głosu/tonu skonfigurowane przez operatora, istniejące treści z Twojej strony (do generowania z uwzględnieniem kontekstu), dane z referencyjnych stron internetowych (gdy podano adres URL referencyjny) oraz zapytania wyszukiwania obrazów stockowych.
Ważne: Prosimy o unikanie przesyłania wrażliwych danych osobowych (takich jak numery identyfikacyjne, numery kont finansowych lub informacje zdrowotne) w monitach AI. Chociaż wdrażamy środki bezpieczeństwa, monity AI są przesyłane do dostawców zewnętrznych, jak opisano powyżej.
12. Praktyki dotyczące danych weryfikacji tożsamości
Gdy operator strony internetowej włączy weryfikację tożsamości, obowiązują następujące praktyki dotyczące danych:
12.1 Przepływ danych
Użytkownicy przesyłają dokumenty tożsamości przez interfejs weryfikacyjny IDenfy. IDenfy przetwarza dokumenty i wysyła wyniki weryfikacji do Sitetra za pośrednictwem bezpiecznego webhooka. Sitetra przechowuje wyniki weryfikacji i wyodrębnione dane osobowe.
12.2 Dane biometryczne
Przetwarzanie rozpoznawania twarzy jest wykonywane przez IDenfy. Sitetra nie przechowuje surowych danych biometrycznych (szablonów rozpoznawania twarzy). Przechowujemy jedynie wynik weryfikacji i wyodrębnione dane osobowe (imię i nazwisko, data urodzenia, szczegóły dokumentu).
12.3 Przechowywane dane
Dla każdej weryfikacji przechowujemy: typ weryfikacji (KYC, KYB, POA, AML), status weryfikacji (oczekiwanie, e-mail wysłany, zatwierdzony, podejrzany), wyodrębnione dane osobowe (imię i nazwisko, data urodzenia, płeć, typ dokumentu, numer dokumentu), metadane odpowiedzi dostawcy oraz sygnaturę czasową weryfikacji.
12.4 Przechowywanie
Dane weryfikacyjne są przechowywane tak długo, jak istnieje powiązane konto użytkownika, lub zgodnie z wymogami obowiązujących przepisów KYC/AML. Operatorzy i użytkownicy mogą zażądać usunięcia danych weryfikacyjnych, z zastrzeżeniem wymogów regulacyjnych.
12.5 Dostęp
Użytkownicy mogą zażądać dostępu do swoich rekordów weryfikacyjnych za pośrednictwem operatora strony lub kontaktując się bezpośrednio z Sitetra. Statusy weryfikacji są widoczne dla operatora strony za pośrednictwem interfejsu administracyjnego.
13. Zautomatyzowane podejmowanie decyzji
Zgodnie z art. 22 RODO ujawniamy następujące procesy automatycznego podejmowania decyzji:
- Generowanie treści AI: AI generuje treści na podstawie monitów i kontekstu. Obejmuje to automatyczne przetwarzanie, ale nie podejmuje decyzji mających skutki prawne dla osób. Wszystkie treści generowane przez AI są weryfikowane przez ludzi przed publikacją.
- Weryfikacja tożsamości: Wyniki weryfikacji są tworzone przez automatyczne systemy IDenfy. Wyniki te mają charakter doradczy. Ostateczne decyzje dotyczące zatwierdzenia konta lub ograniczeń podejmuje operator strony (osoba decyzyjna).
- Sprawdzanie salda kredytowego: Operacje są automatycznie blokowane, gdy saldo kredytowe użytkownika osiągnie zero lub spadnie poniżej. Użytkownicy mogą rozwiązać ten problem natychmiast, kupując dodatkowe kredyty.
- Ograniczanie liczby żądań: Żądania API są automatycznie ograniczane po przekroczeniu limitów. Problem rozwiązuje się po upływie okna limitu.
- Zawieszenie strony internetowej: Strony internetowe są automatycznie zawieszane po 30 dniach braku płatności. Następuje to zgodnie z udokumentowanym harmonogramem z ostrzeżeniami w dniu 0 i dniu 15, i może zostać odwrócone przez dodanie wystarczających kredytów.
- Automatyczne zatwierdzanie recenzji: Gdy operator to włączy, recenzje mogą być automatycznie publikowane bez ręcznej moderacji. Jest to wybór konfiguracyjny operatora.
Masz prawo zażądać ludzkiej weryfikacji każdej automatycznej decyzji, która znacząco Cię dotyczy. Skontaktuj się z nami lub z operatorem strony, aby poprosić o weryfikację.
14. Powiadomienie o naruszeniu danych
W przypadku naruszenia ochrony danych osobowych, które może skutkować ryzykiem dla praw i wolności osób fizycznych, Sitetra:
- Powiadomi dotkniętych operatorów stron internetowych w ciągu 72 godzin od powzięcia informacji o naruszeniu (zgodnie z art. 33 RODO).
- Pomoże operatorom w wypełnieniu ich obowiązków powiadamiania użytkowników końcowych i właściwych organów.
- Zgłosi do Biura Komisarza ds. Ochrony Prywatności Kanady, gdy naruszenie dotyczy kanadyjskich danych osobowych i spełnia progi zgłaszania PIPEDA.
Treść powiadomienia o naruszeniu
Powiadomienia o naruszeniu będą zawierać: charakter naruszenia, kategorie dotkniętych danych, przybliżoną liczbę dotkniętych rekordów, podjęte lub proponowane środki oraz dane kontaktowe do dalszych zapytań.
Reagowanie na incydenty
Sitetra utrzymuje procedury reagowania na incydenty, w tym kompleksowe logowanie uwierzytelniania, logowanie błędów, śledzenie geolokalizacji IP i rejestrowanie zdarzeń webhook, aby wspierać dochodzenie i reagowanie na naruszenia.
15. Podstawa prawna przetwarzania
Zgodnie z art. 6 RODO przetwarzamy dane osobowe na następujących podstawach prawnych:
| Podstawa prawna | Czynności przetwarzania |
|---|---|
| Wykonanie umowy | Zarządzanie kontem, hosting stron internetowych, rozliczanie kredytowe, przetwarzanie płatności, rejestracja domen i inne usługi niezbędne do świadczenia Platformy zgodnie z naszymi Warunkami korzystania z usługi. |
| Prawnie uzasadniony interes | Logowanie bezpieczeństwa (dzienniki uwierzytelniania, dzienniki błędów, ograniczanie szybkości), agregacja analityk, zapobieganie oszustwom, odciski przeglądarki w celach bezpieczeństwa i ulepszanie platformy na podstawie zanonimizowanych danych o wykorzystaniu. |
| Zgoda | Subskrypcje newsletterów, powiadomienia push, śledzenie plików cookie (w trybie „pełnej" zgody), opcjonalny Google Analytics i logowanie społecznościowe OAuth. |
| Obowiązek prawny | Weryfikacja tożsamości wymagana przez obowiązujące przepisy KYC/AML, przechowywanie dokumentacji finansowej wymagane przez kanadyjskie prawo podatkowe i ujawnienie danych w odpowiedzi na ważny proces prawny. |
| Instrukcje operatora | Przetwarzanie danych użytkowników końcowych (CRM, e-commerce, rezerwacje, recenzje, newslettery) jako podmiot przetwarzający działający na podstawie udokumentowanych instrukcji operatora strony internetowej. |
16. Powiadomienia push
16.1 Wymóg wyrażenia zgody
Powiadomienia push wymagają wyraźnej zgody przeglądarki lub urządzenia. Zostaniesz poproszony o udzielenie zgody przed wysłaniem jakichkolwiek powiadomień push. Nigdy nie wyślemy powiadomień push bez Twojej zgody.
16.2 Rodzaje powiadomień
Powiadomienia push mogą obejmować: alerty rozliczeniowe (niski stan konta, niewystarczające kredyty, potwierdzenia automatycznego doładowania), powiadomienia o zamówieniach i płatnościach, potwierdzenia i przypomnienia o rezerwacjach, powiadomienia o recenzjach i inne powiadomienia operacyjne skonfigurowane przez operatora strony internetowej.
16.3 Przechowywane dane
Podczas subskrypcji powiadomień push przechowujemy punkt końcowy subskrypcji push i powiązane klucze szyfrowania. Te dane są przechowywane dla każdego użytkownika i każdego urządzenia.
16.4 Cofnięcie
Możesz cofnąć zgodę na powiadomienia push w dowolnym momencie poprzez ustawienia przeglądarki lub urządzenia. Cofnięcie zgody natychmiast zatrzymuje wszystkie powiadomienia push. Możesz również zrezygnować z określonych typów powiadomień w ustawieniach konta.
17. Dzienniki aktywności i ścieżka audytu
Platforma prowadzi różne dzienniki w celach bezpieczeństwa, debugowania, zgodności i rozstrzygania sporów:
- Dzienniki uwierzytelniania: Wszystkie próby logowania (udane i nieudane) są rejestrowane z adresem IP, agentem użytkownika i przybliżoną geolokalizacją.
- Dzienniki błędów: Błędy aplikacji są rejestrowane z nazwą usługi, metodą i odpowiednim kontekstem danych (z usunięciem danych wrażliwych).
- Śledzenie dostarczania e-maili: Status wysyłki e-maili (dostarczony, odrzucony, zgłoszony, otwarty, kliknięty) jest śledzony za pośrednictwem webhooków od dostawców e-mail.
- Śledzenie dostarczania SMS: Status dostarczania SMS i odpowiedzi są śledzone za pośrednictwem webhooków od VoIP.ms.
- Historia transakcji kredytowych: Wszystkie transakcje kredytowe są niezmiennymi rekordami zawierającymi typ transakcji, kwotę, saldo przed i po oraz powiązane metadane.
- Dzienniki inwentaryzacji: Ruchy inwentaryzacyjne (wejście, wyjście, zablokowane, korekta, synchronizacja, zamówienie wsteczne) są rejestrowane z ilościami przed i po.
- Dzienniki aktywności: Działania użytkowników w interfejsie administracyjnym mogą być rejestrowane w celach audytowych.
- Dzienniki zdarzeń webhook: Przychodzące zdarzenia webhook od procesorów płatności, dostawców e-mail i innych usług są rejestrowane w celach debugowania i uzgadniania.
Operatorzy stron mogą przeglądać odpowiednie dzienniki dla swojej strony za pośrednictwem interfejsu administracyjnego.
18. Lista podprzetwarzających
Poniższa tabela zawiera listę naszych obecnych podwykonawców przetwarzania. Powiadomimy operatorów stron o istotnych zmianach na tej liście.
| Podwykonawca | Cel | Przetwarzane dane | Lokalizacja |
|---|---|---|---|
| Anthropic | Generowanie tekstu AI (Claude) | Monity, kontekst treści | Stany Zjednoczone |
| OpenAI | Generowanie tekstu AI, zamiana mowy na tekst, analiza wizualna | Monity, audio, obrazy | Stany Zjednoczone |
| Generowanie tekstu AI (Gemini), analityka | Monity, analityka stron | Stany Zjednoczone | |
| Stripe | Przetwarzanie płatności | Dane płatnicze, dane rozliczeniowe | Stany Zjednoczone |
| Square | Przetwarzanie płatności, POS | Dane płatnicze, dane rozliczeniowe | Stany Zjednoczone |
| PayPal | Przetwarzanie płatności | Dane płatnicze, dane rozliczeniowe | Stany Zjednoczone |
| Wise | Przelewy pieniężne | Dane płatnicze, dane rozliczeniowe | Wielka Brytania |
| Postmark | Dostarczanie e-maili | Adresy e-mail, treść e-maili | Stany Zjednoczone |
| Mailgun | Dostarczanie e-maili | Adresy e-mail, treść e-maili | Stany Zjednoczone |
| VoIP.ms | Wiadomości SMS | Numery telefonów, treść wiadomości | Kanada |
| Shutterstock | Licencjonowanie zdjęć stockowych | Zapytania wyszukiwania | Stany Zjednoczone |
| IDenfy | Weryfikacja tożsamości (KYC/AML) | Dokumenty tożsamości, zdjęcia twarzy, dane osobowe | Litwa / UE |
| EasyDNS | Rejestracja domen | Dane WHOIS, konfiguracja domeny | Kanada |
| Cloudflare | CDN, DNS, przechowywanie, rejestracja domen | Ruch internetowy, pliki, konfiguracja domeny | Globalnie |
| Microsoft | Uwierzytelnianie OAuth | Tokeny autoryzacji, informacje o profilu | Stany Zjednoczone |
| Facebook (Meta) | Uwierzytelnianie OAuth | Tokeny autoryzacji, informacje o profilu | Stany Zjednoczone |
| GitHub | Uwierzytelnianie OAuth | Tokeny autoryzacji, informacje o profilu | Stany Zjednoczone |
Uwaga: Ollama (AI) i Speaches (zamiana mowy na tekst) działają na naszej własnej infrastrukturze i nie są zewnętrznymi podwykonawcami przetwarzania.
19. Zmiany w niniejszej Polityce prywatności
Możemy od czasu do czasu aktualizować niniejszą Politykę prywatności. Poinformujemy Cię o wszelkich istotnych zmianach, publikując zaktualizowaną politykę w Usłudze i aktualizując datę „Ostatnia aktualizacja". Tam, gdzie wymaga tego prawo, zapewnimy co najmniej 30-dniowe wyprzedzenie przed wejściem zmian w życie.
Dalsze korzystanie z Usługi po wejściu zmian w życie stanowi akceptację zmienionej Polityki prywatności.
Korzystanie z Sitetra podlega również naszym Warunkom korzystania z usługi, które są włączone przez odniesienie do niniejszej Polityki prywatności.
20. Kontakt
Jeśli masz pytania, wątpliwości lub żądania dotyczące niniejszej Polityki prywatności lub naszych praktyk w zakresie danych, skontaktuj się z nami:
RAPID DEV GROUP INC.
Działająca jako Sitetra
Ontario, Kanada
Zapytania dotyczące prywatności: [email protected]
Zapytania ogólne: [email protected]
Kwestie prawne i organy ścigania: [email protected]
W przypadku skarg lub zapytań dotyczących prywatności związanych z konkretnymi jurysdykcjami:
- Kanada: Biuro Komisarza ds. Ochrony Prywatności Kanady (www.priv.gc.ca)
- Unia Europejska: Skontaktuj się z lokalnym organem ochrony danych
- Kalifornia: Biuro Prokuratora Generalnego Kalifornii