Wersja 2026-05-09 · obowiązuje od 9 maja 2026

Polityka prywatności Sunrise Studio

Niniejszy dokument opisuje zasady przetwarzania danych osobowych przez Sunrise sp. z o.o. (dalej „Sunrise" lub „my") w związku ze świadczeniem usługi Sunrise Studio. Sporządzono go zgodnie z art. 13 i 14 Rozporządzenia (UE) 2016/679 (RODO).

1. Administrator danych

Administratorem Twoich danych jest Sunrise sp. z o.o. z siedzibą w Nowym Tomyślu (64-300), wpisana do Rejestru Przedsiębiorców KRS pod numerem 0000000000, NIP 0000000000, REGON 000000000.

Kontakt w sprawach RODO: rodo@sunrise.pl

2. Inspektor Ochrony Danych (IOD)

Wyznaczyliśmy Inspektora Ochrony Danych. Możesz się z nim skontaktować pod adresem iod@sunrise.pl lub korespondencyjnie na adres siedziby z dopiskiem „IOD".

3. Jakie dane przetwarzamy

3.1 Dane konta

  • imię, nazwisko, adres e-mail, hasło (haszowane Argon2id)
  • numer telefonu (opcjonalnie, dla 2FA SMS)
  • nazwa firmy, NIP, adres siedziby (jeśli kupujesz subskrypcję)
  • dane logowania (data, IP, user-agent) - do bezpieczeństwa

3.2 Dane operacyjne (treść konta)

  • kontakty CRM, listy klientów, posty social, kampanie email/SMS
  • integracje z platformami (Meta, Google, Stripe) - tokeny OAuth zaszyfrowane AES-256-GCM
  • treści generowane przez AI (posty, opisy, sugestie agenta)

3.3 Dane płatności

  • dane karty nie są przechowywane przez Sunrise - obsługuje je Stripe
  • historia faktur, statusy subskrypcji

4. Cele i podstawy prawne

CelPodstawaOkres
Świadczenie usługi (umowa)art. 6 ust. 1 lit. b RODOczas trwania umowy + 30 dni
Faktury i księgowośćart. 6 ust. 1 lit. c RODO + Ordynacja podatkowa art. 865 lat od końca roku rozliczeniowego
Marketing własny do klientówart. 6 ust. 1 lit. f (uzasadniony interes)do wniesienia sprzeciwu
Newsletter, marketing zewnętrznyart. 6 ust. 1 lit. a (zgoda)do wycofania zgody
Bezpieczeństwo, audyt logówart. 6 ust. 1 lit. f365 dni
Zautomatyzowane decyzje (AI Agent)art. 22 RODO + zgoda dodatkowado wycofania

5. Odbiorcy danych (podprocesorzy)

Twoje dane mogą być przekazywane następującym podprocesorom, z którymi mamy zawarte umowy powierzenia przetwarzania (DPA) zgodne z art. 28 RODO:

  • Stripe Inc. (USA) - płatności. Transfer na podstawie SCC + DPF.
  • Anthropic PBC (USA) - generowanie treści AI. SCC + DPF. Treści AI nie są używane do trenowania modeli.
  • OpenAI Inc. (USA) - rolki Sora 2. SCC + DPF.
  • Cloudflare Inc. (UE/USA) - storage R2. SCC + DPF.
  • Supabase Inc. (UE - Frankfurt) - hosting bazy danych.
  • Sendinblue (Brevo) (UE) - wysyłka email/SMS.
  • Sentry, Functional Software Inc. (USA) - monitoring błędów. SCC.

Pełna aktualna lista: studio.sunrise.pl/dpa#podprocesorzy. Nowi podprocesorzy są ogłaszani z 30-dniowym wyprzedzeniem.

6. Transfery do państw trzecich

Część danych jest przekazywana do USA (Stripe, Anthropic, OpenAI, Cloudflare, Sentry). Podstawą jest:

  • Standardowe Klauzule Umowne UE (SCC) z 2021 r.
  • EU-US Data Privacy Framework (DPF) - dla podmiotów certyfikowanych
  • Ocena skutków transferu (TIA / DTIA) przeprowadzona dla każdego podprocesora

7. Twoje prawa

Zgodnie z RODO masz prawo do:

  • Dostępu (art. 15) - eksport JSON dostępny w Ustawienia → Konto → Eksport danych
  • Sprostowania (art. 16) - edytuj profil w Ustawienia → Konto
  • Usunięcia / „bycia zapomnianym" (art. 17) - przycisk Ustawienia → Konto → Usuń konto; pełna kasacja w 24h od potwierdzenia. Faktury podlegają retencji 5 lat (obowiązek prawny) - są pseudonimizowane.
  • Ograniczenia (art. 18) - napisz na rodo@sunrise.pl
  • Przenoszenia (art. 20) - eksport JSON jest w formacie zgodnym z tym prawem
  • Sprzeciwu (art. 21) - w szczególności wobec marketingu
  • Wycofania zgody w każdej chwili - bez wpływu na zgodność przetwarzania sprzed wycofania
  • Wniesienia skargi do Prezesa UODO (Stawki 2, 00-193 Warszawa, uodo.gov.pl)

Czas reakcji: 30 dni od otrzymania żądania (z możliwością przedłużenia o 60 dni dla skomplikowanych żądań).

8. Bezpieczeństwo

  • Połączenia szyfrowane TLS 1.3, HSTS preload
  • Hasła hashowane Argon2id (memory=64MB, iterations=3)
  • Tokeny OAuth zaszyfrowane AES-256-GCM
  • 2FA TOTP dla ról owner/admin (obowiązkowo)
  • Audyt logów wszystkich operacji na danych osobowych
  • Backupy bazy: pg_dump 24h + Point-in-Time Recovery 7 dni
  • Procedura zgłoszenia naruszenia do UODO w 72h (art. 33 RODO)

9. Zautomatyzowane decyzje (AI Agent)

Funkcja AI Marketing Agent wykorzystuje algorytmy do generowania rekomendacji marketingowych. Zgodnie z art. 22 RODO:

  • Decyzje agenta nie są w pełni zautomatyzowane - wymagają akceptacji człowieka
  • Każda akcja powyżej 200 zł wymaga osobnego potwierdzenia
  • Akcje powyżej 2 000 zł zawsze wymagają ręcznej decyzji
  • Wszystkie decyzje są logowane (append-only audit log, 365 dni)
  • Możesz wyłączyć agenta w dowolnej chwili (kill-switch w panelu)
  • Masz prawo do interwencji człowieka, wyjaśnienia decyzji i jej zakwestionowania

10. Cookies

Szczegóły w Polityce cookies. Stosujemy banner zgód zgodny z IAB TCF v2.2 - cookies analityczne i marketingowe wymagają osobnej zgody.

11. Zmiany polityki

O istotnych zmianach informujemy emailem z 14-dniowym wyprzedzeniem. Wersja archiwalna każdej polityki jest dostępna w /dpa#archiwum.