Wersja 2026-05-09 · obowiązuje od 9 maja 2026
Polityka prywatności Sunrise Studio
Niniejszy dokument opisuje zasady przetwarzania danych osobowych przez Sunrise sp. z o.o. (dalej „Sunrise" lub „my") w związku ze świadczeniem usługi Sunrise Studio. Sporządzono go zgodnie z art. 13 i 14 Rozporządzenia (UE) 2016/679 (RODO).
1. Administrator danych
Administratorem Twoich danych jest Sunrise sp. z o.o. z siedzibą w Nowym Tomyślu (64-300), wpisana do Rejestru Przedsiębiorców KRS pod numerem 0000000000, NIP 0000000000, REGON 000000000.
Kontakt w sprawach RODO: rodo@sunrise.pl
2. Inspektor Ochrony Danych (IOD)
Wyznaczyliśmy Inspektora Ochrony Danych. Możesz się z nim skontaktować pod adresem iod@sunrise.pl lub korespondencyjnie na adres siedziby z dopiskiem „IOD".
3. Jakie dane przetwarzamy
3.1 Dane konta
- imię, nazwisko, adres e-mail, hasło (haszowane Argon2id)
- numer telefonu (opcjonalnie, dla 2FA SMS)
- nazwa firmy, NIP, adres siedziby (jeśli kupujesz subskrypcję)
- dane logowania (data, IP, user-agent) - do bezpieczeństwa
3.2 Dane operacyjne (treść konta)
- kontakty CRM, listy klientów, posty social, kampanie email/SMS
- integracje z platformami (Meta, Google, Stripe) - tokeny OAuth zaszyfrowane AES-256-GCM
- treści generowane przez AI (posty, opisy, sugestie agenta)
3.3 Dane płatności
- dane karty nie są przechowywane przez Sunrise - obsługuje je Stripe
- historia faktur, statusy subskrypcji
4. Cele i podstawy prawne
| Cel | Podstawa | Okres |
|---|---|---|
| Świadczenie usługi (umowa) | art. 6 ust. 1 lit. b RODO | czas trwania umowy + 30 dni |
| Faktury i księgowość | art. 6 ust. 1 lit. c RODO + Ordynacja podatkowa art. 86 | 5 lat od końca roku rozliczeniowego |
| Marketing własny do klientów | art. 6 ust. 1 lit. f (uzasadniony interes) | do wniesienia sprzeciwu |
| Newsletter, marketing zewnętrzny | art. 6 ust. 1 lit. a (zgoda) | do wycofania zgody |
| Bezpieczeństwo, audyt logów | art. 6 ust. 1 lit. f | 365 dni |
| Zautomatyzowane decyzje (AI Agent) | art. 22 RODO + zgoda dodatkowa | do wycofania |
5. Odbiorcy danych (podprocesorzy)
Twoje dane mogą być przekazywane następującym podprocesorom, z którymi mamy zawarte umowy powierzenia przetwarzania (DPA) zgodne z art. 28 RODO:
- Stripe Inc. (USA) - płatności. Transfer na podstawie SCC + DPF.
- Anthropic PBC (USA) - generowanie treści AI. SCC + DPF. Treści AI nie są używane do trenowania modeli.
- OpenAI Inc. (USA) - rolki Sora 2. SCC + DPF.
- Cloudflare Inc. (UE/USA) - storage R2. SCC + DPF.
- Supabase Inc. (UE - Frankfurt) - hosting bazy danych.
- Sendinblue (Brevo) (UE) - wysyłka email/SMS.
- Sentry, Functional Software Inc. (USA) - monitoring błędów. SCC.
Pełna aktualna lista: studio.sunrise.pl/dpa#podprocesorzy. Nowi podprocesorzy są ogłaszani z 30-dniowym wyprzedzeniem.
6. Transfery do państw trzecich
Część danych jest przekazywana do USA (Stripe, Anthropic, OpenAI, Cloudflare, Sentry). Podstawą jest:
- Standardowe Klauzule Umowne UE (SCC) z 2021 r.
- EU-US Data Privacy Framework (DPF) - dla podmiotów certyfikowanych
- Ocena skutków transferu (TIA / DTIA) przeprowadzona dla każdego podprocesora
7. Twoje prawa
Zgodnie z RODO masz prawo do:
- Dostępu (art. 15) - eksport JSON dostępny w
Ustawienia → Konto → Eksport danych - Sprostowania (art. 16) - edytuj profil w
Ustawienia → Konto - Usunięcia / „bycia zapomnianym" (art. 17) - przycisk
Ustawienia → Konto → Usuń konto; pełna kasacja w 24h od potwierdzenia. Faktury podlegają retencji 5 lat (obowiązek prawny) - są pseudonimizowane. - Ograniczenia (art. 18) - napisz na rodo@sunrise.pl
- Przenoszenia (art. 20) - eksport JSON jest w formacie zgodnym z tym prawem
- Sprzeciwu (art. 21) - w szczególności wobec marketingu
- Wycofania zgody w każdej chwili - bez wpływu na zgodność przetwarzania sprzed wycofania
- Wniesienia skargi do Prezesa UODO (Stawki 2, 00-193 Warszawa, uodo.gov.pl)
Czas reakcji: 30 dni od otrzymania żądania (z możliwością przedłużenia o 60 dni dla skomplikowanych żądań).
8. Bezpieczeństwo
- Połączenia szyfrowane TLS 1.3, HSTS preload
- Hasła hashowane Argon2id (memory=64MB, iterations=3)
- Tokeny OAuth zaszyfrowane AES-256-GCM
- 2FA TOTP dla ról owner/admin (obowiązkowo)
- Audyt logów wszystkich operacji na danych osobowych
- Backupy bazy: pg_dump 24h + Point-in-Time Recovery 7 dni
- Procedura zgłoszenia naruszenia do UODO w 72h (art. 33 RODO)
9. Zautomatyzowane decyzje (AI Agent)
Funkcja AI Marketing Agent wykorzystuje algorytmy do generowania rekomendacji marketingowych. Zgodnie z art. 22 RODO:
- Decyzje agenta nie są w pełni zautomatyzowane - wymagają akceptacji człowieka
- Każda akcja powyżej 200 zł wymaga osobnego potwierdzenia
- Akcje powyżej 2 000 zł zawsze wymagają ręcznej decyzji
- Wszystkie decyzje są logowane (append-only audit log, 365 dni)
- Możesz wyłączyć agenta w dowolnej chwili (kill-switch w panelu)
- Masz prawo do interwencji człowieka, wyjaśnienia decyzji i jej zakwestionowania
10. Cookies
Szczegóły w Polityce cookies. Stosujemy banner zgód zgodny z IAB TCF v2.2 - cookies analityczne i marketingowe wymagają osobnej zgody.
11. Zmiany polityki
O istotnych zmianach informujemy emailem z 14-dniowym wyprzedzeniem. Wersja archiwalna każdej polityki jest dostępna w /dpa#archiwum.