Infolinia 24/7: 666-168-802
U ugoda-konsumencka.pl
Online 24/7
Menu
Bezpłatna konsultacja

Polityka Prywatności — ugoda-konsumencka.pl

Ostatnia aktualizacja: 22 marca 2026 r.

Wersja: 1.0 Data wejścia w życie: 22 marca 2026 r. Ostatnia aktualizacja: 22 marca 2026 r.

1. INFORMACJE OGÓLNE

1.1. Administrator Danych Osobowych

Administratorem danych osobowych przetwarzanych za pośrednictwem serwisu ugoda-konsumencka.pl jest:

KANCELARIA POMOCY PRAWNEJ FINTEO Sp. z o.o. ul. Antoniego Madalińskiego 1K/26, 80-034 Gdańsk NIP: 5833513223 KRS: 0001113990 Adres e-mail do spraw ochrony danych: [email protected] Adres e-mail ogólny: [email protected] Telefon: +48 666 168 802

(dalej: „Administrator")

1.2. Zakres Polityki

Niniejsza Polityka Prywatności (dalej: „Polityka") opisuje zasady zbierania, przetwarzania, przechowywania i ochrony danych osobowych w kontekście:

a) korzystania z serwisu ugoda-konsumencka.pl (dalej: „Serwis") — portalu informacyjno-sprzedażowego poświęconego restrukturyzacji zadłużenia i ugodom konsumenckim;

b) integracji z platformami Meta Platforms, Inc. — w szczególności Facebook, Facebook Messenger, WhatsApp Business;

c) integracji z platformą TikTok (ByteDance Ltd.) — publikacja treści edukacyjnych wideo;

d) automatyzacji marketingowej i obsługi klienta z wykorzystaniem API Meta;

e) wykorzystania sztucznej inteligencji (AI) w komunikacji z klientami;

f) analizy ruchu na stronie za pośrednictwem narzędzi analitycznych;

g) przetwarzania danych w ramach formularzy kontaktowych i CTA (Call-to-Action) Serwisu.

1.3. Charakter Serwisu

Serwis ugoda-konsumencka.pl jest portalem sprzedażowym (Sales page) skoncentrowanym na pozyskiwaniu leadów — osób zainteresowanych usługami restrukturyzacji zadłużenia i ugód konsumenckich. Serwis zawiera treści edukacyjne, formularze kontaktowe, kalkulatory oraz elementy CTA prowadzące do nawiązania kontaktu z Administratorem.

1.4. Podstawy prawne

Przetwarzanie danych osobowych odbywa się zgodnie z:

  • Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (dalej: „RODO");
  • Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 z późn. zm.);
  • Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 Nr 144, poz. 1204 z późn. zm.);
  • Ustawą z dnia 16 lipca 2004 r. — Prawo telekomunikacyjne (Dz.U. 2004 Nr 171, poz. 1800 z późn. zm.);
  • Warunkami Platformy Meta (Meta Platform Terms) oraz Polityką Programistów Meta (Developer Policies);
  • Polityką biznesową WhatsApp (WhatsApp Business Policy);
  • Warunkami świadczenia usług TikTok oraz Polityką prywatności TikTok for Business.

2. DANE ZBIERANE W RAMACH INTEGRACJI Z META

2.1. Aplikacja Meta i Fanpage

Serwis ugoda-konsumencka.pl jest powiązany z:

  • Fanpage Facebook: Ugoda-Konsumencka (ID: 978301632035601)
  • Aplikacja Meta: NinjaBot Automat (App ID: 898066436524377)

Aplikacja korzysta z następujących uprawnień Meta Graph API. Dla każdego uprawnienia wskazano: zakres zbieranych danych, cel przetwarzania, podstawę prawną RODO i okres przechowywania.

2.1.1. pages_read_user_content

Element Opis
Zakres danych Treść postów, komentarzy i reakcji użytkowników na Fanpage'u Ugoda-Konsumencka (ID: 978301632035601)
Cel przetwarzania Monitorowanie komentarzy w celu reagowania na zapytania klientów; moderacja treści (spam, treści obraźliwe); analiza nastrojów i potrzeb klientów; identyfikacja osób potrzebujących pomocy w zakresie oddłużania
Podstawa prawna Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — obsługa klienta, moderacja Fanpage)
Okres przechowywania Przez okres istnienia komentarza na Fanpage'u lub do 24 miesięcy w bazie danych, w zależności od tego co nastąpi wcześniej
Co NIE jest zbierane Prywatne dane profilowe użytkowników komentujących (lista znajomych, data urodzenia, adres zamieszkania, numer telefonu)

2.1.2. pages_manage_posts

Element Opis
Zakres danych Treści postów tworzonych, edytowanych i usuwanych za pośrednictwem Platformy na Fanpage'u Ugoda-Konsumencka
Cel przetwarzania Publikacja postów edukacyjnych o restrukturyzacji zadłużenia, ugodach konsumenckich, ochronie majątku; planowanie treści marketingowych i CTA-focused content; edycja i aktualizacja istniejących publikacji
Podstawa prawna Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — prowadzenie działalności marketingowej)
Okres przechowywania Posty przechowywane na czas nieokreślony lub do momentu ich usunięcia przez administratora Fanpage'a

2.1.3. pages_messaging

Element Opis
Zakres danych Treść wiadomości wymienianych między użytkownikami a Fanpage'em za pośrednictwem Facebook Messenger; imię i nazwisko użytkownika (z profilu publicznego); identyfikator użytkownika Messenger (PSID — Page-Scoped User ID); znaczniki czasowe wiadomości; załączniki przesłane przez użytkowników (zdjęcia, dokumenty)
Cel przetwarzania Automatyczna obsługa zapytań klientów za pośrednictwem AI (Anthropic Claude); klasyfikacja zapytań i routing do odpowiednich doradców; przechowywanie historii konwersacji w celu zapewnienia ciągłości obsługi; kwalifikacja leadów zainteresowanych usługami oddłużeniowymi
Podstawa prawna Art. 6 ust. 1 lit. a RODO (zgoda — użytkownik inicjuje konwersację) oraz art. 6 ust. 1 lit. b RODO (podjęcie działań na żądanie osoby przed zawarciem umowy)
Okres przechowywania 24 miesiące od ostatniej wiadomości w konwersacji

Informacja o AI: Wstępne odpowiedzi w Messengerze mogą być generowane automatycznie przez sztuczną inteligencję (Anthropic Claude). Użytkownik jest informowany o tym fakcie za pośrednictwem powitania (Greeting Text) oraz może w każdym momencie zażądać kontaktu z człowiekiem.

Środki bezpieczeństwa:

  • Treść konwersacji jest szyfrowana w tranzycie (SSL/TLS) i w spoczynku (AES-256);
  • Dostęp do konwersacji mają wyłącznie upoważnieni doradcy Administratora;
  • Treść przekazywana do modelu AI nie zawiera danych wrażliwych (PESEL, numery dokumentów, dane finansowe kont bankowych);
  • Model AI nie przechowuje kontekstu konwersacji między sesjami (stateless processing).

2.1.4. whatsapp_business_messaging

Element Opis
Zakres danych Treść wiadomości wymienianych między użytkownikami a numerem WhatsApp Business; numer telefonu użytkownika; imię/nazwa wyświetlana w profilu WhatsApp; znaczniki czasowe, statusy doręczenia; załączniki (zdjęcia, dokumenty, wiadomości głosowe)
Cel przetwarzania Obsługa zapytań klientów dotyczących usług restrukturyzacji zadłużenia; automatyczne odpowiedzi AI na rutynowe pytania; wysyłanie potwierdzeń spotkań i aktualizacji statusu sprawy; wysyłanie szablonów wiadomości zatwierdzonych przez Meta
Podstawa prawna Art. 6 ust. 1 lit. a RODO (zgoda — użytkownik inicjuje kontakt lub wyraża opt-in) oraz art. 6 ust. 1 lit. b RODO (wykonanie umowy/podjęcie działań przedumownych)
Okres przechowywania 24 miesiące od ostatniej wiadomości

Zgodność z polityką WhatsApp Business: Wiadomości są wysyłane wyłącznie w ramach 24-godzinnego okna konwersacji lub z wykorzystaniem zatwierdzonych szablonów. Administrator nie wysyła wiadomości masowych ani spamowych.

2.1.5. whatsapp_business_management

Element Opis
Zakres danych Konfiguracja i zarządzanie kontem WhatsApp Business (WABA): ustawienia profilu, szablony wiadomości, numery telefonów, ustawienia webhook
Cel przetwarzania Administracja techniczna konta WhatsApp Business, zarządzanie szablonami wiadomości, monitorowanie jakości (quality rating)
Podstawa prawna Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — administracja kanałem komunikacji)
Okres przechowywania Przez okres aktywności konta WABA

2.1.6. pages_show_list

Element Opis
Zakres danych Lista Stron (Fanpage'ów) zarządzanych przez użytkownika/firmę na Facebooku
Cel przetwarzania Wyświetlenie listy dostępnych Fanpage'ów w panelu zarządzania, umożliwienie wyboru Strony do administracji
Podstawa prawna Art. 6 ust. 1 lit. b RODO (wykonanie umowy — zapewnienie funkcjonalności Platformy)
Okres przechowywania Dane cache'owane na czas sesji, nie przechowywane trwale

2.1.7. pages_manage_metadata

Element Opis
Zakres danych Metadane Fanpage'a: nazwa, opis, kategoria, godziny otwarcia, dane kontaktowe, zdjęcie profilowe i w tle
Cel przetwarzania Aktualizacja informacji na Fanpage'u — zapewnienie, że dane kontaktowe (telefon, e-mail, adres) są aktualne i spójne z danymi na stronie ugoda-konsumencka.pl
Podstawa prawna Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — zarządzanie prezencją online)
Okres przechowywania Nie przechowywane lokalnie — zmiany dokonywane bezpośrednio na platformie Meta

2.1.8. pages_manage_engagement

Element Opis
Zakres danych Interakcje użytkowników z treściami na Fanpage'u: polubienia, komentarze, udostępnienia, reakcje
Cel przetwarzania Odpowiadanie na komentarze użytkowników; moderacja treści (ukrywanie/usuwanie spamu); zarządzanie recenzjami i ocenami
Podstawa prawna Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — zarządzanie reputacją i obsługa klienta)
Okres przechowywania Dane interakcji synchronizowane do bazy danych i przechowywane przez 24 miesiące

2.1.9. pages_read_engagement

Element Opis
Zakres danych Statystyki zaangażowania: liczba polubień, komentarzy, udostępnień, zasięg postów, wyświetlenia
Cel przetwarzania Analiza skuteczności treści edukacyjnych i sprzedażowych, optymalizacja strategii komunikacji, raportowanie KPI
Podstawa prawna Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — analityka marketingowa)
Okres przechowywania 12 miesięcy w formie zagregowanej

2.1.10. publish_video

Element Opis
Zakres danych Treść wideo (pliki video) publikowane na Fanpage'u, w tym: Facebook Reels, filmy edukacyjne
Cel przetwarzania Publikacja treści wideo o tematyce oddłużeniowej: poradniki o ugodach konsumenckich, wyjaśnienia procedur restrukturyzacji, historie sukcesu klientów, obalanie mitów o długach
Podstawa prawna Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — prowadzenie działalności marketingowej)
Okres przechowywania Wideo przechowywane na platformie Meta do momentu usunięcia przez administratora

2.1.11. pages_manage_ads

Element Opis
Zakres danych Dane kampanii reklamowych: budżety, targetowanie (zainteresowania, demografia, lokalizacja), kreacje reklamowe (tekst, grafika, wideo), wyniki kampanii
Cel przetwarzania Tworzenie i optymalizacja kampanii reklamowych promujących usługi restrukturyzacji zadłużenia i ugód konsumenckich na ugoda-konsumencka.pl
Podstawa prawna Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — marketing)
Okres przechowywania 36 miesięcy (dla celów analizy ROI i rozliczeń)

Uwaga: Targetowanie reklam NIE obejmuje danych wrażliwych (pochodzenie rasowe, poglądy polityczne, stan zdrowia). Administrator przestrzega Specjalnych Kategorii Reklam Meta (Special Ad Categories) — reklamy usług finansowych są oznaczane odpowiednią kategorią zgodnie z wymogami Meta.

2.1.12. ads_read

Element Opis
Zakres danych Dane odczytywane z konta reklamowego: wyniki kampanii (impressions, clicks, spend, CPA, ROAS), raporty reklamowe, dane demograficzne odbiorców (zagregowane)
Cel przetwarzania Monitorowanie skuteczności kampanii, raportowanie, optymalizacja budżetów reklamowych
Podstawa prawna Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — analityka biznesowa)
Okres przechowywania 36 miesięcy

2.1.13. ads_management / Ads Management Standard Access

Element Opis
Zakres danych Konfiguracja kampanii reklamowych: tworzenie, edycja, pauzowanie, usuwanie kampanii, zestawów reklam i reklam. Obejmuje parametry targetowania, budżety, harmonogramy, kreacje
Cel przetwarzania Kompleksowe zarządzanie kampaniami reklamowymi promującymi usługi oddłużeniowe za pośrednictwem platformy Meta Ads
Podstawa prawna Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — marketing i pozyskiwanie klientów)
Okres przechowywania Konfiguracja przechowywana na platformie Meta. Lokalne kopie raportów — 36 miesięcy

2.1.14. leads_retrieval

Element Opis
Zakres danych Dane z formularzy Lead Ads wypełnionych przez użytkowników Facebook: imię, nazwisko, numer telefonu, adres e-mail, ewentualne odpowiedzi na pytania dodatkowe w formularzu; znacznik czasowy przesłania formularza; identyfikator kampanii i formularza
Cel przetwarzania Kontaktowanie się z osobami, które wyraziły zainteresowanie usługami restrukturyzacji zadłużenia; zapisywanie leada w systemie CRM; automatyczne przypisywanie leada do odpowiedniego doradcy; wysyłanie potwierdzenia otrzymania zapytania (e-mail lub SMS)
Podstawa prawna Art. 6 ust. 1 lit. a RODO (zgoda — użytkownik świadomie wypełnia formularz) oraz art. 6 ust. 1 lit. b RODO (podjęcie działań na żądanie osoby przed zawarciem umowy)
Okres przechowywania 36 miesięcy od daty przesłania formularza lub do momentu cofnięcia zgody, w zależności od tego co nastąpi wcześniej

Informacja dla użytkownika: Formularz Lead Ad na Facebooku zawiera wyraźną informację o tożsamości Administratora danych oraz link do niniejszej Polityki Prywatności. Użytkownik musi aktywnie zatwierdzić formularz (kliknąć „Wyślij") — dane nie są zbierane automatycznie.

2.1.15. business_management

Element Opis
Zakres danych Struktura organizacyjna konta Business Manager: lista zasobów (Strony, konta reklamowe, piksele, katalogi), role użytkowników
Cel przetwarzania Administracja infrastrukturą biznesową na platformie Meta — zarządzanie dostępami, audyt uprawnień, przypisywanie zasobów
Podstawa prawna Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — administracja systemowa)
Okres przechowywania Nie przechowywane lokalnie — dane zarządzane na platformie Meta

2.1.16. public_profile

Element Opis
Zakres danych Publiczne informacje z profilu Facebook administratora aplikacji: imię, nazwisko, zdjęcie profilowe, identyfikator użytkownika
Cel przetwarzania Identyfikacja administratora w panelu zarządzania, personalizacja interfejsu, uwierzytelnianie
Podstawa prawna Art. 6 ust. 1 lit. b RODO (wykonanie umowy — zapewnienie funkcjonalności logowania)
Okres przechowywania Przez okres aktywności konta na Platformie

2.2. Podsumowanie uprawnień Meta — tabela zbiorcza

Uprawnienie Kategoria danych Podstawa prawna Retencja
pages_read_user_content Komentarze, posty użytkowników Art. 6(1)(f) 24 mies.
pages_manage_posts Treści publikowane na Fanpage Art. 6(1)(f) Czas nieokreślony
pages_messaging Wiadomości Messenger, PSID, załączniki Art. 6(1)(a), Art. 6(1)(b) 24 mies.
whatsapp_business_messaging Wiadomości WhatsApp, numery telefonów Art. 6(1)(a), Art. 6(1)(b) 24 mies.
whatsapp_business_management Konfiguracja WABA Art. 6(1)(f) Okres aktywności konta
pages_show_list Lista Stron Art. 6(1)(b) Sesja
pages_manage_metadata Metadane Fanpage Art. 6(1)(f) Nie przechowywane
pages_manage_engagement Interakcje użytkowników Art. 6(1)(f) 24 mies.
pages_read_engagement Statystyki zagregowane Art. 6(1)(f) 12 mies.
publish_video Treści wideo, Reels Art. 6(1)(f) Do usunięcia
pages_manage_ads Kampanie reklamowe Art. 6(1)(f) 36 mies.
ads_read Wyniki kampanii (zagregowane) Art. 6(1)(f) 36 mies.
ads_management Konfiguracja kampanii Art. 6(1)(f) 36 mies.
leads_retrieval Imię, telefon, e-mail z Lead Ads Art. 6(1)(a), Art. 6(1)(b) 36 mies.
business_management Struktura Business Manager Art. 6(1)(f) Nie przechowywane
public_profile Imię, zdjęcie administratora Art. 6(1)(b) Okres aktywności konta

3. DANE ZBIERANE W RAMACH INTEGRACJI Z TIKTOK

3.1. Zakres integracji

Administrator prowadzi konto na platformie TikTok w celu publikacji treści edukacyjnych wideo dotyczących restrukturyzacji zadłużenia, ugód konsumenckich i ochrony majątku.

3.2. Zakres zbieranych danych

Kategoria Dane Cel
Publikacja treści Pliki wideo, opisy, hashtagi, miniatury — tworzone przez Administratora Publikacja materiałów edukacyjnych o tematyce oddłużeniowej
Analityka Zagregowane statystyki: wyświetlenia, polubienia, komentarze, udostępnienia, czas oglądania, demografia odbiorców (wiek, płeć, lokalizacja — wyłącznie w formie zagregowanej) Optymalizacja strategii content marketingowej
Komentarze Treść komentarzy użytkowników pod filmami, nazwa użytkownika (publiczna) Odpowiadanie na pytania, moderacja, budowanie zaangażowania

3.3. Podstawa prawna

  • Publikacja treści: Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — marketing i edukacja).
  • Analityka: Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — optymalizacja działań marketingowych). Dane są wyłącznie zagregowane i nie pozwalają na identyfikację indywidualnych użytkowników.
  • Komentarze: Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — obsługa klienta).

3.4. Okres przechowywania

  • Treści wideo: do momentu usunięcia przez Administratora na platformie TikTok.
  • Dane analityczne: 12 miesięcy w formie zagregowanej.
  • Komentarze: przez okres ich istnienia na platformie TikTok.

3.5. Co NIE jest zbierane

Administrator NIE zbiera, NIE przechowuje i NIE przetwarza:

  • prywatnych danych profilowych użytkowników TikTok;
  • wiadomości prywatnych (DM) użytkowników;
  • danych lokalizacyjnych użytkowników;
  • danych z urządzeń użytkowników.

4. DANE ZBIERANE PRZEZ STRONĘ INTERNETOWĄ

4.1. Formularze kontaktowe i CTA

Serwis ugoda-konsumencka.pl zawiera formularze kontaktowe (CTA — Call-to-Action), za pośrednictwem których zbierane są następujące dane:

Dane Cel Obowiązkowe
Imię i nazwisko Identyfikacja klienta, personalizacja kontaktu Tak
Numer telefonu Kontakt telefoniczny w sprawie usług oddłużeniowych Tak
Adres e-mail Kontakt e-mailowy, potwierdzenie zgłoszenia Nie
Treść zapytania Wstępna kwalifikacja sprawy Nie

Podstawa prawna: Art. 6 ust. 1 lit. a RODO (zgoda) oraz art. 6 ust. 1 lit. b RODO (podjęcie działań na żądanie osoby przed zawarciem umowy).

Okres przechowywania: 36 miesięcy od przesłania formularza lub do momentu cofnięcia zgody.

4.2. NinjaBox (interaktywny kokpit klienta)

Serwis może zawierać moduł NinjaBox — interaktywny kokpit umożliwiający klientowi wstępną analizę sytuacji zadłużeniowej. NinjaBox zbiera:

Dane Cel
Kwota zadłużenia Wstępna kalkulacja możliwych rozwiązań
Liczba wierzycieli Określenie skali problemu
Dochód miesięczny Ocena zdolności do spłaty ugody
Dane do rezerwacji spotkania (imię, telefon, e-mail, preferowana data) Umówienie spotkania z doradcą

Ważne: Dane z NinjaBox NIE SĄ przekazywane do Meta, TikTok ani żadnych podmiotów trzecich — pozostają wyłącznie w bazie danych Administratora na serwerach OVH w Unii Europejskiej.

Podstawa prawna: Art. 6 ust. 1 lit. a RODO (zgoda — użytkownik dobrowolnie wprowadza dane) oraz art. 6 ust. 1 lit. b RODO (podjęcie działań przedumownych).

Okres przechowywania: 36 miesięcy od daty wprowadzenia danych.

4.3. Dane analityczne

Serwis korzysta z narzędzi analitycznych opisanych szczegółowo w sekcji 13 (Pliki Cookies):

  • Google Analytics 4 (ID pomiaru: G-1LN9G721NS);
  • Microsoft Clarity (ID projektu: viy4tyozex);
  • Facebook Pixel (ID: 2879390782365613).

Dane analityczne zbierane automatycznie obejmują: adres IP (anonimizowany), typ przeglądarki i urządzenia, strony odwiedzane, czas wizyty, źródło ruchu, rozdzielczość ekranu. Szczegóły w sekcji 13.

5. CELE I PODSTAWY PRAWNE PRZETWARZANIA

5.1. Zestawienie celów przetwarzania

Cel przetwarzania Podstawa prawna Kategoria danych
Świadczenie usług oddłużeniowych i restrukturyzacji zadłużenia Art. 6(1)(b) — wykonanie umowy Dane kontaktowe, dane o zadłużeniu
Podjęcie działań na żądanie osoby przed zawarciem umowy Art. 6(1)(b) — działania przedumowne Dane z formularzy, Lead Ads, NinjaBox
Obsługa zapytań przez Messenger/WhatsApp Art. 6(1)(a) — zgoda; Art. 6(1)(b) — działania przedumowne Wiadomości, dane kontaktowe
Marketing bezpośredni (własne usługi) Art. 6(1)(f) — prawnie uzasadniony interes Dane kontaktowe, preferencje
Publikacja treści na Facebook i TikTok Art. 6(1)(f) — prawnie uzasadniony interes Treści tworzone przez Administratora
Prowadzenie kampanii reklamowych Art. 6(1)(f) — prawnie uzasadniony interes Parametry kampanii, wyniki (zagregowane)
Moderacja Fanpage'a Art. 6(1)(f) — prawnie uzasadniony interes Komentarze, interakcje
Analityka i optymalizacja Serwisu Art. 6(1)(a) — zgoda (cookies); Art. 6(1)(f) — prawnie uzasadniony interes Dane analityczne (zagregowane)
Realizacja obowiązków prawnych Art. 6(1)(c) — obowiązek prawny Dane wymagane przepisami (rachunkowość, AML)
Dochodzenie i obrona roszczeń Art. 6(1)(f) — prawnie uzasadniony interes Dane umowne, korespondencja

5.2. Przetwarzanie danych wrażliwych

Administrator NIE zbiera i NIE przetwarza szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO (dane dotyczące zdrowia, orientacji seksualnej, poglądów politycznych itp.). Informacje o zadłużeniu przekazywane dobrowolnie przez klienta nie stanowią danych wrażliwych w rozumieniu RODO.

6. WYKORZYSTANIE SZTUCZNEJ INTELIGENCJI

6.1. Technologia

Administrator wykorzystuje model sztucznej inteligencji Anthropic Claude (dostawca: Anthropic, PBC, San Francisco, USA) do wspomagania obsługi klienta w kanałach: Facebook Messenger i WhatsApp Business.

6.2. Zakres wykorzystania AI

Funkcja Opis Kanał
Automatyczne odpowiedzi Generowanie wstępnych odpowiedzi na rutynowe pytania klientów dotyczące usług oddłużeniowych Messenger, WhatsApp
Klasyfikacja zapytań Automatyczne kategoryzowanie zapytań w celu przekierowania do odpowiedniego doradcy Messenger, WhatsApp
Kwalifikacja leadów Wstępna ocena czy zapytanie dotyczy usług oferowanych przez Administratora Messenger, WhatsApp

6.3. Zasady przetwarzania danych przez AI

a) Bezstanowość (stateless processing): Model AI Anthropic Claude nie przechowuje danych z konwersacji między sesjami. Każde zapytanie jest przetwarzane niezależnie. Anthropic nie wykorzystuje danych z konwersacji do trenowania modeli.

b) Minimalizacja danych: Do modelu AI przekazywane są wyłącznie: treść wiadomości użytkownika, imię użytkownika, kontekst konwersacji (ostatnie wiadomości). NIE są przekazywane: PESEL, numery dokumentów tożsamości, numery kont bankowych, dokładne kwoty zadłużenia z dokumentów.

c) Nadzór ludzki (human oversight): Każda konwersacja prowadzona przez AI może zostać w dowolnym momencie przejęta przez ludzkiego doradcę. Użytkownik jest informowany o możliwości zażądania kontaktu z człowiekiem. Odpowiedzi AI dotyczące wiążących ustaleń prawnych lub finansowych wymagają zatwierdzenia przez doradcę.

d) Transparentność: Użytkownik jest informowany, że komunikacja może być wspomagana przez sztuczną inteligencję, za pośrednictwem Greeting Text w Messengerze oraz wiadomości powitalnej w WhatsApp.

6.4. Podstawa prawna

Wykorzystanie AI odbywa się na podstawie:

  • Art. 6 ust. 1 lit. a RODO (zgoda — użytkownik inicjuje konwersację będąc poinformowanym o udziale AI);
  • Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — efektywna obsługa klienta).

6.5. Prawa użytkownika w kontekście AI

Użytkownik ma prawo:

  • zażądać kontaktu wyłącznie z ludzkim doradcą;
  • uzyskać informacji o tym, czy odpowiedź została wygenerowana przez AI;
  • sprzeciwić się profilowaniu automatycznemu (art. 22 RODO).

7. ODBIORCY DANYCH

7.1. Kategorie odbiorców

Dane osobowe mogą być przekazywane następującym kategoriom odbiorców:

Odbiorca Kategoria danych Cel Podstawa
Meta Platforms, Inc. (USA/Irlandia) Dane z Messenger, WhatsApp, Lead Ads, Pixel, dane reklamowe Realizacja integracji z platformami Meta, prowadzenie kampanii reklamowych Umowa o przetwarzanie danych (DPA), SCCs
Anthropic, PBC (USA) Treść wiadomości z Messenger/WhatsApp (bez danych wrażliwych) Generowanie odpowiedzi AI DPA, SCCs, przetwarzanie stateless
OVH SAS (Francja) Wszystkie dane przechowywane w bazie danych Serwisu Hosting serwerów i bazy danych DPA, serwery w UE (Francja)
Google LLC (USA) Dane analityczne (zanonimizowany IP, dane o ruchu) Google Analytics 4 — analiza ruchu na stronie DPA, SCCs
Microsoft Corporation (USA) Dane z sesji użytkowników (zanonimizowane, bez danych formularzy) Microsoft Clarity — mapy cieplne, nagrywanie sesji DPA, SCCs
Prawnicy współpracujący (Polska) Dane klientów niezbędne do realizacji usługi oddłużeniowej Przygotowanie dokumentacji prawnej, reprezentacja Umowa powierzenia, tajemnica zawodowa
TikTok / ByteDance Ltd. (Singapur/Irlandia) Treści publikowane przez Administratora, dane analityczne (zagregowane) Publikacja treści edukacyjnych Regulamin TikTok for Business

7.2. Podmioty, którym dane NIE są przekazywane

Administrator NIE sprzedaje danych osobowych podmiotom trzecim. Administrator NIE udostępnia danych osobowych brokerom danych, firmom windykacyjnym ani podmiotom zajmującym się marketingiem bezpośrednim na rzecz osób trzecich.

8. MIĘDZYNARODOWE TRANSFERY DANYCH

8.1. Lokalizacja danych

Główna baza danych Administratora jest przechowywana na serwerach OVH SAS zlokalizowanych w Roubaix, Francja (Unia Europejska). Dane nie opuszczają Europejskiego Obszaru Gospodarczego, z wyjątkiem przypadków opisanych poniżej.

8.2. Transfery poza EOG

Odbiorca Siedziba Mechanizm zabezpieczający
Meta Platforms, Inc. USA Standardowe Klauzule Umowne (SCCs) zatwierdzone decyzją Komisji Europejskiej z 4.06.2021 + dodatkowe środki techniczne
Anthropic, PBC USA Standardowe Klauzule Umowne (SCCs) + przetwarzanie stateless (dane nie są przechowywane)
Google LLC USA Standardowe Klauzule Umowne (SCCs) + anonimizacja IP w GA4
Microsoft Corporation USA Standardowe Klauzule Umowne (SCCs)
TikTok / ByteDance Ltd. Singapur/Irlandia Standardowe Klauzule Umowne (SCCs), dane przechowywane w ramach Project Clover (Europa)

8.3. Ocena adekwatności

Administrator dokonuje regularnej oceny adekwatności ochrony danych w państwach trzecich zgodnie z wytycznymi Europejskiej Rady Ochrony Danych (EDPB). W przypadku braku decyzji o adekwatności stosowane są Standardowe Klauzule Umowne (SCCs) uzupełnione o dodatkowe środki techniczne i organizacyjne (szyfrowanie, pseudonimizacja, minimalizacja danych).

9. OKRES PRZECHOWYWANIA DANYCH

9.1. Ogólne zasady retencji

Kategoria danych Okres przechowywania Podstawa
Dane z formularzy kontaktowych 36 miesięcy od przesłania lub do cofnięcia zgody Działania przedumowne, zgoda
Dane z Lead Ads (Facebook) 36 miesięcy od przesłania lub do cofnięcia zgody Zgoda, działania przedumowne
Konwersacje Messenger 24 miesiące od ostatniej wiadomości Zgoda, obsługa klienta
Konwersacje WhatsApp 24 miesiące od ostatniej wiadomości Zgoda, obsługa klienta
Komentarze na Fanpage Do 24 miesięcy lub do usunięcia na platformie Prawnie uzasadniony interes
Dane analityczne (GA4, Clarity) 14 miesięcy (GA4), 12 miesięcy (Clarity) Zgoda (cookies)
Dane kampanii reklamowych 36 miesięcy Prawnie uzasadniony interes, rozliczenia
Dane umowne (klienci usług) 6 lat od zakończenia umowy (wymagania rachunkowe) + 3 lata (przedawnienie roszczeń) Obowiązek prawny
Dane NinjaBox 36 miesięcy od daty wprowadzenia Zgoda, działania przedumowne
Dane analityczne TikTok 12 miesięcy (zagregowane) Prawnie uzasadniony interes

9.2. Usuwanie danych

Po upływie okresu przechowywania dane są automatycznie usuwane lub anonimizowane w sposób uniemożliwiający identyfikację osób. Usuwanie obejmuje:

  • bazę danych na serwerach OVH;
  • kopie zapasowe (w terminie do 30 dni od usunięcia z bazy głównej);
  • dane w systemach podmiotów trzecich (w zakresie, w jakim Administrator ma kontrolę nad ich usunięciem).

10. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

10.1. Katalog praw (RODO)

Każda osoba, której dane są przetwarzane, ma prawo do:

a) Dostępu do danych (art. 15 RODO) — uzyskania informacji o przetwarzanych danych osobowych, celach przetwarzania, kategoriach danych, odbiorcach, planowanym okresie przechowywania;

b) Sprostowania danych (art. 16 RODO) — żądania niezwłocznego poprawienia nieprawidłowych danych osobowych lub uzupełnienia niekompletnych danych;

c) Usunięcia danych (art. 17 RODO, „prawo do bycia zapomnianym") — żądania usunięcia danych, gdy:

  • dane nie są już niezbędne do celów, dla których zostały zebrane;
  • osoba cofnęła zgodę stanowiącą podstawę przetwarzania;
  • osoba wnosi sprzeciw wobec przetwarzania;
  • dane były przetwarzane niezgodnie z prawem;
  • dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego;

d) Ograniczenia przetwarzania (art. 18 RODO) — żądania ograniczenia przetwarzania do samego przechowywania, gdy:

  • osoba kwestionuje prawidłowość danych;
  • przetwarzanie jest niezgodne z prawem, a osoba sprzeciwia się usunięciu;
  • Administrator nie potrzebuje już danych, ale są one potrzebne osobie do ustalenia, dochodzenia lub obrony roszczeń;

e) Przenoszenia danych (art. 20 RODO) — otrzymania danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (JSON lub CSV) oraz przesłania tych danych innemu administratorowi;

f) Sprzeciwu (art. 21 RODO) — wniesienia w dowolnym momencie sprzeciwu wobec przetwarzania danych opartego na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO), w tym wobec profilowania. W przypadku sprzeciwu wobec marketingu bezpośredniego — dane przestają być przetwarzane w tym celu niezwłocznie;

g) Cofnięcia zgody (art. 7 ust. 3 RODO) — cofnięcia zgody na przetwarzanie danych w dowolnym momencie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem;

h) Niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu (art. 22 RODO) — w tym profilowaniu, które wywołuje skutki prawne lub w podobny sposób istotnie wpływa na osobę;

i) Skargi do organu nadzorczego (art. 77 RODO) — złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, tel. +48 22 531 03 00, www.uodo.gov.pl.

10.2. Realizacja praw

W celu skorzystania z powyższych praw należy skontaktować się z Administratorem:

  • E-mail: [email protected]
  • Poczta tradycyjna: KANCELARIA POMOCY PRAWNEJ FINTEO Sp. z o.o., ul. Antoniego Madalińskiego 1K/26, 80-034 Gdańsk
  • Telefon: +48 666 168 802

Administrator realizuje żądania w terminie 30 dni od ich otrzymania. W przypadku szczególnie skomplikowanych żądań lub dużej liczby żądań termin może zostać przedłużony o kolejne 60 dni, o czym osoba zostanie poinformowana w ciągu pierwszych 30 dni wraz z podaniem przyczyny opóźnienia.

Realizacja praw jest bezpłatna. W przypadku żądań ewidentnie nieuzasadnionych lub nadmiernych (w szczególności z uwagi na ich powtarzalność) Administrator może pobrać rozsądną opłatę uwzględniającą administracyjne koszty realizacji żądania lub odmówić podjęcia działań.

10.3. Weryfikacja tożsamości

W celu ochrony danych osobowych przed nieuprawnionym dostępem Administrator może zweryfikować tożsamość osoby składającej żądanie, prosząc o podanie dodatkowych informacji potwierdzających tożsamość.

11. PROCEDURY USUWANIA DANYCH

11.1. Usuwanie danych na żądanie

Użytkownik może zażądać usunięcia swoich danych:

  • wysyłając e-mail na adres [email protected] z tematem „Żądanie usunięcia danych";
  • telefonicznie pod numerem +48 666 168 802.

Administrator potwierdzi otrzymanie żądania w ciągu 3 dni roboczych i zrealizuje usunięcie w ciągu 30 dni.

11.2. Data Deletion Callback (Meta)

Zgodnie z wymogami Meta Platform Terms, Administrator udostępnia endpoint do automatycznego usuwania danych:

URL: https://app.ninjabot.pl/api/facebook/data-deletion

Endpoint ten:

  • przyjmuje żądania usunięcia danych wysyłane przez platformę Meta (signed request);
  • weryfikuje autentyczność żądania za pomocą klucza aplikacji (App Secret);
  • usuwa wszystkie dane powiązane z identyfikatorem użytkownika Meta z bazy danych Administratora;
  • zwraca URL statusu i kod potwierdzenia umożliwiający użytkownikowi sprawdzenie statusu usunięcia.

11.3. Zakres usuwania

Na żądanie usunięcia Administrator usuwa:

  • dane z bazy danych PostgreSQL na serwerach OVH;
  • konwersacje z Messenger i WhatsApp przechowywane w systemie;
  • dane z formularzy kontaktowych i Lead Ads;
  • dane z systemu NinjaBox;
  • kopie zapasowe (w cyklu rotacji kopii — do 30 dni).

Wyjątki: Administrator może zachować dane niezbędne do:

  • realizacji obowiązków prawnych (np. dokumentacja rachunkowa — 5 lat);
  • ustalenia, dochodzenia lub obrony roszczeń (przez okres przedawnienia);
  • celów archiwalnych w interesie publicznym.

12. BEZPIECZEŃSTWO DANYCH

12.1. Środki techniczne

Administrator stosuje następujące środki techniczne w celu ochrony danych osobowych:

a) Szyfrowanie w tranzycie: Wszystkie połączenia z Serwisem są zabezpieczone protokołem SSL/TLS (certyfikat Let's Encrypt). Komunikacja z API odbywa się wyłącznie przez HTTPS.

b) Szyfrowanie w spoczynku: Baza danych PostgreSQL jest przechowywana na zaszyfrowanych dyskach (AES-256) na serwerach OVH.

c) Kontrola dostępu: Dostęp do bazy danych ograniczony do upoważnionych administratorów za pośrednictwem uwierzytelnionego połączenia SSH. Dostęp do panelu zarządzania wymaga logowania (e-mail + hasło).

d) Kopie zapasowe: Regularne kopie zapasowe bazy danych, przechowywane w zaszyfrowanej formie.

e) Monitoring: Ciągły monitoring dostępności i bezpieczeństwa serwera (PM2, nginx logs).

f) Izolacja danych: Dane klientów są izolowane — każdy klient ma dostęp wyłącznie do swoich danych.

12.2. Środki organizacyjne

a) Zasada minimalizacji: Zbierane są wyłącznie dane niezbędne do realizacji celu przetwarzania.

b) Zasada ograniczenia dostępu: Dostęp do danych mają wyłącznie osoby, których rola tego wymaga (need-to-know).

c) Szkolenia: Osoby upoważnione do przetwarzania danych są zaznajomione z zasadami ochrony danych osobowych.

d) Umowy powierzenia: Z każdym podmiotem przetwarzającym dane (procesor) zawarta jest umowa powierzenia przetwarzania danych zgodna z art. 28 RODO.

e) Procedura naruszenia: Administrator posiada procedurę reagowania na naruszenia ochrony danych osobowych. W przypadku naruszenia mogącego skutkować ryzykiem naruszenia praw lub wolności osób fizycznych — zgłoszenie do PUODO w ciągu 72 godzin.

13. PLIKI COOKIES

13.1. Zasada consent-first

Serwis ugoda-konsumencka.pl stosuje zasadę consent-first — pliki cookies analityczne i marketingowe są aktywowane wyłącznie po wyrażeniu zgody przez użytkownika za pośrednictwem bannera cookies. Do momentu wyrażenia zgody ładowane są wyłącznie cookies niezbędne do prawidłowego funkcjonowania Serwisu.

13.2. Kategorie plików cookies

a) Cookies niezbędne (strictly necessary)

Nazwa Cel Okres
cookies_consent Zapamiętanie wyboru użytkownika dot. cookies 12 miesięcy
session_id Identyfikacja sesji użytkownika Sesja

Podstawa prawna: Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — zapewnienie prawidłowego funkcjonowania Serwisu). Zgoda nie jest wymagana (art. 5 ust. 3 Dyrektywy ePrivacy).

b) Cookies analityczne

Narzędzie Identyfikator Dane zbierane Okres
Google Analytics 4 G-1LN9G721NS Zanonimizowany adres IP, strony odwiedzane, czas wizyty, typ urządzenia, przeglądarka, źródło ruchu, rozdzielczość ekranu, język _ga: 24 mies., _ga_*: 24 mies.
Microsoft Clarity viy4tyozex Kliknięcia, przewijanie, ruchy myszy, mapy cieplne, nagrania sesji (zanonimizowane — dane z formularzy są automatycznie maskowane) _clck: 12 mies., _clsk: sesja, CLID: 12 mies.

Podstawa prawna: Art. 6 ust. 1 lit. a RODO (zgoda użytkownika wyrażona za pośrednictwem bannera cookies).

Google Analytics 4 — dodatkowe informacje:

  • Anonimizacja IP jest włączona domyślnie w GA4;
  • Dane przechowywane przez 14 miesięcy;
  • Nie są zbierane dane umożliwiające identyfikację indywidualnych użytkowników;
  • Google Analytics stosuje Standardowe Klauzule Umowne (SCCs) do transferu danych poza EOG.

Microsoft Clarity — dodatkowe informacje:

  • Dane z formularzy (pola input) są automatycznie maskowane — Clarity nie rejestruje treści wpisywanej przez użytkownika;
  • Nagrania sesji nie zawierają danych osobowych;
  • Microsoft stosuje Standardowe Klauzule Umowne (SCCs).

c) Cookies marketingowe

Narzędzie Identyfikator Dane zbierane Okres
Facebook Pixel 2879390782365613 Zdarzenia konwersji (PageView, Lead, Contact), zanonimizowany identyfikator przeglądarki, parametry kampanii (utm), informacje o urządzeniu _fbp: 90 dni, fr: 90 dni

Podstawa prawna: Art. 6 ust. 1 lit. a RODO (zgoda użytkownika wyrażona za pośrednictwem bannera cookies).

Facebook Pixel — dodatkowe informacje:

  • Pixel jest ładowany wyłącznie po wyrażeniu zgody na cookies marketingowe;
  • Służy do mierzenia skuteczności kampanii reklamowych na Facebooku;
  • Umożliwia tworzenie grup remarketingowych (wyłącznie na platformie Meta);
  • Administrator NIE wykorzystuje Advanced Matching z danymi osobowymi (e-mail, telefon) bez dodatkowej zgody;
  • ad_storage jest ustawione na DENIED do momentu wyrażenia zgody — cookies reklamowe Google nie są aktywowane.

13.3. Zarządzanie cookies

Użytkownik może w każdym momencie:

  • zmienić swoje preferencje cookies za pośrednictwem bannera cookies (kliknięcie „Ustawienia cookies" w stopce Serwisu);
  • usunąć cookies za pośrednictwem ustawień przeglądarki;
  • zablokować cookies za pośrednictwem ustawień przeglądarki.

Uwaga: Zablokowanie cookies niezbędnych może uniemożliwić prawidłowe korzystanie z Serwisu. Zablokowanie cookies analitycznych i marketingowych nie wpływa na funkcjonalność Serwisu.

13.4. Opt-out z narzędzi analitycznych

  • Google Analytics: https://tools.google.com/dlpage/gaoptout
  • Microsoft Clarity: Brak dedykowanego opt-out — zarządzanie przez ustawienia cookies lub przeglądarkę
  • Facebook: https://www.facebook.com/settings?tab=ads

14. WSPÓŁADMINISTROWANIE Z META

14.1. Podstawa prawna

Zgodnie z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej z dnia 5 czerwca 2018 r. w sprawie C-210/16 (Wirtschaftsakademie Schleswig-Holstein), Administrator i Meta Platforms Ireland Limited są współadministratorami danych osobowych przetwarzanych w związku z prowadzeniem Fanpage'a „Ugoda-Konsumencka" (ID: 978301632035601) na platformie Facebook.

14.2. Zakres współadministrowania

Współadministrowanie obejmuje:

  • przetwarzanie danych użytkowników odwiedzających Fanpage (Page Insights);
  • przetwarzanie danych w ramach interakcji z treściami na Fanpage'u (komentarze, polubienia, udostępnienia);
  • przetwarzanie danych w ramach Facebook Pixel osadzonego na ugoda-konsumencka.pl.

14.3. Podział odpowiedzialności

Zgodnie z Uzupełnieniem dotyczącym administratora danych dla Page Insights (Page Insights Controller Addendum):

a) Meta jest odpowiedzialna za:

  • zapewnienie podstawy prawnej przetwarzania danych Page Insights;
  • umożliwienie osobom, których dane dotyczą, wykonywania ich praw (w zakresie danych przetwarzanych przez Meta);
  • zapewnienie bezpieczeństwa danych przetwarzanych na platformie Meta.

b) Administrator jest odpowiedzialny za:

  • zapewnienie podstawy prawnej dla przetwarzania danych, które inicjuje (np. prowadzenie Fanpage'a);
  • informowanie osób, których dane dotyczą, o współadministrowaniu;
  • umożliwienie kontaktu w sprawie danych (punkt kontaktowy: [email protected]);
  • realizację praw osób, których dane dotyczą, w zakresie danych przetwarzanych poza platformą Meta.

14.4. Informacja dla użytkowników

Osoby odwiedzające Fanpage „Ugoda-Konsumencka" na Facebooku powinny być świadome, że ich dane mogą być przetwarzane przez Meta do celów statystycznych (Page Insights). Szczegółowe informacje o przetwarzaniu danych przez Meta: https://www.facebook.com/privacy/explanation

15. PRYWATNOŚĆ DZIECI

15.1. Ograniczenie wiekowe

Usługi oferowane za pośrednictwem Serwisu ugoda-konsumencka.pl i powiązanych kanałów (Facebook, WhatsApp, TikTok) są skierowane wyłącznie do osób pełnoletnich (18+). Administrator świadomie nie zbiera i nie przetwarza danych osobowych osób poniżej 18. roku życia.

15.2. Postępowanie w przypadku zebrania danych dziecka

Jeżeli Administrator poweźmie wiedzę, że dane osobowe osoby poniżej 18. roku życia zostały zebrane bez odpowiedniej zgody opiekuna prawnego, dane te zostaną niezwłocznie usunięte. Rodzic lub opiekun prawny może zgłosić taki przypadek na adres [email protected].

16. ZMIANY POLITYKI

16.1. Aktualizacje

Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności w dowolnym momencie. O istotnych zmianach użytkownicy zostaną poinformowani za pośrednictwem:

  • widocznego komunikatu na stronie ugoda-konsumencka.pl;
  • aktualizacji daty „Ostatnia aktualizacja" w nagłówku dokumentu;
  • w uzasadnionych przypadkach — powiadomienia e-mail (jeśli użytkownik podał adres e-mail).

16.2. Wersjonowanie

Każda wersja Polityki jest archiwizowana. Poprzednie wersje są dostępne na żądanie — wystarczy skontaktować się z Administratorem.

16.3. Obowiązywanie

Korzystanie z Serwisu po wprowadzeniu zmian oznacza akceptację zaktualizowanej Polityki. W przypadku istotnych zmian dotyczących podstaw prawnych przetwarzania lub zakresu zbieranych danych — Administrator może poprosić o ponowne wyrażenie zgody.

17. KONTAKT

17.1. Dane kontaktowe Administratora

KANCELARIA POMOCY PRAWNEJ FINTEO Sp. z o.o. ul. Antoniego Madalińskiego 1K/26 80-034 Gdańsk NIP: 5833513223 KRS: 0001113990

17.2. Kontakt w sprawach ochrony danych osobowych

  • E-mail: [email protected]
  • Telefon: +48 666 168 802
  • Poczta: ul. Antoniego Madalińskiego 1K/26, 80-034 Gdańsk (z dopiskiem: „Ochrona danych osobowych")

17.3. Kontakt ogólny

  • E-mail: [email protected]
  • Telefon: +48 666 168 802
  • Strona: https://ugoda-konsumencka.pl

17.4. Organ nadzorczy

Prezes Urzędu Ochrony Danych Osobowych (PUODO) ul. Stawki 2, 00-193 Warszawa Tel.: +48 22 531 03 00 E-mail: [email protected] Strona: https://www.uodo.gov.pl

PRIVACY POLICY — ugoda-konsumencka.pl

English Version (for platform reviewers)

Version: 1.0 Effective date: March 22, 2026 Last updated: March 22, 2026

1. GENERAL INFORMATION

1.1. Data Controller

The controller of personal data processed through the website ugoda-konsumencka.pl is:

KANCELARIA POMOCY PRAWNEJ FINTEO Sp. z o.o. (Legal Aid Office FINTEO Ltd.) ul. Antoniego Madalińskiego 1K/26, 80-034 Gdańsk, Poland Tax ID (NIP): 5833513223 National Court Register (KRS): 0001113990 Data protection email: [email protected] General email: [email protected] Phone: +48 666 168 802

(hereinafter: the "Controller")

1.2. Scope of this Policy

This Privacy Policy (hereinafter: the "Policy") describes the rules for collecting, processing, storing and protecting personal data in connection with:

a) the use of ugoda-konsumencka.pl (hereinafter: the "Website") — a sales-focused portal about debt restructuring and consumer settlements;

b) integration with Meta Platforms, Inc. — including Facebook, Facebook Messenger, WhatsApp Business;

c) integration with TikTok (ByteDance Ltd.) — publishing educational video content;

d) marketing automation and customer service using Meta API;

e) the use of artificial intelligence (AI) in customer communications;

f) website traffic analysis through analytics tools;

g) data processing through contact forms and CTAs on the Website.

1.3. Nature of the Website

The Website ugoda-konsumencka.pl is a sales page (CTA-focused portal) dedicated to acquiring leads — individuals interested in debt restructuring and consumer settlement services. The Website contains educational content, contact forms, calculators, and CTA elements leading to contact with the Controller.

1.4. Legal Framework

Personal data processing is carried out in accordance with:

  • Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 (General Data Protection Regulation — GDPR);
  • Polish Act of 10 May 2018 on the Protection of Personal Data;
  • Polish Act of 18 July 2002 on Providing Services by Electronic Means;
  • Polish Telecommunications Act of 16 July 2004;
  • Meta Platform Terms and Meta Developer Policies;
  • WhatsApp Business Policy;
  • TikTok Terms of Service and TikTok for Business Privacy Policy.

2. DATA COLLECTED THROUGH META INTEGRATION

2.1. Meta App and Facebook Page

The Website is associated with:

  • Facebook Page: Ugoda-Konsumencka (ID: 978301632035601)
  • Meta App: NinjaBot Automat (App ID: 898066436524377)

2.2. Meta Permissions — Summary Table

Permission Data Scope Purpose GDPR Legal Basis Retention
pages_read_user_content Comments, posts, reactions on the Facebook Page Customer inquiry monitoring; content moderation (spam, offensive content); sentiment analysis; identification of individuals needing debt relief assistance Art. 6(1)(f) — legitimate interest 24 months
pages_manage_posts Posts created, edited, deleted on the Page Publishing educational and CTA-focused content about debt restructuring and consumer settlements Art. 6(1)(f) — legitimate interest Until deletion
pages_messaging Messenger messages, user name, PSID, timestamps, attachments AI-powered customer support (Anthropic Claude); query classification and routing; conversation history for service continuity; lead qualification Art. 6(1)(a) — consent; Art. 6(1)(b) — pre-contractual measures 24 months
whatsapp_business_messaging WhatsApp messages, phone numbers, display names, delivery statuses, attachments Customer support for debt restructuring inquiries; AI auto-responses; appointment confirmations; approved message templates Art. 6(1)(a) — consent; Art. 6(1)(b) — contract/pre-contractual 24 months
whatsapp_business_management WABA configuration: profile settings, message templates, phone numbers, webhooks Technical administration of WhatsApp Business account, template management, quality monitoring Art. 6(1)(f) — legitimate interest Duration of WABA account
pages_show_list List of managed Facebook Pages Display available Pages in management panel, enable Page selection Art. 6(1)(b) — contract performance Session only
pages_manage_metadata Page metadata: name, description, category, hours, contact info, profile/cover photo Updating Page information to ensure contact details are current and consistent with the Website Art. 6(1)(f) — legitimate interest Not stored locally
pages_manage_engagement User interactions: likes, comments, shares, reactions Responding to comments; content moderation; review management Art. 6(1)(f) — legitimate interest 24 months
pages_read_engagement Aggregated engagement statistics: likes, comments, shares, reach, views Content effectiveness analysis, communication strategy optimization, KPI reporting Art. 6(1)(f) — legitimate interest 12 months
publish_video Video content published on the Page including Facebook Reels Publishing educational videos about debt restructuring, consumer settlements, asset protection Art. 6(1)(f) — legitimate interest Until deletion
pages_manage_ads Ad campaign data: budgets, targeting, creatives, results Creating and optimizing ad campaigns promoting debt restructuring services Art. 6(1)(f) — legitimate interest 36 months
ads_read Ad account data: campaign results, reports, aggregated audience demographics Campaign performance monitoring, reporting, budget optimization Art. 6(1)(f) — legitimate interest 36 months
ads_management / Ads Management Standard Access Campaign configuration: creation, editing, pausing, deletion of campaigns, ad sets, and ads Comprehensive management of ad campaigns promoting debt relief services Art. 6(1)(f) — legitimate interest 36 months
leads_retrieval Lead Ads form data: first name, last name, phone number, email address, custom question responses, submission timestamp, campaign/form ID Contacting individuals who expressed interest in debt restructuring; CRM lead entry; automated advisor assignment; confirmation messages Art. 6(1)(a) — consent; Art. 6(1)(b) — pre-contractual 36 months
business_management Business Manager structure: asset list (Pages, ad accounts, pixels, catalogs), user roles Meta business infrastructure administration — access management, permission auditing Art. 6(1)(f) — legitimate interest Not stored locally
public_profile Public Facebook profile of app administrator: name, profile picture, user ID Administrator identification in management panel, UI personalization, authentication Art. 6(1)(b) — contract performance Duration of account

2.3. What We Do NOT Collect

We do NOT collect private profile data of Facebook users who interact with our Page (friends list, date of birth, home address, private phone number). We do NOT sell personal data to third parties.

3. DATA COLLECTED THROUGH TIKTOK INTEGRATION

3.1. Scope

The Controller maintains a TikTok account for publishing educational video content about debt restructuring and consumer settlements.

3.2. Data Collected

Category Data Purpose
Content publishing Video files, descriptions, hashtags, thumbnails — created by Controller Educational content about debt relief
Analytics Aggregated statistics: views, likes, comments, shares, watch time, audience demographics (age, gender, location — aggregated only) Content strategy optimization
Comments Comment text, public username Responding to questions, moderation, engagement

3.3. Legal Basis

  • Content publishing: Art. 6(1)(f) GDPR (legitimate interest — marketing and education).
  • Analytics: Art. 6(1)(f) GDPR (legitimate interest). Data is aggregated only and does not allow identification of individual users.
  • Comments: Art. 6(1)(f) GDPR (legitimate interest — customer support).

3.4. What We Do NOT Collect from TikTok

We do NOT collect, store or process: private profile data of TikTok users; private messages (DMs); location data; device data from users.

4. DATA COLLECTED THROUGH THE WEBSITE

4.1. Contact Forms and CTAs

The Website contains contact forms collecting: name, phone number, email address (optional), inquiry content (optional).

Legal basis: Art. 6(1)(a) GDPR (consent) and Art. 6(1)(b) GDPR (pre-contractual measures). Retention: 36 months from submission or until consent withdrawal.

4.2. NinjaBox (Interactive Client Dashboard)

The Website may include the NinjaBox module collecting: debt amount, number of creditors, monthly income, appointment booking data (name, phone, email, preferred date). This data is NOT shared with Meta, TikTok, or any third parties — it remains exclusively in the Controller's database on OVH servers in the EU.

4.3. Analytics Tools

  • Google Analytics 4 (Measurement ID: G-1LN9G721NS) — anonymized IP, pages visited, visit duration, device type, traffic source.
  • Microsoft Clarity (Project ID: viy4tyozex) — clicks, scrolling, mouse movements, heatmaps, session recordings (anonymized — form data is automatically masked).
  • Facebook Pixel (ID: 2879390782365613) — conversion events (PageView, Lead, Contact), anonymized browser identifier, campaign parameters.

All analytics and marketing cookies are loaded only after user consent (consent-first approach).

5. PURPOSES AND LEGAL BASES FOR PROCESSING

Purpose Legal Basis (GDPR) Data Categories
Providing debt restructuring services Art. 6(1)(b) — contract performance Contact data, debt information
Pre-contractual measures upon user request Art. 6(1)(b) Form data, Lead Ads, NinjaBox
Messenger/WhatsApp inquiry handling Art. 6(1)(a) — consent; Art. 6(1)(b) Messages, contact data
Direct marketing (own services) Art. 6(1)(f) — legitimate interest Contact data, preferences
Content publication on Facebook and TikTok Art. 6(1)(f) — legitimate interest Content created by Controller
Ad campaign management Art. 6(1)(f) — legitimate interest Campaign parameters, aggregated results
Page moderation Art. 6(1)(f) — legitimate interest Comments, interactions
Website analytics and optimization Art. 6(1)(a) — consent (cookies); Art. 6(1)(f) Aggregated analytics data
Legal obligation compliance Art. 6(1)(c) — legal obligation Data required by law
Establishment and defense of legal claims Art. 6(1)(f) — legitimate interest Contractual data, correspondence

Sensitive data: The Controller does NOT collect or process special categories of personal data within the meaning of Art. 9 GDPR.

6. USE OF ARTIFICIAL INTELLIGENCE

6.1. Technology

The Controller uses Anthropic Claude AI model (provider: Anthropic, PBC, San Francisco, USA) to assist with customer service via Facebook Messenger and WhatsApp Business.

6.2. AI Processing Principles

a) Stateless processing: Anthropic Claude does not retain data from conversations between sessions. Each query is processed independently. Anthropic does not use conversation data for model training.

b) Data minimization: Only the following is sent to the AI model: message content, user first name, recent conversation context. NOT sent: national ID numbers, identity document numbers, bank account numbers, exact debt amounts from documents.

c) Human oversight: Every AI-assisted conversation can be taken over by a human advisor at any time. Users are informed of their right to request human contact. AI responses involving binding legal or financial decisions require human advisor approval.

d) Transparency: Users are informed that communication may be AI-assisted through Greeting Text in Messenger and a welcome message in WhatsApp.

6.3. User Rights Regarding AI

Users have the right to:

  • request exclusively human advisor contact;
  • obtain information on whether a response was AI-generated;
  • object to automated profiling (Art. 22 GDPR).

7. DATA RECIPIENTS

Recipient Data Category Purpose Safeguards
Meta Platforms, Inc. (USA/Ireland) Messenger, WhatsApp, Lead Ads, Pixel, ad data Meta platform integration, ad campaigns DPA, SCCs
Anthropic, PBC (USA) Messenger/WhatsApp messages (no sensitive data) AI response generation DPA, SCCs, stateless processing
OVH SAS (France) All data stored in Website database Server and database hosting DPA, EU servers (France)
Google LLC (USA) Analytics data (anonymized IP, traffic data) Google Analytics 4 DPA, SCCs
Microsoft Corporation (USA) Anonymized session data Microsoft Clarity DPA, SCCs
Cooperating lawyers (Poland) Client data necessary for service delivery Legal documentation, representation Processing agreement, professional secrecy
TikTok / ByteDance Ltd. (Singapore/Ireland) Content published by Controller, aggregated analytics Educational content publication TikTok for Business Terms

The Controller does NOT sell personal data. The Controller does NOT share data with data brokers, debt collection agencies, or third-party direct marketing companies.

8. INTERNATIONAL DATA TRANSFERS

8.1. Data Location

The Controller's primary database is hosted on OVH SAS servers in Roubaix, France (European Union).

8.2. Transfers Outside the EEA

Recipient Location Transfer Mechanism
Meta Platforms, Inc. USA Standard Contractual Clauses (SCCs) + supplementary technical measures
Anthropic, PBC USA SCCs + stateless processing (data is not stored)
Google LLC USA SCCs + IP anonymization in GA4
Microsoft Corporation USA SCCs
TikTok / ByteDance Ltd. Singapore/Ireland SCCs, data stored within Project Clover (Europe)

9. DATA RETENTION PERIODS

Data Category Retention Period
Contact form data 36 months from submission or until consent withdrawal
Lead Ads data 36 months from submission or until consent withdrawal
Messenger conversations 24 months from last message
WhatsApp conversations 24 months from last message
Facebook Page comments Up to 24 months or until deletion on platform
Analytics data (GA4) 14 months
Analytics data (Clarity) 12 months
Ad campaign data 36 months
Contractual client data 6 years post-contract (accounting) + 3 years (statute of limitations)
NinjaBox data 36 months from data entry
TikTok analytics 12 months (aggregated)

After the retention period, data is automatically deleted or anonymized.

10. DATA SUBJECT RIGHTS

Every data subject has the following rights under GDPR:

a) Right of access (Art. 15) — obtain information about processed data, purposes, categories, recipients, retention periods;

b) Right to rectification (Art. 16) — request correction of inaccurate or completion of incomplete data;

c) Right to erasure (Art. 17, "right to be forgotten") — request deletion when data is no longer necessary, consent is withdrawn, objection is raised, or processing is unlawful;

d) Right to restriction of processing (Art. 18) — request limitation to storage only;

e) Right to data portability (Art. 20) — receive data in structured, machine-readable format (JSON/CSV);

f) Right to object (Art. 21) — object to processing based on legitimate interest, including direct marketing;

g) Right to withdraw consent (Art. 7(3)) — withdraw consent at any time without affecting lawfulness of prior processing;

h) Right not to be subject to automated decision-making (Art. 22) — including profiling producing legal or similarly significant effects;

i) Right to lodge a complaint (Art. 77) — with the President of the Personal Data Protection Office (PUODO), ul. Stawki 2, 00-193 Warsaw, Poland, www.uodo.gov.pl.

Contact for Exercising Rights

  • Email: [email protected]
  • Mail: KANCELARIA POMOCY PRAWNEJ FINTEO Sp. z o.o., ul. Antoniego Madalińskiego 1K/26, 80-034 Gdańsk, Poland
  • Phone: +48 666 168 802

Response time: 30 days (extendable by 60 days for complex requests, with prior notification).

11. DATA DELETION PROCEDURES

11.1. Data Deletion Request

Users may request data deletion by:

  • sending an email to [email protected] with subject "Data Deletion Request";
  • calling +48 666 168 802.

11.2. Meta Data Deletion Callback

In compliance with Meta Platform Terms, the Controller provides an automated data deletion endpoint:

URL: https://app.ninjabot.pl/api/facebook/data-deletion

This endpoint:

  • accepts data deletion requests sent by Meta (signed request);
  • verifies request authenticity using the App Secret;
  • deletes all data associated with the Meta user ID from the Controller's database;
  • returns a status URL and confirmation code enabling the user to check deletion status.

11.3. Deletion Scope

Upon deletion request, the Controller removes:

  • data from the PostgreSQL database on OVH servers;
  • Messenger and WhatsApp conversation history stored in the system;
  • contact form and Lead Ads data;
  • NinjaBox data;
  • backup copies (within backup rotation cycle — up to 30 days).

Exceptions: The Controller may retain data necessary for: legal obligations (e.g., accounting records — 5 years); establishment, exercise or defense of legal claims; archival purposes in the public interest.

12. DATA SECURITY

12.1. Technical Measures

  • Encryption in transit: All Website connections secured via SSL/TLS (Let's Encrypt). API communication exclusively over HTTPS.
  • Encryption at rest: PostgreSQL database stored on encrypted disks (AES-256) on OVH servers.
  • Access control: Database access restricted to authorized administrators via authenticated SSH. Management panel requires login credentials.
  • Backups: Regular encrypted database backups.
  • Monitoring: Continuous server availability and security monitoring.

12.2. Organizational Measures

  • Data minimization principle;
  • Need-to-know access restriction;
  • Data protection training for authorized personnel;
  • Data Processing Agreements (DPA) with all processors pursuant to Art. 28 GDPR;
  • Breach notification procedure — reporting to PUODO within 72 hours when required.

13. COOKIES

13.1. Consent-First Approach

ugoda-konsumencka.pl implements a consent-first approach — analytics and marketing cookies are activated only after user consent via the cookie banner. Until consent is given, only strictly necessary cookies are loaded.

13.2. Cookie Categories

Category Tool ID Data Retention
Strictly necessary Session, consent Session ID, consent preference Session / 12 months
Analytics Google Analytics 4 G-1LN9G721NS Anonymized IP, pages, duration, device, source 14 months
Analytics Microsoft Clarity viy4tyozex Clicks, scrolling, heatmaps (form data masked) 12 months
Marketing Facebook Pixel 2879390782365613 Conversion events, anonymized browser ID, UTM params 90 days

13.3. Cookie Management

Users can change cookie preferences at any time via the cookie banner (accessible from the Website footer), delete cookies via browser settings, or block cookies via browser settings.

Opt-out links:

  • Google Analytics: https://tools.google.com/dlpage/gaoptout
  • Facebook Ads: https://www.facebook.com/settings?tab=ads

14. CO-ADMINISTRATION WITH META

Pursuant to the Court of Justice of the EU ruling of 5 June 2018 in case C-210/16 (Wirtschaftsakademie Schleswig-Holstein), the Controller and Meta Platforms Ireland Limited are joint controllers of personal data processed in connection with operating the Facebook Page "Ugoda-Konsumencka" (ID: 978301632035601).

The co-administration covers: processing data of Page visitors (Page Insights); processing data from Page interactions (comments, likes, shares); processing data via Facebook Pixel embedded on ugoda-konsumencka.pl.

Responsibilities are allocated pursuant to the Page Insights Controller Addendum. Users can exercise their rights regarding data processed by Meta through Meta's Data Privacy settings: https://www.facebook.com/privacy/explanation

15. CHILDREN'S PRIVACY

Services offered through ugoda-konsumencka.pl and associated channels (Facebook, WhatsApp, TikTok) are intended exclusively for adults (18+). The Controller does not knowingly collect or process personal data of individuals under 18. If the Controller becomes aware that data of a minor has been collected without appropriate guardian consent, it will be promptly deleted. Parents or guardians may report such cases to [email protected].

16. POLICY CHANGES

The Controller reserves the right to update this Privacy Policy. Users will be informed of significant changes through a notice on ugoda-konsumencka.pl and an update to the "Last updated" date. Previous versions are available upon request.

17. CONTACT

KANCELARIA POMOCY PRAWNEJ FINTEO Sp. z o.o. ul. Antoniego Madalińskiego 1K/26, 80-034 Gdańsk, Poland NIP: 5833513223 | KRS: 0001113990

Supervisory authority: President of the Personal Data Protection Office (PUODO), ul. Stawki 2, 00-193 Warsaw, Poland, www.uodo.gov.pl

This Privacy Policy is effective as of March 22, 2026 (Version 1.0).