Polityka prywatności
- Administrator danych
- Kontakt
- Jakie dane przetwarzamy
- Dane głosowe (tryb VoiceOver)
- Cele i podstawy prawne
- Dane konta użytkownika
- Dane projektów i materiałów
- Dane płatności i faktur
- Dane techniczne i bezpieczeństwa
- Storyblocks
- Zewnętrzni dostawcy
- Cookies i sesje
- Okres przechowywania danych
- Prawa użytkownika
- Skarga do UODO
- Dobrowolność podania danych
- Decyzje zautomatyzowane
- Transfer danych poza EOG
- Zmiany polityki
1. Administrator danych
Administratorem Twoich danych osobowych w aplikacji Boost It Up / VidEdit (dalej „Aplikacja") jest BOOST IT UP! Sp. z o.o. (dalej „Administrator").
2. Kontakt
W sprawach związanych z ochroną danych osobowych skontaktuj się z nami pod adresem:
E-mail: support@boostitup.pl
3. Jakie dane przetwarzamy
Przetwarzamy następujące kategorie danych:
- Dane konta: adres e-mail, zaszyfrowane hasło, data rejestracji, ustawienia konta.
- Dane projektów: tematy, scenariusze, parametry projektów wideo, przesyłane przez Ciebie pliki źródłowe (jeżeli korzystasz z opcji upload), wygenerowane materiały końcowe.
- Dane płatności i faktur: imię i nazwisko lub nazwa firmy, adres, NIP (jeżeli podajesz), historia zakupów, faktury VAT.
- Dane techniczne: adres IP, identyfikator sesji, informacje o przeglądarce (User Agent), data i godzina logowania, audyt akcji bezpieczeństwa.
- Dane integracji zewnętrznych: tokeny dostępu OAuth do Twoich kont YouTube, Facebook, Instagram, TikTok (jeżeli świadomie połączysz konto w celu publikacji).
- Dane Storyblocks: anonimowy identyfikator, akceptacja warunków, log pobranych zasobów (szczegóły w sekcji 9).
- Dane zgłoszeń: treść wiadomości i adres e-mail przy korzystaniu z formularza wsparcia.
3a. Dane głosowe (tryb VoiceOver)
Jeżeli korzystasz z trybu VoiceOver (samodzielnie wgrywasz plik audio z nagraniem głosu), przetwarzamy dodatkowo następujące kategorie danych:
- plik audio MP3 przesłany przez Ciebie,
- automatyczną transkrypcję głosu (zapis tekstowy) wygenerowaną przez model rozpoznawania mowy Whisper, w aktualnym etapie wdrożenia za pośrednictwem API OpenAI (USA) — patrz sekcja 10 oraz sekcja 17 (transfer poza EOG),
- metadane techniczne pliku (długość nagrania, format, parametry kodowania),
- informacje o akceptacji warunków VoiceOver (data, adres IP, User Agent, wersja warunków) — patrz sekcja 8 oraz sekcja 13.
Retencja audio źródłowego: polityka retencji wynosi 30 dni od soft-delete projektu lub od momentu skorzystania z opcji „Zwolnij miejsce". Faktyczne egzekwowanie jest realizowane przez operacyjny proces retencji (w aktualnym etapie wdrożenia: dry-run + manual review przed pełną aktywacją). W razie potrzeby wcześniejszego usunięcia pliku audio możesz:
- usunąć projekt z panelu (operacja usuwa również plik audio z naszej infrastruktury w cyklu retencyjnym), lub
- skontaktować się z support@boostitup.pl z prośbą o przyspieszone usunięcie.
Retencja materiału finalnego: wygenerowane wideo przechowujemy do czasu, w którym samodzielnie usuniesz projekt z panelu (docelowo wprowadzimy okres 365 dni od ostatniego pobrania lub re-rendera — zmiana zostanie zapowiedziana z odpowiednim wyprzedzeniem).
Nie wykorzystujemy nagrań głosowych do biometrycznej identyfikacji ani uwierzytelniania użytkowników. Przetwarzanie ogranicza się do transkrypcji treści w celu wygenerowania scenariusza i materiału wideo.
Odpowiedzialność za treść głosu: wgrywając plik audio oświadczasz, że:
- masz prawo do nagrania (jest to Twój głos albo posiadasz świadomą zgodę osoby nagranej),
- treść nagrania nie zawiera mowy nienawiści, nawoływania do przemocy ani naruszeń praw autorskich,
- nie wgrywasz syntetycznych klonów głosu osób trzecich (tzw. deepfake) bez ich zgody.
Naruszenie powyższych zobowiązań może skutkować zablokowaniem konta oraz usunięciem materiałów. Akceptacja oświadczenia jest rejestrowana w dzienniku audytowym (data, IP, User Agent, wersja oświadczenia).
4. Cele i podstawy prawne
| Cel | Podstawa prawna (RODO) |
|---|---|
| Świadczenie usług Aplikacji (rejestracja, generowanie wideo, dostarczanie materiałów) | Art. 6 ust. 1 lit. b — wykonanie umowy |
| Rozliczenia, faktury VAT, obowiązki księgowe | Art. 6 ust. 1 lit. c — obowiązek prawny |
| Bezpieczeństwo Aplikacji, audyt, wykrywanie nadużyć | Art. 6 ust. 1 lit. f — uzasadniony interes Administratora |
| Obsługa zgłoszeń i wsparcia | Art. 6 ust. 1 lit. b lub f |
| Spełnienie zobowiązań wobec dostawców (np. Storyblocks API Agreement) | Art. 6 ust. 1 lit. b oraz f |
| Marketing własny (jeżeli wyrażasz zgodę) | Art. 6 ust. 1 lit. a — zgoda |
5. Dane konta użytkownika
Po założeniu konta przechowujemy:
- adres e-mail (jako identyfikator logowania),
- hasło w postaci zaszyfrowanej (bcrypt) — Administrator nie zna hasła w postaci jawnej,
- saldo FlowCoin oraz historię operacji,
- ewentualne klucze API zewnętrznych usług, które samodzielnie wprowadzisz w panelu konta (Pexels, Pixabay, Freesound),
- tokeny OAuth do Twoich kont na platformach społecznościowych — wyłącznie po Twoim świadomym połączeniu konta,
- jeżeli włączysz dwuskładnikowe uwierzytelnianie (2FA): tajny kod TOTP do generowania kodów weryfikacyjnych.
6. Dane projektów i materiałów
Tworząc projekt w Aplikacji przekazujesz nam dane potrzebne do jego realizacji:
- temat i parametry projektu (format, styl, język),
- opcjonalnie pliki, które wgrywasz (np. wideo źródłowe do analizy),
- wygenerowane materiały końcowe (scenariusz, lektor, klipy b-roll, finalne wideo).
Materiały końcowe przechowywane są w naszej infrastrukturze (Amazon Web Services / AWS, region eu-central-1 — Frankfurt) na potrzeby udostępnienia Tobie w panelu projektów oraz historii.
7. Dane płatności i faktur
Płatności obsługuje zewnętrzny operator. W systemie zapisujemy:
- dane do faktury podane przez Ciebie (imię i nazwisko lub nazwa firmy, adres, NIP),
- historię zakupów FlowCoin, abonamentów oraz dodatków magazynowych,
- numer faktury VAT, data wystawienia, kwota netto/VAT/brutto.
Pełne dane karty płatniczej nie są przez nas przechowywane — operator płatności (PayU) odpowiada za przetwarzanie tych danych zgodnie z własną polityką prywatności.
8. Dane techniczne i bezpieczeństwa
Dla zapewnienia bezpieczeństwa i prawidłowego działania Aplikacji przetwarzamy:
- adres IP klienta przy logowaniu, rejestracji oraz przy operacjach krytycznych (zmiana hasła, akceptacja warunków, akcje administracyjne),
- nagłówek User Agent przeglądarki przy operacjach krytycznych,
- identyfikator sesji oraz token CSRF (cookies — patrz sekcja 11),
- wewnętrzny dziennik audytowy (AuditLog) zawierający informacje o zdarzeniach bezpieczeństwa, takich jak logowanie, rejestracja, akceptacja warunków, działania administratorów oraz zdarzenia związane z limitami i podejrzeniem nadużyć.
Dziennik audytowy nie zawiera haseł, tokenów resetujących ani pełnych danych płatniczych.
9. Storyblocks
Jeżeli korzystasz z funkcji opartych o materiały Storyblocks, przetwarzamy dodatkowe dane wymagane przez umowę z dostawcą Storyblocks:
- Akceptacja warunków: data, wersja warunków, IP oraz User Agent w momencie akceptacji.
- Anonimowy identyfikator
storyblocks_user_id: losowy identyfikator UUID v4 generowany przy pierwszej akceptacji warunków, przekazywany do Storyblocks API w zapytaniach. Identyfikator nie jest adresem e-mail, nie jest identyfikatorem konta w naszej bazie i nie zawiera imienia, nazwiska ani danych kontaktowych. - Log pobranych zasobów: identyfikator zasobu Storyblocks, typ zasobu (wideo, muzyka, efekt dźwiękowy), projekt, w którym został wykorzystany, data i godzina pobrania, poziom dostępu (tier).
- Limity użycia: dla zapobiegania nadużyciom przechowujemy informacje o liczbie pobrań w celu egzekwowania limitów per użytkownik.
- Rozliczenia z dostawcą Storyblocks (MAU): dostawca Storyblocks rozlicza usługę na podstawie liczby unikalnych identyfikatorów użytkowników w danym miesiącu (Monthly Active Users / MAU). Do dostawcy przekazujemy wyłącznie anonimowy
storyblocks_user_id— nigdy nie przekazujemy adresu e-mail, imienia, nazwiska, numeru telefonu ani identyfikatora konta.
Powyższe dane są przetwarzane na podstawie wykonania umowy (świadczenie funkcji Storyblocks) oraz uzasadnionego interesu (zapewnienie zgodności z umową dostawcy oraz ochrona przed nadużyciami).
Pełne warunki korzystania z zasobów Storyblocks: /terms/storyblocks.
10. Zewnętrzni dostawcy
Aplikacja korzysta z następujących dostawców zewnętrznych. Każdy z nich przetwarza dane zgodnie z własną polityką prywatności:
| Dostawca | Cel przetwarzania |
|---|---|
| Anthropic (Claude API) | Generowanie scenariuszy i analiza tekstu |
| OpenAI (Whisper / Audio API) | Transkrypcja głosu (tryb VoiceOver) — patrz sekcja 3a |
| ElevenLabs | Synteza mowy (lektor) |
| Storyblocks | Materiały premium b-roll, muzyka, efekty dźwiękowe |
| Pexels | Materiały b-roll z bibliotek darmowych |
| Pixabay | Materiały b-roll z bibliotek darmowych |
| Freesound | Efekty dźwiękowe i muzyka z bibliotek darmowych |
| PayU | Obsługa płatności w Polsce |
| Amazon Web Services (S3, region Frankfurt) | Przechowywanie wygenerowanych materiałów wideo |
| Google / YouTube | OAuth przy łączeniu konta YouTube w celu publikacji (wyłącznie na Twoje żądanie) |
| Meta (Facebook, Instagram) | OAuth przy łączeniu konta Meta w celu publikacji (wyłącznie na Twoje żądanie) |
| TikTok | OAuth przy łączeniu konta TikTok w celu publikacji (wyłącznie na Twoje żądanie) |
| Operator poczty SMTP | Wysyłka powiadomień transakcyjnych (np. status projektu, faktura) |
11. Cookies i sesje
Aplikacja używa wyłącznie ciasteczek niezbędnych do działania:
session— ciasteczko HttpOnly identyfikujące Twoją sesję po zalogowaniu. Wygasa wraz z zakończeniem sesji.csrf_token— ciasteczko zabezpieczające przed atakami CSRF (Cross-Site Request Forgery), używane razem z nagłówkiem żądania.
Aplikacja nie używa zewnętrznych ciasteczek śledzących, nie korzysta z Google Analytics ani innych narzędzi analitycznych zewnętrznych dostawców. Wewnętrzne dane użycia są zapisywane wyłącznie w dzienniku audytowym Administratora.
Niektóre funkcje (zapamiętywanie preferencji wizardu) korzystają z mechanizmu Local Storage przeglądarki — dane te są zapisywane lokalnie w Twojej przeglądarce i nie są przesyłane na serwer Administratora.
12. Okres przechowywania danych
- Dane konta: przez czas posiadania konta. Po usunięciu konta dane są usuwane lub anonimizowane, z wyjątkiem danych, które musimy przechowywać dłużej z mocy prawa (np. dokumenty księgowe).
- Faktury VAT i dane księgowe: przez 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku, zgodnie z przepisami podatkowymi.
- Dane projektów i materiałów: przez czas posiadania konta, chyba że samodzielnie usuniesz projekt.
- Dziennik audytowy (AuditLog): przez okres niezbędny do celów bezpieczeństwa i wykrywania nadużyć — domyślnie 12 miesięcy, dłużej w przypadku zdarzeń istotnych z perspektywy bezpieczeństwa lub prawa.
- Log Storyblocks: przez okres rozliczeniowy z dostawcą oraz w celach audytowych — minimum 24 miesiące.
- Tokeny OAuth zewnętrznych platform: do momentu, w którym samodzielnie odłączysz konto albo do momentu wygaśnięcia tokenu.
13. Prawa użytkownika
W związku z przetwarzaniem Twoich danych osobowych przysługują Ci następujące prawa:
- Prawo dostępu do danych — możesz uzyskać informację, jakie dane na Twój temat przetwarzamy.
- Prawo do sprostowania nieprawidłowych lub niekompletnych danych.
- Prawo do usunięcia („prawo do bycia zapomnianym") — z zastrzeżeniem obowiązków prawnych Administratora.
- Prawo do ograniczenia przetwarzania — możesz zażądać czasowego wstrzymania przetwarzania.
- Prawo do przenoszenia danych — możesz otrzymać swoje dane w ustrukturyzowanym formacie.
- Prawo do sprzeciwu — wobec przetwarzania opartego na uzasadnionym interesie Administratora.
- Prawo do cofnięcia zgody — w odniesieniu do przetwarzania, które jest oparte na Twojej zgodzie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.
W celu skorzystania z któregokolwiek z powyższych praw skontaktuj się z nami pod adresem support@boostitup.pl.
14. Skarga do organu nadzorczego
Jeżeli uznasz, że przetwarzanie Twoich danych osobowych narusza przepisy o ochronie danych, masz prawo wnieść skargę do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (UODO):
ul. Stawki 2, 00-193 Warszawa
uodo.gov.pl
15. Dobrowolność podania danych
Podanie danych osobowych jest dobrowolne, ale niezbędne do korzystania z Aplikacji. Bez podstawowych danych konta (adres e-mail, hasło) nie jest możliwe założenie konta. Bez danych do faktury nie jest możliwe wystawienie faktury VAT. Bez akceptacji warunków Storyblocks nie jest możliwe korzystanie z funkcji opartych o tego dostawcę.
16. Decyzje zautomatyzowane i profilowanie
Aplikacja wykorzystuje automatyczne mechanizmy do generowania scenariuszy, doboru materiałów i renderingu wideo. Te mechanizmy operują na danych projektu, które samodzielnie wprowadzasz, i nie podejmują wobec Ciebie decyzji wywołujących skutki prawne ani istotnie wpływających na Ciebie w rozumieniu art. 22 RODO.
Limity użycia oraz wykrywanie nadużyć opierają się na regułach progowych (np. liczba pobrań w jednostce czasu) i nie stanowią profilowania w rozumieniu RODO.
17. Transfer danych poza EOG
Niektórzy z naszych dostawców mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym (EOG), w szczególności dostawcy z siedzibą w USA (Anthropic, OpenAI, ElevenLabs, Storyblocks, Pexels, Pixabay, Freesound, Google, Meta, TikTok). W takich przypadkach transfer odbywa się na podstawie:
- standardowych klauzul umownych Komisji Europejskiej, lub
- decyzji o adekwatności (np. EU–U.S. Data Privacy Framework, jeżeli dostawca jest objęty), lub
- innych zabezpieczeń przewidzianych w art. 46 RODO.
Korzystanie z funkcji opartych o tych dostawców jest dobrowolne — dane są przekazywane tylko wtedy, gdy świadomie korzystasz z odpowiedniej funkcji.
18. Zmiany polityki prywatności
Polityka prywatności może być aktualizowana, w szczególności w przypadku:
- zmian przepisów prawa,
- dodania nowych funkcji Aplikacji,
- zmiany dostawców zewnętrznych,
- zmian organizacyjnych po stronie Administratora.
O istotnych zmianach poinformujemy Cię z odpowiednim wyprzedzeniem za pośrednictwem Aplikacji lub poczty e-mail.