Polityka prywatności opisuje, w jaki sposób SpeedNetworking gromadzi, wykorzystuje i chroni dane osobowe użytkowników serwisu oraz uczestników eventów organizowanych przez naszych klientów. Stosujemy się do przepisów Rozporządzenia (UE) 2016/679 (RODO) oraz polskiej ustawy o ochronie danych osobowych z 10 maja 2018 r.
1. Administrator danych
Administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO jest:
SpeedNetworking
Outspace sp. z o.o.
ul. Michała Kleofasa Ogińskiego 2, 85-092 Bydgoszcz
NIP: 9671404232, REGON: 369029510, KRS: 0000710389
E-mail: hej@speednetworking.cloud
W zakresie eventów organizowanych w ramach platformy SpeedNetworking, administratorem danych osobowych uczestników jest organizator eventu (klient korzystający z workspace'a). SpeedNetworking występuje wówczas w roli podmiotu przetwarzającego (procesora) na podstawie umowy powierzenia przetwarzania danych (DPA), automatycznie zawieranej w momencie utworzenia workspace'a.
2. Kontakt w sprawach przetwarzania danych
W sprawach związanych z przetwarzaniem danych osobowych, realizacją praw użytkownika lub zgłoszeniem incydentu prosimy o kontakt na adres:
- E-mail: hej@speednetworking.cloud
- Formularz wniosku DSAR: /dsar/ (dostępny w panelu workspace'a)
- Adres korespondencyjny: Outspace sp. z o.o., ul. Michała Kleofasa Ogińskiego 2, 85-092 Bydgoszcz
Inspektor Ochrony Danych nie został powołany ze względu na charakter i skalę przetwarzania. W razie konieczności rolę kontaktu w sprawach RODO pełni administrator bezpośrednio.
3. Cele i podstawy przetwarzania
Przetwarzamy dane osobowe w następujących celach:
3.1. Świadczenie usługi platformy (konto i workspace)
Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy o świadczenie usług elektronicznych). Zakres: rejestracja konta, logowanie, zarządzanie workspace'em, fakturowanie subskrypcji, udzielanie wsparcia technicznego.
3.2. Organizacja i przeprowadzenie eventu
Podstawa prawna: art. 6 ust. 1 lit. b RODO (umowa zawierana przez uczestnika z organizatorem eventu w momencie rejestracji) oraz art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes organizatora w prowadzeniu networkingu B2B). Zakres: rejestracja uczestnika, parowanie w rundach, generowanie pokoju wideo, prowadzenie czatu, prezentacja mutual matches po zakończeniu eventu.
3.3. Pre-event swipe i AI matching
Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda uczestnika wyrażana opcjonalnie przed rozpoczęciem swipe'owania). Zakres: prezentacja zdjęcia, krótkiego opisu i LinkedIn URL innym uczestnikom tego samego eventu w celu wzajemnej oceny zainteresowania. Decyzje swipe (like / maybe / pass) używamy do generowania par przez algorytm matchera w pierwszych rundach.
3.4. AI ice-breakery i moderacja czatu
Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes w zwiększaniu jakości rozmów). Zakres: anonimizowane profile uczestników (branża, zainteresowania, krótki opis bez danych identyfikujących) przekazywane modelowi Claude Haiku w celu wygenerowania spersonalizowanych pytań na rozmowę. Treść czatu jest skanowana przez moderację AI pod kątem spamu, harassmentu i treści nielegalnych.
3.5. Marketing i newsletter
Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda) oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną. Zakres: wysyłka newslettera, informacji o nowych funkcjach, promocjach, treściach edukacyjnych. Zgoda jest dobrowolna i może zostać w dowolnym momencie wycofana przez kliknięcie linka "wypisz się" w stopce każdej wiadomości.
3.6. Fakturowanie i obowiązki podatkowe
Podstawa prawna: art. 6 ust. 1 lit. c RODO (obowiązek prawny — ustawa o VAT, ustawa o rachunkowości). Zakres: dane firmy (nazwa, NIP, adres), dane do faktury, historia transakcji. Faktury są generowane i archiwizowane w systemie wFirma.
3.7. Analityka serwisu i monitoring techniczny
Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes w zapewnieniu jakości i bezpieczeństwa usługi). Zakres: zanonimizowane statystyki użycia, logi serwera, monitoring błędów aplikacji (Sentry), wydajności (czasy odpowiedzi, dostępność).
4. Kategorie przetwarzanych danych
W zależności od kontekstu interakcji z platformą przetwarzamy następujące kategorie danych osobowych:
4.1. Dane konta organizatora (właściciel workspace'a)
- Imię i nazwisko
- Adres e-mail (login)
- Hasło (przechowywane jako hash bcrypt/argon2 — nie mamy dostępu do hasła w postaci jawnej)
- Numer telefonu (opcjonalnie)
- Dane firmy do faktury: nazwa, NIP, adres, REGON
- Sekrety 2FA (TOTP) — przechowywane w formie zaszyfrowanej
- Logi logowań (data, IP, user agent) — okres retencji 90 dni
4.2. Dane uczestnika eventu
- Imię i nazwisko
- Adres e-mail
- Nazwa firmy i branża (opcjonalnie)
- Stanowisko (opcjonalnie)
- LinkedIn URL (opcjonalnie)
- Krótki opis (bio) i zdjęcie do swipe (opcjonalnie, wyłącznie za zgodą)
- Decyzje swipe (like / maybe / pass) oraz wzajemne matche
- Wiadomości czatu z rozmów w rundach
- Oceny uczestników po rundach (opcjonalnie)
4.3. Dane techniczne
- Adres IP (anonimizowany w analityce)
- User agent (typ przeglądarki i systemu)
- Cookies sesyjne i preferencji
- Identyfikatory urządzenia push (jeśli włączono powiadomienia push)
4.4. Dane płatności
Nie przechowujemy danych kart płatniczych ani numerów rachunków bankowych. Płatności są obsługiwane wyłącznie przez Stripe Payments Europe Ltd. — do nas trafia jedynie identyfikator transakcji oraz status (paid / refunded / failed).
5. Odbiorcy danych (procesorzy)
Korzystamy z usług sprawdzonych dostawców zewnętrznych, którzy przetwarzają dane w naszym imieniu na podstawie umów powierzenia przetwarzania (DPA) zawierających odpowiednie klauzule ochrony danych:
| Dostawca | Cel | Lokalizacja |
|---|---|---|
| Stripe Payments Europe Ltd. | Obsługa płatności subskrypcji | Irlandia (EOG) + USA (SCC) |
| wFirma.pl Sp. z o.o. | Wystawianie faktur VAT, księgowość | Polska |
| Postmark (ActiveCampaign LLC) | Wysyłka maili transakcyjnych | USA (SCC + DPA) |
| Daily.co Inc. | Pokoje wideo (WebRTC) | USA (SCC + DPA) |
| Anthropic PBC | AI ice-breakery, moderacja czatu (Claude) | USA (SCC + DPA, zero data retention) |
| Voyage AI | Embeddings do AI matchingu | USA (SCC + DPA) |
| Cloudflare Inc. | CDN, ochrona przed DDoS, WAF | USA + globalna sieć (SCC) |
| Functional Software Inc. (Sentry) | Monitoring błędów aplikacji | USA / Niemcy (SCC + DPA) |
| Hostinger International Ltd. | Serwery aplikacji, bazy danych (VPS/KVM) | Litwa / UE (EOG) |
Lista dostawców jest aktualizowana wraz z rozwojem platformy. Każda zmiana, która istotnie wpływa na zakres lub miejsce przetwarzania danych, jest komunikowana użytkownikom przed wejściem w życie.
Dane uczestnika eventu są ponadto dostępne dla organizatora eventu (właściciela workspace'a) oraz członków zespołu organizatora, którym przypisano odpowiednie role w panelu administracyjnym (Właściciel, Administrator, Współpracownik).
6. Okres przechowywania danych
Dane przechowujemy nie dłużej niż jest to konieczne do realizacji celu, dla którego zostały zebrane, lub do wygaśnięcia obowiązków prawnych:
- Konto organizatora — przez czas trwania subskrypcji oraz 30 dni po jej zakończeniu (okno na anulowanie usunięcia)
- Dane uczestnika eventu — przez 12 miesięcy od daty eventu (chyba że organizator skróci ten okres)
- Wiadomości czatu — przez 90 dni od zakończenia eventu (potem anonimizacja)
- Faktury VAT — przez 5 lat zgodnie z ustawą o rachunkowości
- Logi techniczne — przez 90 dni
- Cookies analityczne — maksymalnie 13 miesięcy
- Newsletter — do momentu wycofania zgody
Po upływie okresów retencji dane są usuwane lub anonimizowane w sposób uniemożliwiający
przywrócenie powiązania z konkretną osobą (komenda anonymize_old_attendees
wykonywana automatycznie raz na dobę).
Okno usunięcia 30 dni: po zgłoszeniu wniosku o usunięcie workspace'a lub konta wszystkie dane są oznaczane jako "do usunięcia" i fizycznie usuwane po 30 dniach. W tym czasie operacja może zostać cofnięta przez właściciela konta.
7. Prawa użytkownika
Każdej osobie, której dane przetwarzamy, przysługują następujące prawa wynikające z RODO:
- Prawo dostępu (art. 15 RODO) — uzyskanie kopii swoich danych w formie maszynowo czytelnej
- Prawo do sprostowania (art. 16 RODO) — poprawienie nieaktualnych lub błędnych danych
- Prawo do usunięcia ("prawo do bycia zapomnianym", art. 17 RODO)
- Prawo do ograniczenia przetwarzania (art. 18 RODO)
- Prawo do przenoszenia danych (art. 20 RODO) — eksport w formacie JSON/CSV
- Prawo sprzeciwu wobec przetwarzania na podstawie uzasadnionego interesu (art. 21 RODO)
- Prawo do wycofania zgody w dowolnym momencie (art. 7 ust. 3 RODO)
- Prawo wniesienia skargi do organu nadzorczego (PUODO)
Aby skorzystać z powyższych praw, należy złożyć wniosek DSAR (Data Subject Access Request) poprzez formularz: /dsar/ lub e-mailem na hej@speednetworking.cloud. Odpowiadamy w terminie maksymalnie 30 dni od otrzymania kompletnego wniosku (z możliwością przedłużenia o kolejne 60 dni w skomplikowanych przypadkach, o czym poinformujemy).
8. Cookies i analityka
Korzystamy z plików cookies oraz technologii podobnych (localStorage, IndexedDB). W zgodzie z dyrektywą ePrivacy oraz wytycznymi EROD dzielimy cookies na cztery kategorie, których stan akceptacji przechowujemy w obiekcie ConsentRecord:
- Necessary (zawsze włączone) — sesja Django, CSRF token, kontekst workspace'a. Brak możliwości wyłączenia bez utraty funkcjonalności.
- Functional — preferencje interfejsu (motyw, język), zapamiętanie zalogowania. Aktywne po wyrażeniu zgody.
- Analytics — anonimowe statystyki użycia (czas na stronie, ścieżki nawigacji). Aktywne po wyrażeniu zgody.
- Marketing — śledzenie konwersji z kampanii reklamowych, retargeting. Aktywne wyłącznie po wyrażeniu zgody.
Zgody na cookies można w dowolnym momencie zmienić w stopce strony (link "Ustawienia cookies"). Historia zmian zgód jest archiwizowana jako dowód zgodności z art. 7 ust. 1 RODO.
9. Przekazywanie danych do państw trzecich
Część naszych dostawców (Stripe, Anthropic, Postmark, Daily.co, Voyage AI, Cloudflare, Sentry) ma siedzibę w Stanach Zjednoczonych. Przekazywanie danych odbywa się na podstawie:
- Standardowych klauzul umownych (SCC) Komisji Europejskiej zgodnie z decyzją 2021/914
- Data Protection Agreement (DPA) zawartego z każdym dostawcą
- W przypadku dostawców certyfikowanych — EU-US Data Privacy Framework (decyzja Komisji z lipca 2023)
Dla integracji z Anthropic stosujemy dodatkowo politykę zero data retention — żadne dane przesłane do modelu Claude nie są wykorzystywane do trenowania modeli ani przechowywane dłużej niż jest to konieczne do zwrócenia odpowiedzi (maksymalnie 30 dni w celach abuse detection).
10. Aktualizacje polityki
Niniejsza polityka prywatności może być okresowo aktualizowana. O istotnych zmianach (np. dodanie nowego procesora, zmiana podstawy prawnej, rozszerzenie zakresu danych) poinformujemy:
- E-mailem na adres podany przy rejestracji konta (z 14-dniowym wyprzedzeniem)
- Powiadomieniem w panelu workspace'a po zalogowaniu
- Banerem na stronie głównej przez 30 dni od publikacji nowej wersji
Wersjonujemy każdą aktualizację w repozytorium z datą wejścia w życie. Poprzednie wersje polityki dostępne są na żądanie pod adresem hej@speednetworking.cloud.
Masz pytania?
W każdej sprawie związanej z ochroną danych osobowych napisz na hej@speednetworking.cloud. Odpowiadamy zwykle w ciągu 2 dni roboczych.