WinnerScript
Polityka prywatności
Data wejścia w życie: 31 maja 2026 r. Niniejsza polityka wyjaśnia, jakie dane osobowe WinnerScript zbiera, w jakim celu, jak przetwarza je AI i jak możesz skorzystać ze swoich praw.
1. Administrator i kontakt
WinnerScript Platform („WinnerScript", „my", „nas") jest administratorem danych osobowych przetwarzanych za pośrednictwem strony internetowej i aplikacji.
- Email kontaktowy: hello@winnerscript.ai
- Żądania praw do danych: wpisz w temacie „Data Request"
- Czas odpowiedzi: do 30 dni od otrzymania kompletnego żądania
Pełne dane podmiotu udostępniamy na życzenie w każdej sprawie regulacyjnej lub transakcyjnej.
2. Zakres
Polityka obejmuje dane przetwarzane podczas odwiedzin strony, korzystania z aplikacji, wypełniania kwestionariusza, otrzymywania raportów, dokonywania zakupów i komunikacji z nami. Nie obejmuje stron trzecich, do których linkujemy.
3. Dane, które zbieramy i przetwarzamy
3.1 Dane konta
Przy tworzeniu konta:
- Adres email (logowanie i komunikacja)
- Identyfikatory uwierzytelniania (z dostawcy auth)
- Status konta (email zweryfikowany, wiek zweryfikowany)
3.2 Rejestry zgód
Każda udzielona lub cofnięta zgoda:
- Rodzaj zgody (usługa, przetwarzanie AI, retencja danych, marketing, analityka)
- Znacznik czasu udzielenia/cofnięcia
- Adres IP w momencie zgody (dla rozliczalności)
- Identyfikator wersji zgody
3.3 Dane z oceny
Przy wypełnianiu kwestionariusza:
- Odpowiedzi na każde pytanie (skala Likerta, pary ipsatywne)
- Czas poświęcony na odpowiedź
- Metadane sesji (wersja kwestionariusza, numer sesji, status ukończenia)
Kwestionariusz nie zbiera informacji wolnotekstowych, danych zdrowotnych ani danych biograficznych. Wszystkie pytania dotyczą preferencji behawioralnych i tendencji.
3.4 Dane profilowe (obliczone)
Kalkulowane z odpowiedzi przez deterministyczne algorytmy:
- 48 wyników instynktów/zmysłów
- Wyniki żywiołów (sumy i rozbicia na fazy)
- Diagnostyka przepływu R.I.F.T.
- Wskaźnik aprobaty społecznej
- Wewnętrzny wynik spójności
3.5 Raporty generowane przez AI
- Tekst narracyjny wygenerowany przez AI (Anthropic Claude) na podstawie Twoich wyników
- Metadane raportu (data generacji, wersja modelu, typ produktu)
- Raporty szyfrowane w spoczynku (AES-256-GCM)
3.6 Dane płatnicze
- Metadane transakcji (zakupiony produkt, kwota, kod rabatowy, data)
- Identyfikator sesji checkout Stripe
- Nie przechowujemy numerów kart, CVV ani adresu rozliczeniowego — Stripe obsługuje je bezpośrednio
3.7 Dane techniczne i bezpieczeństwa
- Logi błędów i diagnostyki (Sentry)
- Liczniki rate limitingu
- Tokeny CSRF
- Dane sesji replay (LogRocket — wyłącznie po udzieleniu zgody na analitykę)
3.8 Dane komunikacyjne
- Emaile wysyłane na nasz adres wsparcia
- Zapisy na listę oczekujących (tylko email, przez Brevo)
4. Dane szczególnej kategorii (art. 9 RODO)
Twoje odpowiedzi z kwestionariusza i obliczone dane profilowe mogą stanowić dane szczególnej kategorii, ponieważ ujawniają informacje o charakterystykach psychologicznych i tendencjach behawioralnych. Przetwarzamy te dane na podstawie art. 9 ust. 2 lit. a) RODO — Twojej wyraźnej zgody, której udzielasz przed rozpoczęciem oceny.
Możesz wycofać tę zgodę w dowolnym momencie. Wycofanie nie wpływa na zgodność z prawem przetwarzania dokonanego przed wycofaniem, ale uniemożliwi generowanie nowych raportów.
5. Cele i podstawy prawne
| Cel | Podstawa prawna |
|---|---|
| Założenie konta i dostęp do usługi | Art. 6 ust. 1 lit. b) — wykonanie umowy |
| Przetwarzanie kwestionariusza i scoring | Art. 6 ust. 1 lit. b) + art. 9 ust. 2 lit. a) — wyraźna zgoda |
| Generowanie raportu AI | Art. 6 ust. 1 lit. b) + art. 9 ust. 2 lit. a) — wyraźna zgoda |
| Obsługa płatności i księgowość | Art. 6 ust. 1 lit. b) + art. 6 ust. 1 lit. c) — obowiązek prawny |
| Bezpieczeństwo, zapobieganie oszustwom, stabilność usługi | Art. 6 ust. 1 lit. f) — uzasadniony interes |
| Analityka (session replay, wzorce użytkowania) | Art. 6 ust. 1 lit. a) — zgoda |
| Komunikacja marketingowa | Art. 6 ust. 1 lit. a) — zgoda |
| Prowadzenie rejestrów zgód | Art. 6 ust. 1 lit. c) + art. 6 ust. 1 lit. f) — rozliczalność |
6. Jak AI przetwarza Twoje dane
Wyjaśniamy dokładnie, co dzieje się przy generowaniu raportu AI:
- Twoje odpowiedzi z kwestionariusza są scorowane deterministycznym algorytmem (bez udziału AI w scoringu).
- Obliczone wyniki liczbowe, sumy żywiołów, diagnostyka R.I.F.T., aprobata społeczna i spójność składane są w pakiet danych.
- Ten pakiet — zawierający wyłącznie liczby i markery diagnostyczne, nigdy Twój email, imię ani surowe odpowiedzi — jest wysyłany do API Anthropic Claude wraz z naszą dokumentacją modelu.
- Claude generuje esej narracyjny interpretujący wzorce wynikowe.
- Wygenerowany tekst jest sprawdzany pod kątem przypadkowego wycieku danych osobowych, szyfrowany i zapisywany na Twoim koncie.
Anthropic nie wykorzystuje danych przesyłanych przez API do trenowania modeli (zgodnie z ich polityką użytkowania danych). Twoje wyniki nie są przechowywane przez Anthropic po realizacji żądania generacji.
Nie podejmujemy wyłącznie zautomatyzowanych decyzji o skutkach prawnych lub podobnie istotnych na podstawie Twojego profilu (art. 22 RODO). Możesz zażądać ludzkiego przeglądu każdego raportu.
7. Cookies i podobne technologie
Ściśle niezbędne (bez zgody)
- Cookies sesji/auth — utrzymują stan logowania
- Token CSRF — ochrona przed cross-site request forgery
- Preferencja języka (
ws_app_locale) — zapamiętuje wybór języka - Stan zgody — zapamiętuje preferencje cookies
Analityczne (wymagają zgody)
- LogRocket — session replay do debugowania i poprawy UX. Włączone wyłącznie po Twojej wyraźnej zgodzie na analitykę. Identyfikuje Cię emailem do korelacji sesji.
- Google Analytics 4 — zagregowane statystyki odwiedzin na stronie marketingowej. Anonimizacja IP włączona. Bramkowane zgodą przez CookieYes.
Preferencje cookies możesz zmienić w dowolnym momencie przez przycisk ustawień cookies w stopce strony lub cofając zgodę na analitykę w ustawieniach konta.
8. Odbiorcy danych i podmioty przetwarzające
Udostępniamy dane osobowe wyłącznie podmiotom przetwarzającym niezbędnym do świadczenia usługi, na podstawie umów o ochronę danych:
| Podmiot | Cel | Dostęp do danych | Lokalizacja |
|---|---|---|---|
| Kinde | Uwierzytelnianie i tożsamość | Email, tokeny auth | Australia / USA |
| Anthropic | Generowanie raportów AI | Tylko wyniki liczbowe (bez PII) | USA |
| Stripe | Obsługa płatności | Email, dane płatnicze | USA / UE |
| Google Cloud Platform | Hosting aplikacji, baza danych | Wszystkie dane aplikacji (szyfrowane) | UE (europe-west) |
| Cloudflare | CDN, ochrona DDoS, DNS | Adresy IP, metadane żądań | Globalna sieć edge |
| Sentry | Monitoring błędów | Kontekst błędów, stack traces | USA |
| LogRocket | Session replay (bramkowane zgodą) | Email, interakcje sesji | USA |
| Brevo | Lista oczekujących i marketing | Adres email | UE (Francja) |
| CookieYes | Zarządzanie zgodami na cookies | Preferencje zgód, IP | Wlk. Brytania |
Nie sprzedajemy danych osobowych. Nie udostępniamy danych w celach reklamowych podmiotom trzecim.
9. Międzynarodowy transfer danych
Niektórzy podwykonawcy działają poza Europejskim Obszarem Gospodarczym (EOG). Dla takich transferów stosujemy:
- Standardowe Klauzule Umowne (SKU) zatwierdzone przez Komisję Europejską
- Decyzje o adekwatności, gdzie dostępne
- Dodatkowe środki techniczne (szyfrowanie w tranzycie i w spoczynku)
Możesz zażądać informacji o konkretnych zabezpieczeniach stosowanych do transferów dotyczących Twoich danych.
10. Retencja danych
| Kategoria | Okres przechowywania |
|---|---|
| Dane konta | Czas aktywności konta + procedura usunięcia |
| Odpowiedzi z oceny i wyniki | Czas aktywności konta (usuwalne per sesja) |
| Wygenerowane raporty | Czas aktywności konta (usuwalne indywidualnie) |
| Rejestry zgód | Czas aktywności konta + 3 lata (rozliczalność) |
| Dokumentacja płatności/księgowa | 5 lat (wymóg polskiego prawa podatkowego) |
| Logi bezpieczeństwa | 7-90 dni w zależności od typu logu |
| Zgoda marketingowa / lista oczekujących | Do wycofania lub 2 lata nieaktywności |
Po usunięciu konta anonimizujemy lub usuwamy dane osobowe w ciągu 30 dni, z wyjątkiem przypadków, gdy przechowywanie jest wymagane przez prawo (dokumentacja podatkowa) lub dla obrony prawnej.
11. Twoje prawa na mocy RODO
Możesz w każdej chwili skorzystać z następujących praw:
- Dostęp (art. 15) — uzyskaj kopię danych. Eksport JSON/CSV dostępny w ustawieniach konta.
- Sprostowanie (art. 16) — popraw niedokładne dane.
- Usunięcie (art. 17) — usuń dane. Dostępne per sesja lub pełne usunięcie konta w ustawieniach.
- Ograniczenie (art. 18) — wstrzymaj przetwarzanie na czas sporu. Przełącznik w ustawieniach.
- Przenoszenie (art. 20) — odbierz dane w ustrukturyzowanym formacie (JSON).
- Sprzeciw (art. 21) — wobec przetwarzania na podstawie uzasadnionego interesu.
- Wycofanie zgody — cofnij dowolną opcjonalną zgodę bez wpływu na dotychczasowe przetwarzanie.
Większość praw można wykonać bezpośrednio z ustawień konta. W złożonych sprawach: hello@winnerscript.ai.
Masz także prawo wnieść skargę do organu nadzorczego. W Polsce: Prezes Urzędu Ochrony Danych Osobowych (UODO).
12. Bezpieczeństwo danych
- Wszystkie dane w tranzycie szyfrowane TLS 1.2+
- Raporty AI szyfrowane w spoczynku (AES-256-GCM)
- Dostęp do bazy danych oparty na zasadzie najmniejszych uprawnień
- Uwierzytelnianie przez dedykowanego dostawcę tożsamości (Kinde) — nie przechowujemy haseł
- Akcje dotyczące zgód i dostępu logowane do audytu
- Regularne aktualizacje zależności i monitoring podatności
13. Dzieci
WinnerScript jest przeznaczony dla osób od 18 roku życia. Nie zbieramy świadomie danych osób poniżej 18 lat. W razie odkrycia takiego przypadku dane zostaną niezwłocznie usunięte.
14. Zautomatyzowane podejmowanie decyzji i profilowanie
WinnerScript dokonuje profilowania w rozumieniu art. 4 pkt 4 RODO — przetwarza dane osobowe w celu oceny aspektów behawioralnych. Jednakże:
- Żadne decyzje o skutkach prawnych lub podobnie istotnych nie są podejmowane wyłącznie automatycznie.
- Raporty to narzędzia informacyjne do autorefleksji, nie wiążące oceny.
- Możesz zażądać ludzkiego przeglądu każdego zautomatyzowanego wyniku.
- Profilowanie opiera się wyłącznie na Twojej wyraźnej zgodzie (art. 9 ust. 2 lit. a)).
15. Aktualizacje polityki
Aktualizujemy tę politykę w związku ze zmianami prawnymi, nowymi funkcjami lub zmianami praktyk przetwarzania. O istotnych zmianach powiadomimy emailem zarejestrowanych użytkowników co najmniej 14 dni przed wejściem w życie. „Data wejścia w życie" na górze wskazuje aktualną wersję.
Poprzednie wersje udostępniamy na życzenie.