1. Postanowienia ogólne

1.1. Niniejsza Polityka Prywatności określa zasady gromadzenia, przetwarzania, przechowywania i ochrony danych osobowych Użytkowników korzystających z platformy dostępnej pod adresem www.zyne.chat (dalej: „Platforma”, „Serwis”).

1.2. Administratorem danych osobowych jest:
   Kajetan Bajor, prowadzący działalność gospodarczą pod firmą Kajetan Bajor, ul. Lipowa 10, 48-317 Włodary, NIP: 7532475807, REGON: 529437049, e-mail: support@zyne.chat (dalej: „Administrator”).

1.3. Administrator nie wyznaczył Inspektora Ochrony Danych (DPO). Wszelkie sprawy związane z przetwarzaniem danych prosimy kierować na adres e-mail: support@zyne.chat lub pocztą na adres siedziby Administratora.

1.4. Niniejsza Polityka opiera się na przepisach Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) oraz na obowiązujących przepisach prawa polskiego.

2. Definicje

2.1. Dane osobowe — wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2.2. Użytkownik — osoba fizyczna korzystająca z Serwisu.

2.3. Usługa / Agent AI — funkcjonalność udostępniana przez Platformę, w tym personalizowane Agenty AI (w tym produkt Zyne Orion — Hybrydowy Agent AI).\

2.4. Cookies — pliki tekstowe zapisywane w urządzeniu końcowym Użytkownika służące m.in. do rozpoznawania urządzenia i rejestrowania preferencji.

3. Cele przetwarzania i podstawy prawne

3.1. Administrator przetwarza dane osobowe w następujących celach i na wskazanych podstawach prawnych:
   3.1.1. Realizacja umowy i świadczenie usług (w tym prowadzenie konta, realizacja zamówień, świadczenie usług SaaS, personalizowanych Agentów AI) — podstawa: art. 6 ust. 1 lit. b RODO.

   3.1.2. Obsługa płatności i rozliczeń — podstawa: art. 6 ust. 1 lit. b RODO (realizacja umowy) oraz art. 6 ust. 1 lit. c RODO (obowiązki prawne, np. podatkowe).

   3.1.3. Wypełnienie obowiązków prawnych (np. rachunkowo-podatkowych) — podstawa: art. 6 ust. 1 lit. c RODO.

   3.1.4. Marketing bezpośredni produktów własnych — podstawa: zgoda (gdzie wymagana przez przepisy telekomunikacyjne/e-Privacy) lub prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO) w zakresie B2B po przeprowadzeniu bilansu interesów.

   3.1.5. Newsletter — podstawa: zgoda (art. 6 ust. 1 lit. a RODO).

   3.1.6. Zapewnienie bezpieczeństwa serwisu, zapobieganie nadużyciom i monitorowanie — podstawa: prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO).

   3.1.7. Analiza ruchu w Serwisie i optymalizacja funkcjonalności (analityka) — podstawa: zgoda Użytkownika (dla cookies analitycznych) lub, w ograniczonym zakresie i po bilansie interesów, prawnie uzasadniony interes.

   3.1.8. Obsługa zgłoszeń i komunikacja (np. pomoc techniczna) — podstawa: art. 6 ust. 1 lit. b (realizacja umowy) lub art. 6 ust. 1 lit. f (interes Administratora) oraz art. 6 ust. 1 lit. a (zgoda) gdy dotyczy marketingu.

4. Kategorie przetwarzanych danych

4.1. Administrator może przetwarzać w zależności od celu: imię i nazwisko, nazwa firmy, adres e-mail, numer telefonu, adres siedziby/zamieszkania, NIP/VAT ID, dane płatności (w zakresie niezbędnym; szczegółowe dane finansowe przetwarza operator płatności), identyfikatory transakcji, adres IP, dane o urządzeniu i przeglądarce, dane o aktywności w Serwisie (logi, historia zamówień), treści przekazywane w celu personalizacji Agenta AI.

4.2. Administrator zasadniczo nie przetwarza szczególnych kategorii danych (danych wrażliwych) bez wyraźnej, odrębnej zgody Użytkownika lub innej prawnej podstawy. Jeśli Użytkownik przekazuje takie dane dobrowolnie (np. w treści konwersacji z Agentem AI), Administrator opisze cel i podstawę przetwarzania przed ich użyciem oraz przeprowadzi odpowiednie oceny ryzyka.

5. Okresy przechowywania danych

5.1. Dane przechowywane są wyłącznie przez okres niezbędny do realizacji celu przetwarzania, z uwzględnieniem obowiązków prawnych:
   5.1.1. Dokumenty księgowe i dokumenty związane z rozliczeniami — okres wymagany przepisami podatkowymi i rachunkowymi (np. do 5 lat, licząc od początku roku następującego po roku obrotowym, którego dotyczą dokumenty).

   5.1.2. Dane związane z realizacją umowy i kontem Użytkownika — przez czas trwania umowy oraz przez okres konieczny do obrony ewentualnych roszczeń (standardowo do 5 lat, o ile prawo tego wymaga).

   5.1.3. Logi bezpieczeństwa i zapisy audytowe — domyślnie 6–24 miesięcy, chyba że konieczne i uzasadnione jest dłuższe przechowanie.

   5.1.4. Dane analityczne / cookies (analityka, remarketing) — okresy zgodne z ustawieniami cookie i zgodą Użytkownika (zwykle 6–24 miesięcy).

5.2. Po upływie okresu przechowywania dane są usuwane lub, jeżeli to możliwe i przydatne do celów statystycznych, anonimizowane.

6. Transfery danych i podmioty przetwarzające

6.1. Administrator współpracuje z podmiotami świadczącymi usługi dla Platformy, w tym operatorami płatności, dostawcami hostingu, dostawcami narzędzi analitycznych i dostawcami AI. Z każdym podmiotem przetwarzającym dane Administrator zawarł umowę powierzenia przetwarzania (DPA), określającą obowiązki procesora i wymagania bezpieczeństwa zgodne z art. 28 RODO.

6.2. Lista głównych podmiotów może obejmować (stan na moment publikacji): Stripe Payments Europe Ltd., Wix.com Ltd., Google Ireland Ltd., Meta Platforms Ireland Ltd., OpenAI, L.L.C. — Administrator utrzymuje aktualną listę podprocesorów i udostępnia ją na żądanie.

6.3. Transfery danych poza Europejski Obszar Gospodarczy (EOG): w przypadku transferów do państw trzecich Administrator stosuje środki wynikające z art. 46 RODO: decyzje Komisji o adekwatności (jeśli mają zastosowanie), standardowe klauzule umowne (SCC) uzupełnione o Transfer Impact Assessment (TIA) oraz, tam gdzie ma zastosowanie, mechanizmy takie jak EU-US Data Privacy Framework. Administrator dokonuje oceny ryzyka transferu i wdraża dodatkowe środki techniczne i organizacyjne, gdy jest to konieczne.

7. Zyne Orion — model infrastruktury po stronie Klienta (on-premise / self-hosted)

7.1. Na życzenie Klientów wymagających podwyższonej poufności danych, Administrator oferuje model wdrożenia Zyne Orion: Hybrydowy Agent AI w infrastrukturze kontrolowanej przez Klienta (on-premise lub chmura wskazana przez Klienta).

7.2. W modelu on-premise:

    7.2.1. Całość infrastruktury (serwery, bazy, aplikacje, logi) może być utrzymywana wyłącznie w środowisku Klienta.

   7.2.2. Administrator nie przetwarza danych klienta w swojej infrastrukturze poza zakresem wyraźnie określonym w umowie (np. wsparcie serwisowe).

   7.2.3. W tym modelu Klient pełni rolę Administratora Danych (controller), a Administrator pełni rolę dostawcy technologii lub procesora w zakresie określonym w umowie powierzenia.

7.3. Szczegółowe warunki techniczne, organizacyjne i prawne wdrożenia on-premise określane są w odrębnej umowie/ane ksie (SLA, DPA, załącznik bezpieczeństwa).

8. Prawa Użytkownika i procedura realizacji

8.1. Użytkownikom przysługują prawa przewidziane w RODO: prawo dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu, prawo do cofnięcia zgody oraz prawo wniesienia skargi do organu nadzorczego (Prezes UODO).

8.2. Wnioski dotyczące realizacji praw prosimy kierować na e-mail: support@zyne.chat.

8.3. Administrator odpowiada na wniosek bez zbędnej zwłoki, nie później niż w terminie 1 miesiąca od jego otrzymania; w sprawach skomplikowanych termin może zostać przedłużony o maksymalnie 2 miesiące z powiadomieniem Wnioskodawcy i uzasadnieniem. Administrator może żądać potwierdzenia tożsamości w uzasadnionych przypadkach.

8.4. Realizacja żądań następuje bezpłatnie; jednak w przypadku wniosków oczywiście bezzasadnie powtarzających się Administrator może obciążyć uzasadnionymi kosztami lub odmówić.

9. Cookies i technologie śledzące

9.1. Serwis używa cookies. Cookies niezbędne do działania Serwisu są stosowane bez zgody Użytkownika. Wszystkie pozostałe cookies (analityczne, reklamowe, remarketingowe) stosowane są wyłącznie po uzyskaniu uprzedniej, dobrowolnej i jednoznacznej zgody Użytkownika.

9.2. Przy pierwszej wizycie Użytkownik widzi banner cookie z możliwością: akceptacji wszystkich cookies, odrzucenia cookies nieistotnych lub zarządzania preferencjami. Użytkownik może w każdej chwili wycofać zgodę w prosty sposób (np. za pomocą panelu cookie lub ustawień przeglądarki).

9.3. Administrator rejestruje dowody udzielonej zgody (czas, zakres, IP/identyfikator urządzenia). Szczegółowy wykaz cookies oraz okresy ich przechowywania dostępny jest w Polityce Cookie (link).

10. Zautomatyzowane podejmowanie decyzji i profilowanie

10.1. Administrator może wykorzystywać zautomatyzowane przetwarzanie w zakresie analityki i usprawniania usług. Administrator nie podejmuje decyzji wywołujących skutki prawne lub podobnie istotne wobec Użytkownika w sposób całkowicie zautomatyzowany bez udziału człowieka.

10.2. Jeżeli zajdzie konieczność zastosowania zautomatyzowanego podejmowania decyzji lub profilowania mającego znaczny wpływ na Użytkownika, Użytkownik zostanie o tym uprzednio poinformowany i przysługują mu prawa do: sprzeciwu, żądania interwencji człowieka oraz wyjaśnień dotyczących logiki działania.

11. Środki techniczne i organizacyjne

11.1. Administrator stosuje adekwatne środki bezpieczeństwa technicznego i organizacyjnego, w tym szyfrowanie transmisji (SSL/TLS), kontrolę dostępu, bezpieczne przechowywanie haseł (hash + salt), regularne kopie zapasowe, monitorowanie zdarzeń i okresowe testy penetracyjne.

11.2. Dostawcy technologii zobowiązani są do stosowania środków bezpieczeństwa określonych w umowach DPA.

12. Naruszenia ochrony danych (incydenty)

12.1. W przypadku naruszenia ochrony danych osobowych Administrator uruchamia procedurę reagowania. Jeżeli naruszenie może skutkować ryzykiem dla praw i wolności osób fizycznych, Administrator powiadomi organ nadzorczy (Prezes UODO) niezwłocznie, a w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO).

12.2. Gdy naruszenie pociąga za sobą wysokie ryzyko dla praw i wolności osób, Administrator poinformuje także osoby, których dane dotyczą, bez zbędnej zwłoki (art. 34 RODO).

12.3. Procedura incydentowa określa osobę kontaktową, sposób ograniczenia szkód, mechanizmy naprawcze oraz rejestr działań.

13. Odpowiedzialność i relacje B2B / B2C

13.1. Postanowienia dotyczące ograniczeń odpowiedzialności określone w Regulaminie lub w Umowie z Klientem będą stosowane zgodnie z prawem. W relacjach z konsumentami (B2C) wszelkie klauzule ograniczające prawa konsumenta będą stosowane zgodnie z obowiązującymi przepisami prawa konsumenckiego i nie będą naruszać uprawnień ustawowych (np. dotyczących odpowiedzialności za szkody osobowe, umyślne działanie lub rażące niedbalstwo).

14. Udostępnianie informacji o podprocesorach i umowach

14.1. Na życzenie Użytkownika Administrator udostępni listę aktualnych podprocesorów wraz z zakresem przekazywanych danych oraz, na uzasadnione żądanie, kopie istotnych postanowień umownych (DPA, SCC) do wglądu.

14.2. Administrator informuje, że niektóre procesy muszą zostać wykonane przez zewnętrznych dostawców i że stosuje mechanizmy kontroli, auditu i weryfikacji zabezpieczeń u dostawców.

15. Dzieci i osoby nieletnie

15.1. Serwis nie jest skierowany do dzieci poniżej 13 roku życia. Administrator prosi rodziców/opiekunów o nadzór nad korzystaniem przez osoby nieletnie. Jeśli Administrator dowie się, że przetwarzane są dane dziecka bez wymaganej zgody, podejmie działania w celu usunięcia takich danych.

16. Zmiany Polityki Prywatności

16.1. Administrator zastrzega sobie prawo do wprowadzania zmian w Polityce (np. z powodu zmian prawa, technologii lub działalności). Aktualna wersja zawsze dostępna jest pod adresem: https://www.zyne.chat/documents/privacy-policy.

16.2. O istotnych zmianach Użytkownicy zostaną poinformowani stosownie do charakteru zmiany (np. e-mail, komunikat w Serwisie) z odpowiednim wyprzedzeniem.

17. Kontakt i skargi

17.1. Wszystkie pytania, wnioski i zgłoszenia dotyczące przetwarzania danych osobowych prosimy kierować na adres: support@zyne.chat lub pocztą na adres: Kajetan Bajor, ul. Lipowa 10, 48-317 Włodary.

17.2. Użytkownik ma prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (UODO).

Polityka prywatności wchodzi w życie z dniem 23 stycznia 2026 r.

i obowiązuje do czasu jego zmiany lub odwołania.