Polityka Prywatności i Cookies
Allegro Ads Monitor — workinflows.pl — obowiązuje od 19 marca 2026 r., zaktualizowano 26 marca 2026 r.
1. Administrator danych
Administratorem danych osobowych jest Workin'Flows Adrian Krawczyk, ul. A. Szamarzewskiego 21/2, 60-514 Poznań, NIP: 9721365392, świadcząca usługę Allegro Ads Monitor dostępną pod adresem allegro-ads-monitor.workinflows.pl.
Kontakt w sprawach ochrony danych: privacy@workinflows.pl
2. Zakres zbieranych danych
W trakcie korzystania z aplikacji zbieramy następujące dane:
- Dane konta: adres e-mail, hasło (przechowywane w formie skrótu kryptograficznego Argon2id).
- Dane kampanii reklamowych Allegro: nazwy kampanii, budżety, statystyki (kliknięcia, wyświetlenia, CTR, ROAS, CPC, wydatki). Dane te są pobierane za Twoją zgodą przez rozszerzenie Chrome i przekazywane do naszego backendu.
- Tokeny OAuth2 Allegro: access token i refresh token do API Allegro, przechowywane w bazie danych z szyfrowaniem AES-256-GCM w celu pobierania danych sprzedażowych.
- Dane rozliczeniowe: historia płatności, plan subskrypcji.
- Dane techniczne: adresy IP (logi serwera), dane przeglądarki (User-Agent).
- Subskrypcje push: klucze Web Push do wysyłki powiadomień.
3. Cel i podstawa prawna przetwarzania
| Cel | Podstawa prawna (RODO) |
|---|---|
| Świadczenie usługi monitorowania kampanii | Art. 6 ust. 1 lit. b — wykonanie umowy |
| Uwierzytelnianie użytkownika (JWT) | Art. 6 ust. 1 lit. b — wykonanie umowy |
| Wysyłka powiadomień push | Art. 6 ust. 1 lit. a — zgoda |
| Analiza AI kampanii (Gemini) | Art. 6 ust. 1 lit. b — wykonanie umowy |
| Fakturowanie i rozliczenia | Art. 6 ust. 1 lit. c — obowiązek prawny |
| Bezpieczeństwo i zapobieganie nadużyciom | Art. 6 ust. 1 lit. f — prawnie uzasadniony interes |
4. Przetwarzanie danych przez AI (Gemini)
Aplikacja oferuje funkcje analizy kampanii oparte na modelu językowym Gemini (Google Vertex AI). W ramach tych funkcji:
- Dane statystyczne Twoich kampanii są przekazywane do Google Vertex AI (region europe-west1) w celu generowania odpowiedzi.
- Nie przesyłamy danych osobowych (e-mail, dane rozliczeniowe) do modeli AI.
- Google przetwarza dane zgodnie z Data Processing Addendum Google Cloud.
- Możesz zrezygnować z funkcji AI w dowolnym momencie — nie wpłynie to na pozostałe funkcje aplikacji.
5. Udostępnianie danych podmiotom trzecim
Twoje dane nie są sprzedawane. Korzystamy z następujących podwykonawców:
- Google Cloud (Vertex AI, CloudSQL) — hosting bazy danych i przetwarzanie AI.
- Stripe — obsługa płatności i wystawianie faktur VAT (dane karty płatniczej NIE trafiają do naszych serwerów).
- Allegro — OAuth2 API do pobierania danych sprzedażowych (za Twoją zgodą).
6. Okres przechowywania danych
- Dane konta — przez cały czas trwania umowy + 30 dni po rozwiązaniu.
- Statystyki kampanii — do 90 dni (agregaty roczne przechowywane do 3 lat).
- Logi AI — do 30 dni.
- Tokeny Allegro — do momentu odłączenia konta lub wygaśnięcia.
- Dane rozliczeniowe — 5 lat (obowiązek prawny).
7. Twoje prawa
Zgodnie z RODO przysługują Ci następujące prawa:
- Dostęp do Twoich danych osobowych.
- Sprostowanie danych nieprawidłowych lub niekompletnych.
- Usunięcie danych („prawo do bycia zapomnianym").
- Ograniczenie przetwarzania.
- Przenoszenie danych w formacie JSON.
- Sprzeciw wobec przetwarzania na podstawie prawnie uzasadnionego interesu.
- Wycofanie zgody w dowolnym momencie (dotyczy powiadomień push, funkcji AI).
Aby skorzystać z praw, skontaktuj się: privacy@workinflows.pl lub pisemnie na adres: Workin'Flows Adrian Krawczyk, ul. A. Szamarzewskiego 21/2, 60-514 Poznań. Masz też prawo złożyć skargę do Prezesa UODO (uodo.gov.pl).
8. Polityka Cookies i lokalne przechowywanie danych
Allegro Ads Monitor to aplikacja PWA (Progressive Web App). Nie używamy tradycyjnych plików cookie śledzących. Stosujemy wyłącznie technologie lokalne wymienione poniżej.
Aplikacja PWA (przeglądarka / telefon):
| Mechanizm | Cel | Czas życia |
|---|---|---|
| cookie httpOnly — ads_token (JWT) | Utrzymanie sesji użytkownika (cookie httpOnly, Secure, SameSite=Strict) | 15 minut (odnawiany automatycznie przez refresh token) |
| localStorage — refresh token | Odnawianie sesji JWT (rotowany przy każdym użyciu, hash SHA-256 w bazie) | 7 dni (do wylogowania) |
| localStorage — extension-setup-done | Flaga potwierdzenia konfiguracji rozszerzenia Chrome | Stały (do wylogowania) |
| localStorage — user-demo-mode | Flaga trybu demo | Do wylogowania |
| localStorage — plan-seen-done | Flaga jednorazowego wyświetlenia ekranu wyboru planu | Stały |
| IndexedDB — cache offline | Przechowywanie danych kampanii, alertów i P&L do użytku offline (5 object stores: dashboard, campaigns, alerts, pl, meta) | Do wylogowania / wyczyszczenia cache |
| Service Worker Cache | Cache zasobów PWA (pliki JS, CSS, obrazy) — precache Workbox | Do aktualizacji aplikacji |
8a. Rozszerzenie Chrome — uprawnienia i dane lokalne
Rozszerzenie Chrome „Allegro Ads Monitor by workinflows.pl" (Manifest V3) jest opcjonalnym składnikiem usługi. Jego instalacja jest wymagana do połączenia konta Allegro i wykonywania akcji na kampaniach. Rozszerzenie prosi o następujące uprawnienia:
| Uprawnienie | Do czego służy |
|---|---|
| host_permissions: allegro.pl | Wstrzykiwanie skryptów na strony Allegro Ads — nakładka z alertami, przechwytywanie wywołań wewnętrznego API Allegro (allegro-api-proxy.js w kontekście MAIN) w celu synchronizacji danych kampanii z backendem. |
| storage | Przechowywanie danych lokalnie w chrome.storage.local (patrz tabela poniżej). |
| tabs | Wykrywanie, czy użytkownik jest na stronie Allegro Ads (sprawdzenie URL aktywnej karty), w celu aktywacji nakładki i synchronizacji. |
| alarms | Harmonogram cyklicznych zadań w tle: synchronizacja kampanii co 15 minut, wykonywanie harmonogramów kampanii, synchronizacja flag planu. |
| sidePanel | Panel boczny Chrome z mini-dashboardem ROAS i kampaniami. |
Rozszerzenie nie posiada uprawnienia cookies — nie odczytuje bezpośrednio ciasteczek przeglądarki. Dostęp do danych Allegro odbywa się poprzez przechwycenie wywołań API wykonywanych przez samą stronę allegro.pl (w ramach zalogowanej sesji użytkownika), bez dostępu do wartości ciasteczek sesji Allegro.
Dane przechowywane przez rozszerzenie w chrome.storage.local:
| Klucz | Cel | Czas życia |
|---|---|---|
| jwt | Token JWT użytkownika Allegro Ads Monitor — umożliwia uwierzytelnianie zapytań do backendu bez ponownego logowania | 7 dni (do wylogowania) |
| userEmail | Adres e-mail zalogowanego użytkownika — wyświetlany w popup i panelu bocznym | Do wylogowania |
| lastSyncTime | Czas ostatniej synchronizacji danych kampanii | Do wylogowania |
| lastSyncStatus | Status ostatniej synchronizacji (sukces / błąd) | Do wylogowania |
| lastSyncCampaignCount | Liczba zsynchronizowanych kampanii | Do wylogowania |
| allegroLoggedIn | Flaga wykrycia zalogowanej sesji Allegro w przeglądarce | Do wylogowania |
Wszystkie dane przechowywane przez rozszerzenie są dostępne wyłącznie lokalnie na urządzeniu użytkownika i nie są udostępniane stronom trzecim. Rozszerzenie komunikuje się wyłącznie z domeną allegro.pl. Dane można usunąć odinstalowując rozszerzenie lub wylogowując się z aplikacji.
Nie używamy cookies reklamowych, analitycznych ani śledzących osób trzecich (brak Google Analytics, brak pikseli Meta, brak innych trackerów).
9. Bezpieczeństwo
- Hasła są przechowywane jako skrót Argon2id (pamięcioodporny algorytm hashujący, salt 16 bajtów). Starsze hashe (scrypt, bcrypt) są automatycznie migrowane do Argon2id przy logowaniu.
- Tokeny OAuth2 Allegro szyfrowane algorytmem AES-256-GCM z dodatkowym pepperem.
- Komunikacja wyłącznie przez HTTPS/TLS.
- Tokeny JWT (access token) z czasem wygaśnięcia 15 minut, przechowywane w cookie httpOnly, Secure, SameSite=Strict.
- Refresh tokeny z rotacją przy każdym użyciu — w bazie przechowywany wyłącznie hash SHA-256 tokena.
- Ochrona przed atakami brute-force: rate limiting logowania (maksymalnie 5 prób na 15 minut z jednego adresu IP).
- Wszystkie endpointy danych (dashboard, kampanie, alerty, P&L) wymagają uwierzytelnienia JWT.
- Baza danych dostępna tylko z sieci wewnętrznej (CloudSQL, VPC).
- Content Security Policy i nagłówki bezpieczeństwa na serwerze Caddy.
10. Zmiany polityki
O istotnych zmianach w polityce prywatności poinformujemy e-mailem lub powiadomieniem push z wyprzedzeniem minimum 14 dni. Aktualna wersja jest zawsze dostępna pod adresem allegro-ads-monitor.workinflows.pl/privacy.html.