Polityka Prywatności i Cookies
AdRiser | workinflows.pl | obowiązuje od 19 marca 2026 r., zaktualizowano 26 marca 2026 r.
1. Administrator danych
Administratorem danych osobowych jest Workin'Flows Adrian Krawczyk, ul. A. Szamarzewskiego 21/2, 60-514 Poznań, NIP: 9721365392, świadcząca usługę AdRiser dostępną pod adresem adriser.pl.
Kontakt w sprawach ochrony danych: [email protected]
2. Zakres zbieranych danych
W trakcie korzystania z aplikacji zbieramy następujące dane:
- Dane konta: adres e-mail, hasło (przechowywane w formie skrótu kryptograficznego Argon2id).
- Dane kampanii reklamowych Allegro: nazwy kampanii, budżety, statystyki (kliknięcia, wyświetlenia, CTR, ROAS, CPC, wydatki). Dane te są pobierane za Twoją zgodą przez rozszerzenie Chrome i przekazywane do naszego backendu.
- Tokeny OAuth2 Allegro: access token i refresh token do API Allegro, przechowywane w bazie danych z szyfrowaniem AES-256-GCM w celu pobierania danych sprzedażowych.
- Dane rozliczeniowe: historia płatności, plan subskrypcji.
- Dane techniczne: adresy IP (logi serwera), dane przeglądarki (User-Agent).
- Subskrypcje push: klucze Web Push do wysyłki powiadomień.
3. Cel i podstawa prawna przetwarzania
| Cel | Podstawa prawna (RODO) |
|---|---|
| Świadczenie usługi monitorowania kampanii | Art. 6 ust. 1 lit. b. wykonanie umowy |
| Uwierzytelnianie użytkownika (JWT) | Art. 6 ust. 1 lit. b. wykonanie umowy |
| Wysyłka powiadomień push | Art. 6 ust. 1 lit. a. zgoda |
| Analiza AI kampanii | Art. 6 ust. 1 lit. b. wykonanie umowy |
| Fakturowanie i rozliczenia | Art. 6 ust. 1 lit. c. obowiązek prawny |
| Bezpieczeństwo i zapobieganie nadużyciom | Art. 6 ust. 1 lit. f. prawnie uzasadniony interes |
4. Przetwarzanie danych przez AI
Aplikacja oferuje funkcje analizy kampanii oparte na modelu językowym AI uruchamianym w infrastrukturze Google Vertex AI. W ramach tych funkcji:
- Dane statystyczne Twoich kampanii są przekazywane do Google Vertex AI (region europe-west1) w celu generowania odpowiedzi.
- Nie przesyłamy danych osobowych (e-mail, dane rozliczeniowe) do modeli AI.
- Google przetwarza dane zgodnie z Data Processing Addendum Google Cloud.
- Możesz zrezygnować z funkcji AI w dowolnym momencie. nie wpłynie to na pozostałe funkcje aplikacji.
5. Udostępnianie danych podmiotom trzecim
Twoje dane nie są sprzedawane. Korzystamy z następujących podwykonawców:
- Google Cloud (Vertex AI, CloudSQL). hosting bazy danych i przetwarzanie AI.
- Stripe. obsługa płatności i wystawianie faktur VAT (dane karty płatniczej NIE trafiają do naszych serwerów).
- Allegro. OAuth2 API do pobierania danych sprzedażowych (za Twoją zgodą).
- Resend (Resend Inc., USA). wysyłka e-maili transakcyjnych (link logowania, reset hasła, potwierdzenie usunięcia konta).
5a. Transfer danych poza Europejski Obszar Gospodarczy (EOG)
Część podwykonawców ma siedzibę poza EOG (Stripe Inc., Resend Inc., Google LLC. USA). Transfer danych odbywa się na podstawie standardowych klauzul umownych (SCC) lub decyzji o adekwatności (EU-US Data Privacy Framework), zawartych w umowach powierzenia przetwarzania (DPA). Dane przetwarzane przez Vertex AI oraz CloudSQL są hostowane w regionie Unii Europejskiej (europe-west1).
6. Okres przechowywania danych
- Dane konta. przez cały czas trwania umowy + 30 dni po rozwiązaniu.
- Statystyki kampanii. do 90 dni (agregaty roczne przechowywane do 3 lat).
- Logi AI. do 30 dni.
- Tokeny Allegro. do momentu odłączenia konta lub wygaśnięcia.
- Dane rozliczeniowe (faktury, historia płatności). 6 lat (obowiązek prawny, Ordynacja podatkowa art. 112).
7. Twoje prawa
Zgodnie z RODO przysługują Ci następujące prawa:
- Dostęp do Twoich danych osobowych.
- Sprostowanie danych nieprawidłowych lub niekompletnych.
- Usunięcie danych („prawo do bycia zapomnianym").
- Ograniczenie przetwarzania.
- Przenoszenie danych w formacie JSON.
- Sprzeciw wobec przetwarzania na podstawie prawnie uzasadnionego interesu.
- Wycofanie zgody w dowolnym momencie (dotyczy powiadomień push, funkcji AI).
Aby skorzystać z praw, skontaktuj się: [email protected] lub pisemnie na adres: Workin'Flows Adrian Krawczyk, ul. A. Szamarzewskiego 21/2, 60-514 Poznań. Odpowiemy na Twoje żądanie (DSAR) w ciągu 30 dni od jego otrzymania (RODO art. 12 ust. 3). Masz też prawo złożyć skargę do Prezesa UODO (uodo.gov.pl).
8. Polityka Cookies i lokalne przechowywanie danych
AdRiser to aplikacja PWA (Progressive Web App). Nie używamy tradycyjnych plików cookie śledzących. Stosujemy wyłącznie technologie lokalne wymienione poniżej.
Używamy wyłącznie pliku cookie sesji (ads_token), który jest niezbędny do działania usługi uwierzytelniania. Cookie to nie wymaga zgody użytkownika w rozumieniu art. 173 ust. 3 ustawy Prawo telekomunikacyjne (cel wyłącznie techniczny, niezbędny do świadczenia usługi). Nie stosujemy cookies analitycznych, reklamowych ani śledzących.
Aplikacja PWA (przeglądarka / telefon):
| Mechanizm | Cel | Czas życia |
|---|---|---|
| cookie httpOnly. ads_token (JWT) | Utrzymanie sesji użytkownika (cookie httpOnly, Secure, SameSite=Strict) | 15 minut (odnawiany automatycznie przez refresh token) |
| pamięć RAM. refresh token | Odnawianie sesji JWT (przechowywany wyłącznie w pamięci modułu JS, nie zapisywany na dysku; rotowany przy każdym użyciu, hash SHA-256 w bazie) | Do zamknięcia karty / wylogowania |
| localStorage. extension-setup-done | Flaga potwierdzenia konfiguracji rozszerzenia Chrome | Stały (do wylogowania) |
| localStorage. user-demo-mode | Flaga trybu demo | Do wylogowania |
| localStorage. plan-seen-done | Flaga jednorazowego wyświetlenia ekranu wyboru planu | Stały |
| IndexedDB. cache offline | Przechowywanie danych kampanii, alertów i P&L do użytku offline (6 object stores: dashboard, campaigns, alerts, pl, meta, promos) | Do wylogowania / wyczyszczenia cache |
| Service Worker Cache | Cache zasobów PWA (pliki JS, CSS, obrazy). precache Workbox | Do aktualizacji aplikacji |
8a. Rozszerzenie Chrome. uprawnienia i dane lokalne
Rozszerzenie Chrome „AdRiser by workinflows.pl" (Manifest V3) jest opcjonalnym składnikiem usługi. Jego instalacja jest wymagana do połączenia konta Allegro i wykonywania akcji na kampaniach. Rozszerzenie prosi o następujące uprawnienia:
| Uprawnienie | Do czego służy |
|---|---|
| host_permissions: allegro.pl | Wstrzykiwanie skryptów na strony Allegro Ads. nakładka z alertami, przechwytywanie wywołań wewnętrznego API Allegro (allegro-api-proxy.js w kontekście MAIN) w celu synchronizacji danych kampanii z backendem. |
| storage | Przechowywanie danych lokalnie w chrome.storage.local (patrz tabela poniżej). |
| alarms | Harmonogram cyklicznych zadań w tle: synchronizacja kampanii co 15 minut, wykonywanie harmonogramów kampanii, synchronizacja flag planu. |
| sidePanel | Panel boczny Chrome z mini-dashboardem ROAS i kampaniami. |
Rozszerzenie nie posiada uprawnienia cookies. nie odczytuje bezpośrednio ciasteczek przeglądarki. Dostęp do danych Allegro odbywa się poprzez przechwycenie wywołań API wykonywanych przez samą stronę allegro.pl (w ramach zalogowanej sesji użytkownika), bez dostępu do wartości ciasteczek sesji Allegro.
Dane przechowywane przez rozszerzenie w chrome.storage.local:
| Klucz | Cel | Czas życia |
|---|---|---|
| jwt | Token JWT użytkownika AdRiser. umożliwia uwierzytelnianie zapytań do backendu bez ponownego logowania | 7 dni (do wylogowania) |
| userEmail | Adres e-mail zalogowanego użytkownika. wyświetlany w popup i panelu bocznym | Do wylogowania |
| lastSyncTime | Czas ostatniej synchronizacji danych kampanii | Do wylogowania |
| lastSyncStatus | Status ostatniej synchronizacji (sukces / błąd) | Do wylogowania |
| lastSyncCampaignCount | Liczba zsynchronizowanych kampanii | Do wylogowania |
| allegroLoggedIn | Flaga wykrycia zalogowanej sesji Allegro w przeglądarce | Do wylogowania |
Wszystkie dane przechowywane przez rozszerzenie są dostępne wyłącznie lokalnie na urządzeniu użytkownika i nie są udostępniane stronom trzecim. Rozszerzenie komunikuje się wyłącznie z domeną allegro.pl. Dane można usunąć odinstalowując rozszerzenie lub wylogowując się z aplikacji.
Nie używamy cookies reklamowych, analitycznych ani śledzących osób trzecich (brak Google Analytics, brak pikseli Meta, brak innych trackerów).
9. Bezpieczeństwo
- Hasła są przechowywane jako skrót Argon2id (pamięcioodporny algorytm hashujący, salt 16 bajtów). Starsze hashe (scrypt, bcrypt) są automatycznie migrowane do Argon2id przy logowaniu.
- Tokeny OAuth2 Allegro szyfrowane algorytmem AES-256-GCM z dodatkowym pepperem.
- Komunikacja wyłącznie przez HTTPS/TLS.
- Tokeny JWT (access token) z czasem wygaśnięcia 15 minut, przechowywane w cookie httpOnly, Secure, SameSite=Strict.
- Refresh tokeny z rotacją przy każdym użyciu. w bazie przechowywany wyłącznie hash SHA-256 tokena.
- Ochrona przed atakami brute-force: rate limiting logowania (maksymalnie 5 prób na 15 minut z jednego adresu IP).
- Wszystkie endpointy danych (dashboard, kampanie, alerty, P&L) wymagają uwierzytelnienia JWT.
- Baza danych dostępna tylko z sieci wewnętrznej (CloudSQL, VPC).
- Content Security Policy i nagłówki bezpieczeństwa na serwerze Caddy.
10. Zmiany polityki
O istotnych zmianach w polityce prywatności poinformujemy e-mailem lub powiadomieniem push z wyprzedzeniem minimum 14 dni. Aktualna wersja jest zawsze dostępna pod adresem adriser.pl/privacy.html.