Polityka prywatności

Administratorem Państwa danych osobowych jest Space Ads Sp. z o.o., spółka z ograniczoną odpowiedzialnością, z siedzibą w Warszawa (Plac Bankowy 2, 00-095 Warszawa, Polska), NIP 5252938464, REGON 524125730, KRS 0001011955 (dalej „Administrator" lub „my").

Kontakt w sprawach dotyczących danych osobowych: support@spaceads.agency lub korespondencyjnie na adres siedziby.

Administrator nie wyznaczył Inspektora Ochrony Danych (IOD) — nie spełnia przesłanek z art. 37 ust. 1 RODO obligujących do jego powołania. We wszystkich sprawach dotyczących przetwarzania danych prosimy o kontakt na adres podany w §1.

Przetwarzamy następujące kategorie danych osobowych:

• Dane kontaktowe: adres e-mail;
• Dane do faktury: imię i nazwisko (B2C) lub nazwa firmy (B2B), NIP, REGON, adres (ulica, kod pocztowy, miejscowość, kraj);
• Dane transakcyjne: historia zamówień, kwoty, waluta, status płatności, dane faktur, identyfikatory płatności u operatora (Stripe);
• Dane techniczne: adres IP, typ przeglądarki (User-Agent), identyfikator sesji, krótki skrót cyfrowy fingerprintu UA, znaczniki czasowe akceptacji zgód;
• Kraj wykryty z adresu IP (geolokalizacja na poziomie kraju, realizowana przez infrastrukturę brzegową dostawcy hostingu) — używany do (a) automatycznego uzupełnienia pola „kraj" w koszyku, (b) jako niesprzeczny dowód lokalizacji konsumenta zgodnie z art. 24f Rozporządzenia wykonawczego Rady (UE) nr 282/2011 oraz (c) do ustalenia właściwej stawki/miejsca świadczenia VAT — w szczególności, jeśli zadeklarowany kraj spoza UE pozostaje w sprzeczności z krajem wykrytym z IP wskazującym na UE, do rozliczenia transakcji stosujemy stawkę VAT kraju wynikającego z dowodów lokalizacji (cena brutto dla Państwa pozostaje bez zmian). Przechowujemy zarówno wartość zadeklarowaną przez Państwa w formularzu (widnieje jako adres nabywcy na fakturze), jak i wartość wykrytą — w celach podatkowych, ewidencyjnych i audytowych;
• Dane o produkcie i dostępie: lista zakupionych produktów, daty pobrań, postęp w kursach;
• Dane z plików cookies — w zakresie opisanym w Polityce Cookies.

Tam, gdzie przetwarzamy dane na podstawie art. 6 ust. 1 lit. f RODO, naszym uzasadnionym interesem jest:

• obrona przed roszczeniami i dochodzenie roszczeń;
• zapewnienie bezpieczeństwa Sklepu i wykrywanie nadużyć (np. fraud detection w płatnościach);
• prowadzenie wewnętrznej analityki działalności w celach zarządczych.

Państwa dane mogą być przekazywane następującym kategoriom odbiorców, którzy działają wyłącznie na nasze polecenie i na podstawie umów powierzenia przetwarzania:

• Vercel Inc. (USA) — hosting aplikacji webowej;
• Neon Inc. (USA, region przetwarzania: Frankfurt, EU) — baza danych Postgres;
• Stripe Payments Europe Ltd. (Irlandia, transfery do USA) — jedyny operator płatności na obu rynkach (PL: karta, BLIK, Przelewy24 przez Stripe);
• InFakt sp. z o.o. (Polska) — wystawianie faktur;
• Operator skrzynki SMTP — wysyłka transakcyjnych e-maili;
• Biuro rachunkowe — księgowość Administratora;
• Doradcy prawni / podatkowi — w razie sporu lub kontroli (na podstawie tajemnicy zawodowej).

Wyłącznie za Państwa zgodą (baner cookies) dane o korzystaniu ze Sklepu — identyfikatory online i zdarzenia na stronie — otrzymują dostawcy narzędzi analitycznych i reklamowych (art. 6 ust. 1 lit. a RODO). Przy zakupie, w celu lepszego dopasowania konwersji i wyłącznie jeżeli wyrazili Państwo zgodę na przekazywanie danych użytkownika do celów reklamowych, przekazujemy dodatkowo wybrane dane kontaktowe i rozliczeniowe w postaci nieodwracalnie zahaszowanej (SHA-256) — zakres zależy od dostawcy:

• Google Ireland Ltd. / Google LLC (Irlandia / USA) — Google Analytics 4 (statystyki) i Google Ads (pomiar konwersji, remarketing); przy zakupie zahaszowane: adres e-mail, numer telefonu, imię i nazwisko oraz dane adresowe (ulica, miasto, region, kod pocztowy, kraj);
• Meta Platforms Ireland Ltd. (Irlandia, transfery do USA) — Meta Pixel i Conversions API (remarketing, pomiar konwersji); przy zakupie zahaszowane: adres e-mail, numer telefonu, imię i nazwisko, miasto, kod pocztowy i kraj;
• TikTok Technology Ltd. (Irlandia, możliwe transfery poza EOG) — TikTok Pixel i Events API (remarketing, pomiar konwersji); przy zakupie zahaszowane: adres e-mail i numer telefonu;
• Microsoft Ireland Operations Ltd. (Irlandia, transfery do USA) — Microsoft Clarity (anonimizowane nagrania sesji, mapy cieplne).

Zgodę można cofnąć w każdej chwili (link „Ustawienia cookies" w stopce) — szczegóły w Polityce cookies.

Partnerzy federacji OAuth (niezależni administratorzy). Gdy subskrybent Space Ads OS autoryzuje CLI do dostępu do swoich kont reklamowych, proces OAuth odbywa się wobec poniższych dostawców występujących jako niezależni administratorzy danych (otrzymujemy token dostępu, nie stajemy się ich podmiotem przetwarzającym):

• Meta Platforms Ireland Ltd. — Facebook Login for Business → Meta Marketing API (zakres m.in. ads_read, ads_management, business_management);
• TikTok Information Technologies UK Ltd. — autoryzacja TikTok Marketing API (zarządzanie kontem i reklamami, odbiorcy, raportowanie, kreacje, piksel);
• Google LLC / Google Ireland Ltd. — Google OAuth do Google Analytics Data API / Admin API (pojedynczy zakres tylko do odczytu analytics.readonly; token odświeżany po stronie serwera — §15.2).

Każdą z tych autoryzacji można cofnąć w każdej chwili bezpośrednio u dostawcy (Meta Business Manager → Business Tools, TikTok Business Center → Members → Apps, Google Account → Security → Third-party access), niezależnie od subskrypcji.

Dane mogą być również ujawnione organom państwowym (np. urzędom skarbowym, prokuraturze), gdy obowiązek wynika z bezwzględnie obowiązujących przepisów prawa.

Część naszych podwykonawców (Vercel, Neon, Stripe, a za Państwa zgodą również Google, Meta, TikTok i Microsoft) ma siedzibę lub przetwarza dane na terytorium Stanów Zjednoczonych lub w innych państwach trzecich. Transfery odbywają się na podstawie:

• EU-US Data Privacy Framework (decyzja Komisji Europejskiej z dnia 10 lipca 2023 r.), o ile dany odbiorca jest zarejestrowany w programie DPF, lub
• Standardowych Klauzul Umownych (SCC, Decyzja wykonawcza 2021/914), uzupełnionych o ocenę skutków transferu danych (TIA) zgodnie z wytycznymi EROD.

Szczegółowe informacje o zabezpieczeniach stosowanych przez konkretnego procesora dostępne na żądanie pod adresem support@spaceads.agency.

Zgodnie z RODO przysługują Państwu następujące prawa:

• prawo dostępu do swoich danych (art. 15 RODO);
• prawo do sprostowania nieprawidłowych danych (art. 16 RODO);
• prawo do usunięcia — „prawo do bycia zapomnianym" (art. 17 RODO); z ograniczeniem dla danych objętych obowiązkiem przechowywania (faktury — 5 lat);
• prawo do ograniczenia przetwarzania (art. 18 RODO);
• prawo do przenoszenia danych (art. 20 RODO) — w zakresie przetwarzania na podstawie zgody lub umowy;
• prawo wniesienia sprzeciwu wobec przetwarzania na podstawie uzasadnionego interesu (art. 21 RODO);
• prawo do cofnięcia zgody w dowolnym momencie (art. 7 ust. 3 RODO);
• prawo wniesienia skargi do Prezesa UODO, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Aby skorzystać z powyższych praw, prosimy o kontakt e-mailowy na support@spaceads.agency. Odpowiadamy w ciągu miesiąca od otrzymania (art. 12 ust. 3 RODO), z możliwością przedłużenia o 2 miesiące w sprawach skomplikowanych.

Podanie danych osobowych w zakresie niezbędnym do zawarcia i wykonania Umowy Sprzedaży (e-mail, dane do faktury) jest wymogiem umownym — bez nich nie jest możliwe złożenie Zamówienia. Podanie pozostałych danych (akceptacja marketingu) jestdobrowolne.

Administrator nie podejmuje wobec Państwa decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywołują skutki prawne lub w podobny sposób istotnie wpływają na Państwa (art. 22 RODO).

Stripe może stosować zautomatyzowane systemy wykrywania nadużyć (anti-fraud) w celach niezbędnych do realizacji płatności — szczegóły w polityce prywatności tego operatora.

Stosujemy techniczne i organizacyjne środki bezpieczeństwa adekwatne do ryzyka:

• szyfrowanie połączenia TLS 1.2+;
• szyfrowanie danych w spoczynku po stronie Neon;
• kontrola dostępu oparta na rolach (RBAC);
• regularny audyt logów dostępu;
• mechanizm append-only dla logów administracyjnych.

Sklep stosuje pliki cookies opisane szczegółowo w Polityce Cookies. Cookies niezbędne do działania Sklepu (sesja, koszyk, preferencje walutowe) nie wymagają zgody. Cookies analityczne i marketingowe są stosowane wyłącznie po wyrażeniu zgody w bannerze cookies.

Polityka może być aktualizowana w celu odzwierciedlenia zmian w przepisach lub w naszych praktykach. O istotnych zmianach informujemy z 14-dniowym wyprzedzeniem. Wersje archiwalne są dostępne na żądanie. Wersja, którą Klient zaakceptował przy zakupie, jest zapisywana w danych Zamówienia.

W sprawach nieuregulowanych Polityką stosuje się przepisy RODO, ustawy o ochronie danych osobowych z dnia 10 maja 2018 r., ustawy o świadczeniu usług drogą elektroniczną oraz ustawy Prawo telekomunikacyjne.

Sekcja dotyczy wyłącznie Klientów subskrypcji Space Ads OS (CLI uruchamiane lokalnie u Klienta). Opisuje dane, które przepływają między Klientem a systemem licencyjnym Administratora.

15.1 Weryfikacja licencji

Przy każdym uruchomieniu CLI wysyła do academy.spaceads.agency/api/license/verify trzy elementy:

• Klucz licencyjny — Administrator przechowuje wyłącznie skrót SHA-256; klucz w postaci jawnej nie jest zapisywany na serwerze poza chwilą wystawienia.
• Hardware fingerprint — nieodwracalny SHA-256 z systemu, architektury i ID urządzenia; służy wyłącznie do soft-heurystyki nadużyć (liczba różnych urządzeń), nigdy nie blokuje uruchomienia ani nie pozwala na identyfikację sprzętu.
• Wersja CLI — pole tekstowe (np. 0.1.0) używane do sygnalizowania dostępności aktualizacji.

Cel: realizacja umowy (art. 6 ust. 1 lit. b RODO). Okres przechowywania: do 12 miesięcy po wygaśnięciu subskrypcji w celach księgowych i bezpieczeństwa.

15.2 Tokeny OAuth (Meta, TikTok, Google Analytics 4)

Klient autoryzuje konta reklamowe poprzez OAuth bridge Administratora. Tokeny dostępu i odświeżania zostają zaszyfrowane AES-256-GCM kluczem przechowywanym wyłącznie po stronie Administratora i zapisane w bazie powiązanej z identyfikatorem licencji. Pełen plaintext tokenów żyje wyłącznie w pamięci serwera w chwili wymiany kodu autoryzacyjnego oraz w pamięci procesu CLI Klienta.

Administrator może odszyfrować tokeny technicznie (jest właścicielem klucza), ale nie dokonuje tego poza wsparciem zainicjowanym przez Klienta. Cofnięcie uprawnień jest możliwe w panelach Meta Business Manager / TikTok Business Center / Google Permissions w dowolnej chwili — niezależnie od subskrypcji.

Klient zachowuje pełną własność kont reklamowych. Administrator nigdy nie występuje jako podmiot administrujący kontami w imieniu Klienta.

15.3 Brand-extractor (web scraping strony Klienta lub jego klientów)

Komenda /spaceads-brand pobiera publiczne zasoby strony WWW wskazanej przez Klienta. CLI:

• identyfikuje się nagłówkiem User-Agent spaceads-os-brand-extractor/<wersja>;
• respektuje plik robots.txt i nagłówki X-Robots-Tag witryny źródłowej;
• pobiera wyłącznie URL podany przez Klienta (bez crawlu w głąb domeny) i zapisuje wynik lokalnie w brief.yaml.brand_system;
• nie przesyła zawartości strony na serwery Administratora.

15.4 Telemetria (opt-in)

Telemetria CLI jest domyślnie wyłączona. Po jawnej zgodzie Klienta (zmienna środowiskowa SPACEADS_TELEMETRY=on) wysyłane są wyłącznie:

• wersja CLI,
• rodzina systemu operacyjnego (macOS / Linux / Windows),
• nazwa wykonanej komendy,
• klasa wyniku (success / błąd kategorii X).

Telemetria nie zawiera identyfikatorów kont reklamowych, danych klientów Klienta, treści kreacji ani treści raportów. W każdej chwili można ją wyłączyć ustawiając SPACEADS_TELEMETRY=off.

15.5 Dane lokalne Klienta

Pliki clients/<slug>/brief.yaml, voice.md, credentials/, logs/<channel>_changes.jsonl oraz wygenerowane raporty pozostają wyłącznie na dysku Klienta. Anulowanie subskrypcji blokuje uruchamianie CLI w kolejnym cyklu rozliczeniowym, ale nie usuwa żadnych plików lokalnych.

15.6 Ograniczone wykorzystanie danych (Limited Use) i usuwanie tokenów

Dane uzyskane przez federacje OAuth (Meta / TikTok / Google) są przetwarzane wyłącznie w celu wykonania własnych poleceń Klienta w ramach CLI. Administrator w szczególności:

• nie wykorzystuje tych danych do reklamy, profilowania ani trenowania / ulepszania modeli ML / AI;
• nie sprzedaje, nie przekazuje ani nie udostępnia ich brokerom danych, sieciom reklamowym ani innym podmiotom komercyjnym;
• nie ujawnia ich ludziom poza przypadkami: (i) wsparcia zainicjowanego przez Klienta za jego zgodą, (ii) prawnie wiążącego żądania, (iii) ochrony przed nadużyciem lub istotnym ryzykiem bezpieczeństwa.

Jest to zobowiązanie Administratora wynikające z Google API Services User Data Policy (klauzule Limited Use), Meta Platform Terms (sekcja 3) oraz TikTok Marketing API Terms. Administrator nie hostuje ani nie uruchamia modelu AI i nie przesyła danych Klienta do dostawcy AI; jeżeli Klient z własnej inicjatywy używa agenta AI (np. Claude Code), dane przepływają między maszyną Klienta a dostawcą agenta, z pominięciem Administratora.

Usuwanie tokenów. Zaszyfrowane tokeny OAuth istnieją tylko dopóki integracja pozostaje połączona. Klient może w każdej chwili rozłączyć dowolną integrację w panelu konta (Ustawienia → Integracje), co natychmiast usuwa zapisane tokeny; tokeny są również usuwane przy usunięciu konta (procedura RODO art. 17). Cofnięcie zgody można też przeprowadzić bezpośrednio u dostawcy, niezależnie od subskrypcji.