Pomiń nawigację i przejdź do treści
← Powrót

RODO / Privacy

Polityka prywatności

Ostatnia aktualizacja: 14 maja 2026

1. Administrator danych

Administratorem Twoich danych osobowych jest Piotr Kwiatkowski, właściciel projektu Returno.

[Jeśli prowadzisz działalność gospodarczą — uzupełnij tu NIP / REGON / adres siedziby.]

2. Jakie dane zbieramy

Returno przetwarza następujące kategorie danych:

  • Dane konta: adres e-mail (do logowania magic link), data utworzenia konta.
  • Profil (opcjonalne): imię i nazwisko, adres pocztowy, numer telefonu, IBAN — używane do automatycznego wypełniania formularzy odstąpienia od umowy.
  • Zakupy: nazwa sklepu, data zakupu, kwota, numer zamówienia, pozycje produktowe, notatki — wpisywane przez Ciebie lub wyciągane przez AI z Twoich paragonów.
  • Załączniki: zdjęcia paragonów, faktury PDF, screenshoty potwierdzeń zamówień.
  • Zwroty: historia Twoich zwrotów, statusy, numery przesyłek, notatki.
  • Dane techniczne: adres IP (przy zapisie na waitlist), user-agent przeglądarki, log wywołań AI (do enforce'owania limitów).

3. W jakim celu i na jakiej podstawie prawnej

CelPodstawa prawna (RODO)
Świadczenie usługi (zarządzanie zwrotami, przypomnienia)Art. 6 ust. 1 lit. b — wykonanie umowy
Logowanie magic linkArt. 6 ust. 1 lit. b — wykonanie umowy
Ekstrakcja danych z paragonów przez AIArt. 6 ust. 1 lit. b — wykonanie umowy
Ochrona przed nadużyciem (rate limit)Art. 6 ust. 1 lit. f — prawnie uzasadniony interes
Komunikacja produktowa (waitlist, powiadomienia)Art. 6 ust. 1 lit. a — zgoda
Spełnienie obowiązków prawnych (RODO, księgowość)Art. 6 ust. 1 lit. c — obowiązek prawny

4. Komu udostępniamy Twoje dane (subprocesorzy)

Korzystamy z zewnętrznych dostawców infrastruktury. Wszyscy znajdują się w Unii Europejskiej lub mają zgodne z RODO mechanizmy transferu danych.

  • Supabase (baza danych + Storage + Auth) — region eu-central-1 (Frankfurt).Polityka Supabase ↗
  • Vercel (hosting aplikacji) — region eu (Frankfurt/Stockholm).Polityka Vercel ↗
  • Anthropic (AI Claude — ekstrakcja danych z paragonów) — dane przekazywane do USA na podstawie standardowych klauzul umownych (SCC).Polityka Anthropic ↗
  • Resend (wysyłka e-maili — magic link, powiadomienia) — region eu.Polityka Resend ↗
  • Cloudflare (Turnstile — ochrona przed botami; aktywne jeśli widzisz mechanizm anti-bot przy formularzu) — globalna sieć.Polityka Cloudflare ↗
  • Google AdSense (reklamy — aktywne dopiero po Twojej zgodzie na cookies marketingowe) — USA, transfer na podstawie SCC.Polityka Google ↗

5. Jak długo przechowujemy Twoje dane

  • Konto i powiązane dane (zakupy, zwroty, załączniki): do momentu usunięcia konta przez Ciebie. Możesz to zrobić w każdej chwili w zakładce Profil → Twoje dane i konto.
  • Logi serwera (IP, user-agent): do 90 dni (cele bezpieczeństwa).
  • Log wywołań AI: do 90 dni (kontrola limitów + statystyki kosztów).
  • Waitlist (przed uruchomieniem produktu): do momentu uruchomienia produktu lub Twojej rezygnacji (link w mailu).

6. Twoje prawa (RODO)

Masz prawo do:

  • Dostępu do swoich danych (art. 15) — pobierz wszystko jako JSON w sekcji Profil.
  • Sprostowania (art. 16) — edytuj profil w aplikacji.
  • Usunięcia danych (art. 17, „prawo do bycia zapomnianym") — usuń konto w zakładce Profil. Wszystkie dane znikną nieodwracalnie.
  • Ograniczenia przetwarzania (art. 18) — napisz na prywatnosc@returno.app.
  • Przeniesienia danych (art. 20) — eksport w formacie JSON dostępny w Profilu.
  • Sprzeciwu (art. 21) — napisz na prywatnosc@returno.app.
  • Wycofania zgody (art. 7 ust. 3) — bez wpływu na zgodność z prawem przetwarzania sprzed wycofania.
  • Skargi do organu nadzorczego — Prezes UODO,uodo.gov.pl ↗

7. Cookies i podobne technologie

Używamy minimalnej liczby cookies — głównie do utrzymania Twojej sesji zalogowanego użytkownika. Szczegóły:

  • Niezbędne (zawsze aktywne): sb-access-token, sb-refresh-token — sesja zalogowanego użytkownika. Bez nich nie można korzystać z aplikacji.
  • Funkcjonalne (po zgodzie): preferencje UI (wybrany tab, filtry) — local storage.
  • Analityczne (po zgodzie): Vercel Analytics — anonimowe statystyki ruchu (jeśli aktywne).
  • Marketingowe (po zgodzie): Google AdSense — reklamy dopasowane do zainteresowań (jeśli aktywne).

Możesz zarządzać zgodami w banerze cookies, który pojawia się przy pierwszej wizycie, oraz w ustawieniach przeglądarki.

8. Szyfrowanie i bezpieczeństwo

  • W spoczynku (at-rest): wszystkie dane w bazie i pliki w Storage są szyfrowane algorytmem AES-256 (klucze zarządzane przez AWS KMS, infrastruktura Supabase w Frankfurcie).
  • W transporcie (in-transit): HTTPS / TLS 1.3 we wszystkich komunikacjach między Tobą a serwerami.
  • Kontrola dostępu: Row Level Security w bazie i Storage — każdy użytkownik widzi tylko swoje dane.
  • Brak haseł: logowanie wyłącznie przez magic link wysyłany na email (eliminuje wycieki haseł).

9. Dzieci

Returno nie jest skierowane do osób poniżej 16 roku życia. Świadomie nie zbieramy danych od osób niepełnoletnich. Jeśli dowiesz się, że dziecko podało nam swoje dane, napisz na prywatnosc@returno.app — niezwłocznie je usuniemy.

10. Zmiany w polityce

Polityka może być aktualizowana w miarę rozwoju produktu i zmian prawnych. Każda istotna zmiana będzie zakomunikowana mailem do zarejestrowanych użytkowników z co najmniej 14-dniowym wyprzedzeniem.

Aktualna wersja zawsze pod adresem returno.app/prywatnosc.

11. Kontakt

W sprawach związanych z ochroną danych osobowych — pisz na prywatnosc@returno.app.