Polityka prywatności

Na potrzeby niniejszej Polityki Prywatności przyjmuje się następujące definicje:

1. Serwis — strona internetowa dostępna pod adresem poprawie.pl stanowiąca marketplace usług prawniczych.
2. Użytkownik — każda osoba fizyczna odwiedzająca Serwis lub korzystająca z jego funkcjonalności.
3. Użytkownik niezalogowany — osoba odwiedzająca Serwis bez posiadania konta lub bez zalogowania się do konta. Użytkownik niezalogowany jest identyfikowany wyłącznie za pomocą anonimowego identyfikatora sesji (UUID) przechowywanego w pliku cookie.
4. Użytkownik zarejestrowany — osoba fizyczna lub podmiot, który utworzył konto w Serwisie. Wyróżniane są dwa typy kont:
   1. konto indywidualne (typ "user") — przeznaczone dla prawników szukających ofert;
   2. konto firmowe (typ "company") — przeznaczone dla firm i instytucji publikujących oferty szkoleniowe i prawnicze.
5. Dane osobowe — wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej w rozumieniu art. 4 pkt 1 RODO.
6. Przetwarzanie — operacja lub zestaw operacji wykonywanych na danych osobowych w rozumieniu art. 4 pkt 2 RODO.
7. Asystent AI — chatbot oparty na modelach sztucznej inteligencji (OpenAI), służący do doradztwa w zakresie kariery prawniczej i rekomendacji produktów.
8. Profil zawodowy — zestaw opcjonalnych danych zawodowych uzupełnianych przez Użytkownika zarejestrowanego (status zawodowy, lokalizacje, dziedziny prawa, doświadczenie).
9. Cookie (ciasteczko) — niewielki plik tekstowy przechowywany na urządzeniu końcowym Użytkownika przez przeglądarkę internetową.

Administrator zbiera i przetwarza następujące kategorie danych:

1. DANE REJESTRACYJNE (podawane przy zakładaniu konta)
   • adres e-mail (wykorzystywany również jako login);
   • nazwa użytkownika (username) lub nazwa firmy;
   • hasło — przechowywane wyłącznie w postaci zahaszowanej (algorytm bcrypt), nigdy w postaci jawnej;
   • typ konta (użytkownik indywidualny lub firma/instytucja).
2. DANE PROFILU ZAWODOWEGO (podawane dobrowolnie przez użytkowników indywidualnych)
   • status zawodowy (np. student, adwokat, radca prawny, aplikant adwokacki, notariusz i inne);
   • preferowane lokalizacje (wybierane z predefiniowanej listy polskich miast);
   • preferowane dziedziny prawa (wybierane z predefiniowanej listy);
   • dostępność do pracy zdalnej;
   • doświadczenie zawodowe, w tym: typ organizacji (kancelaria, korporacja/in-house, urząd/administracja, sąd/prokuratura, organizacja pozarządowa, inny), opis obowiązków zawodowych (pole tekstowe swobodne) oraz czas doświadczenia.
3. DANE FIRMY/INSTYTUCJI (podawane dobrowolnie przez użytkowników typu firmowego)
   • nazwa firmy lub instytucji;
   • kategoria (firma, uczelnia prywatna, uczelnia publiczna);
   • adres URL profilu firmy w Serwisie (slug);
   • strona internetowa firmy (URL);
   • logo firmy (plik graficzny przesłany na serwer);
   • lokalizacja firmy (miasto z predefiniowanej listy).
4. IDENTYFIKATOR SESJI — losowy identyfikator UUID v4 generowany kryptograficznie i przechowywany w pliku cookie (poprawie_session_id). Cookie ustawiany jest automatycznie przy pierwszej interakcji Użytkownika z Serwisem. Identyfikator ten jest powiązywany z aktywnościami Użytkownika w Serwisie (wyświetlenia artykułów, kliknięcia produktów, wyszukiwania).
5. DANE O AKTYWNOŚCI W SERWISIE
   1. Wyświetlenia artykułów — identyfikator sesji, identyfikator artykułu, identyfikator użytkownika (tylko zalogowani), lista produktów wymienionych w artykule, data i godzina zdarzenia.
   2. Kliknięcia produktów — identyfikator sesji, identyfikator produktu, identyfikator użytkownika (tylko zalogowani), kontekst kliknięcia, data i godzina zdarzenia.
   3. Reakcje na artykuły (tylko zalogowani) — identyfikator użytkownika, typ reakcji, identyfikator artykułu, data i godzina zdarzenia.
   4. Zapytania wyszukiwania — treść zapytania, zastosowane filtry, lista produktów zwróconych w wynikach, identyfikator sesji, identyfikator użytkownika (tylko zalogowani), data i godzina zdarzenia.
   5. Uniwersalna historia aktywności (tylko zalogowani) — typ aktywności, obiekt docelowy, dodatkowe metadane, identyfikator sesji, data i godzina zdarzenia.
6. DANE KONWERSACJI Z ASYSTENTEM AI
   • identyfikator użytkownika (jeśli zalogowany) lub identyfikator sesji (jeśli niezalogowany);
   • tytuł konwersacji (generowany automatycznie);
   • lista wiadomości (rola — użytkownik lub asystent, treść wiadomości, produkty polecone przez asystenta, dodatkowe metadane);
   • data i godzina ostatniej wiadomości;
   • status archiwizacji konwersacji.
7. DANE DOTYCZĄCE LIMITÓW UŻYCIA CZATU
   • identyfikator użytkownika;
   • data;
   • licznik wysłanych wiadomości w danym dniu.
8. KONTEKST UŻYTKOWNIKA PRZEKAZYWANY DO ASYSTENTA AI (tylko zalogowani)

   Dla personalizacji odpowiedzi asystenta AI, system pobiera z bazy danych następujące dane kontekstowe: status zawodowy, preferowane lokalizacje, preferowane dziedziny prawa, dostępność pracy zdalnej, doświadczenie zawodowe, ostatnio klikane produkty, reakcje na artykuły.

   Dane te są chwilowo cachowane w pamięci serwera (maksymalnie 1 godzina, z automatyczną invalidacją przy zmianie profilu). Nie są przechowywane w plikach cookie ani w przeglądarce Użytkownika.

9. DANE TECHNICZNE ZBIERANE AUTOMATYCZNIE

   Serwis w sposób jednorazowy (bez przechowywania) przetwarza następujące dane techniczne z nagłówków HTTP:

   • nagłówek User-Agent — wyłącznie w celu detekcji botów; dane nie są przechowywane;
   • nagłówki Origin / Referer — wyłącznie w celu ochrony przed atakami CSRF; dane nie są przechowywane.

   Serwis NIE zbiera: adresów IP użytkowników (w warstwie aplikacji), informacji o przeglądarce i systemie operacyjnym (poza jednorazową detekcją botów), fingerprintu urządzenia, danych geolokalizacyjnych, danych z localStorage ani sessionStorage przeglądarki.

   UWAGA: Logi serwera (access logs) infrastruktury hostingowej mogą zawierać adresy IP użytkowników — kwestia ta podlega odrębnej regulacji w ramach infrastruktury hostingowej.

Administrator przetwarza dane osobowe w następujących celach i na następujących podstawach prawnych:

1. WYKONANIE UMOWY LUB PODJĘCIE DZIAŁAŃ PRZED ZAWARCIEM UMOWY (art. 6 ust. 1 lit. b RODO)
   • rejestracja konta w Serwisie i zarządzanie kontem użytkownika;
   • umożliwienie logowania i utrzymanie sesji użytkownika;
   • świadczenie usługi marketplace (wyświetlanie ofert, wyszukiwanie produktów);
   • prowadzenie profilu firmy/instytucji w Serwisie;
   • obsługa konwersacji z asystentem AI jako elementu usługi Serwisu.
2. PRAWNIE UZASADNIONY INTERES ADMINISTRATORA (art. 6 ust. 1 lit. f RODO)
   • prowadzenie wewnętrznej analityki (rejestracja wyświetleń artykułów, kliknięć produktów, zapytań wyszukiwania) w celu doskonalenia jakości Serwisu;
   • rejestracja historii aktywności zalogowanych użytkowników w celu personalizacji doświadczeń;
   • zapewnienie bezpieczeństwa Serwisu, w tym: detekcja botów, ochrona CSRF, rate limiting, throttling;
   • generowanie zagregowanych (nieosobowych) statystyk dla firm/instytucji dotyczących ich własnych produktów;
   • utrzymanie identyfikatora sesji w cookie w celu zapewnienia prawidłowego działania Serwisu.
3. ZGODA UŻYTKOWNIKA (art. 6 ust. 1 lit. a RODO)
   • przetwarzanie danych profilu zawodowego podawanych dobrowolnie;
   • przesyłanie treści wiadomości czatu do zewnętrznego dostawcy usług AI (OpenAI) w celu generowania odpowiedzi;
   • przesyłanie kontekstu profilu zawodowego zalogowanego użytkownika do zewnętrznego dostawcy usług AI (OpenAI) w celu personalizacji odpowiedzi asystenta.
4. OBOWIĄZEK PRAWNY (art. 6 ust. 1 lit. c RODO)
   • przechowywanie danych wymaganych na podstawie przepisów prawa, w tym przepisów podatkowych i rachunkowych (o ile dotyczy).

1. Dane osobowe Użytkowników mogą być udostępniane następującym kategoriom odbiorców:
   1. dostawcy usług hostingowych i infrastruktury serwerowej — w zakresie niezbędnym do utrzymania Serwisu;
   2. OpenAI, L.L.C. (San Francisco, CA, USA) — w zakresie opisanym w ust. 2 poniżej.
2. DANE PRZEKAZYWANE DO OPENAI, L.L.C.

   Administrator korzysta z usług OpenAI, L.L.C. w celu zapewnienia funkcjonalności asystenta AI oraz wyszukiwania semantycznego produktów. W ramach tej współpracy do OpenAI przekazywane są następujące dane:

   1. treści wiadomości wymienianych w czacie z asystentem AI;
   2. kontekst profilu zawodowego zalogowanego użytkownika (status zawodowy, doświadczenie, preferencje lokalizacyjne i tematyczne) — bez danych bezpośrednio identyfikujących.

   Do OpenAI NIE są przekazywane: adres e-mail, hasło, imię, nazwisko, adres IP, identyfikatory sesji.

   Wykorzystywane modele AI: gpt-4.1-mini (chatbot), text-embedding-3-small (embeddingi wektorowe do wyszukiwania semantycznego).

   Zgodnie z polityką OpenAI dotyczącą usług API, dane przesyłane za pośrednictwem interfejsu API nie są wykorzystywane przez OpenAI do trenowania modeli sztucznej inteligencji.

3. BRAK INNYCH PODMIOTÓW TRZECICH

   Serwis nie przekazuje danych osobowych do żadnych innych podmiotów trzecich. W szczególności:

   • Serwis nie korzysta z zewnętrznych narzędzi analitycznych (brak Google Analytics, Facebook Pixel, Hotjar, Microsoft Clarity, Mixpanel, Amplitude, Segment i podobnych);
   • Serwis nie korzysta z zewnętrznych usług mailingowych;
   • Serwis nie korzysta z systemów płatności online;
   • Serwis nie korzysta z zewnętrznych usług CDN dla mediów;
   • Serwis nie oferuje logowania za pośrednictwem serwisów społecznościowych (Google, Facebook, GitHub i in.).
4. DANE UDOSTĘPNIANE FIRMOM W RAMACH SERWISU

   Firmy i instytucje posiadające konto w Serwisie mają dostęp do zagregowanych statystyk dotyczących wyłącznie ich własnych produktów (liczba wyświetleń, liczba kliknięć, wskaźnik CTR, liczba unikalnych sesji, źródła ruchu, ranking produktów). Firmy nie mają dostępu do danych osobowych użytkowników (adresów e-mail, profili, danych identyfikujących). Firmy widzą wyłącznie zagregowane liczby.

1. W związku z korzystaniem z usług OpenAI, L.L.C. z siedzibą w San Francisco, Kalifornia, Stany Zjednoczone Ameryki, dane osobowe opisane w rozdziale V ust. 2 są transferowane do państwa trzeciego (USA) w rozumieniu rozdziału V RODO.
2. Transfer danych do USA odbywa się na podstawie:
   1. Decyzji wykonawczej Komisji Europejskiej (UE) 2023/1795 z dnia 10 lipca 2023 r. stwierdzającej odpowiedni stopień ochrony danych osobowych w ramach EU-US Data Privacy Framework (o ile OpenAI jest podmiotem certyfikowanym w ramach DPF); lub
   2. Standardowych klauzul umownych przyjmowanych przez Komisję Europejską na podstawie art. 46 ust. 2 lit. c RODO.
3. Użytkownik ma prawo uzyskać kopię stosowanych zabezpieczeń lub informację o miejscu ich udostępnienia, kontaktując się z Administratorem za pośrednictwem danych kontaktowych wskazanych w rozdziale XIII niniejszej Polityki.
4. Administrator dokłada staranności, aby podmioty, którym powierza przetwarzanie danych osobowych, dawały gwarancje stosowania odpowiednich środków technicznych i organizacyjnych zapewniających ochronę praw osób, których dane dotyczą.

Administrator przechowuje dane osobowe przez okres niezbędny do realizacji celów, dla których zostały zebrane, z uwzględnieniem następujących zasad:

1. DANE REJESTRACYJNE I DANE KONTA — przez cały okres posiadania konta w Serwisie, a po jego usunięciu — przez okres wymagany przepisami prawa lub do czasu przedawnienia roszczeń.
2. DANE PROFILU ZAWODOWEGO — przez cały okres posiadania konta w Serwisie lub do momentu ich usunięcia/zmiany przez Użytkownika.
3. DANE FIRMY/INSTYTUCJI — przez cały okres posiadania konta w Serwisie lub do momentu ich usunięcia/zmiany przez Użytkownika.
4. IDENTYFIKATOR SESJI (cookie poprawie_session_id) — cookie przechowywany na urządzeniu Użytkownika przez okres 1 roku od ostatniego ustawienia.
5. DANE O AKTYWNOŚCI W SERWISIE (wyświetlenia artykułów, kliknięcia produktów, zapytania wyszukiwania, reakcje na artykuły, historia aktywności) — przez okres nie dłuższy niż jest to niezbędne do realizacji celów analitycznych i personalizacji usług.
6. DANE KONWERSACJI Z ASYSTENTEM AI — do momentu archiwizacji lub usunięcia konwersacji przez Użytkownika. Zarchiwizowane konwersacje (soft delete) pozostają w bazie danych do czasu ich trwałego usunięcia przez Administratora.
7. DANE DOTYCZĄCE LIMITÓW UŻYCIA CZATU — przez okres niezbędny do prawidłowego funkcjonowania systemu limitów.
8. COOKIES SESYJNE UWIERZYTELNIANIA:
   • next-auth.session-token: 30 dni od zalogowania;
   • next-auth.csrf-token: do zakończenia sesji przeglądarki;
   • next-auth.callback-url: do zakończenia sesji przeglądarki.
9. COOKIE PREFERENCYJNE (sidebar_state) — 7 dni od ostatniego ustawienia.

1. Użytkownikowi przysługują następujące prawa wynikające z RODO:
   1. PRAWO DOSTĘPU DO DANYCH (art. 15 RODO) — Użytkownik ma prawo uzyskać od Administratora potwierdzenie, czy przetwarzane są jego dane osobowe, a jeżeli ma to miejsce — prawo uzyskania dostępu do tych danych oraz informacji o celach przetwarzania, kategoriach danych, odbiorcach, planowanym okresie przechowywania, prawach przysługujących Użytkownikowi, źródle danych oraz o zautomatyzowanym podejmowaniu decyzji.
   2. PRAWO DO SPROSTOWANIA DANYCH (art. 16 RODO) — Użytkownik ma prawo żądać niezwłocznego sprostowania dotyczących go danych osobowych, które są nieprawidłowe, oraz uzupełnienia niekompletnych danych osobowych. Użytkownik może samodzielnie edytować dane profilu w panelu użytkownika (zakładka "Profil").
   3. PRAWO DO USUNIĘCIA DANYCH — "PRAWO DO BYCIA ZAPOMNIANYM" (art. 17 RODO) — Użytkownik ma prawo żądać usunięcia swoich danych osobowych, a Administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeśli zachodzi jedna z okoliczności wskazanych w art. 17 ust. 1 RODO. W celu usunięcia konta i powiązanych danych Użytkownik powinien skontaktować się z Administratorem za pośrednictwem danych kontaktowych wskazanych w rozdziale XIII.
   4. PRAWO DO OGRANICZENIA PRZETWARZANIA (art. 18 RODO) — Użytkownik ma prawo żądać ograniczenia przetwarzania danych w przypadkach określonych w art. 18 ust. 1 RODO.
   5. PRAWO DO PRZENOSZENIA DANYCH (art. 20 RODO) — Użytkownik ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe, które dostarczył Administratorowi, oraz ma prawo przesłać te dane innemu administratorowi.
   6. PRAWO DO SPRZECIWU (art. 21 RODO) — Użytkownik ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących go danych osobowych opartego na art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora), w tym profilowania.
   7. PRAWO DO WYCOFANIA ZGODY (art. 7 ust. 3 RODO) — W przypadkach, gdy przetwarzanie odbywa się na podstawie zgody, Użytkownik ma prawo wycofać zgodę w dowolnym momencie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. W szczególności Użytkownik może wycofać zgodę na:
      • przesyłanie danych do OpenAI w ramach usług asystenta AI;
      • przetwarzanie danych profilu zawodowego.
   8. PRAWO DO WNIESIENIA SKARGI DO ORGANU NADZORCZEGO (art. 77 RODO) — Użytkownik ma prawo wnieść skargę do organu nadzorczego, tj.:

      Prezes Urzędu Ochrony Danych Osobowych (UODO)

      ul. Stawki 2, 00-193 Warszawa

      Telefon: 22 531 03 00

      Strona: https://uodo.gov.pl

2. W celu realizacji powyższych praw Użytkownik może skontaktować się z Administratorem za pośrednictwem danych kontaktowych wskazanych w rozdziale XIII niniejszej Polityki.
3. Administrator udziela odpowiedzi na żądanie Użytkownika bez zbędnej zwłoki, nie później jednak niż w terminie jednego miesiąca od otrzymania żądania. W razie konieczności termin ten może zostać przedłużony o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań, o czym Administrator poinformuje Użytkownika.

1. Serwis wykorzystuje elementy profilowania w rozumieniu art. 4 pkt 4 RODO, polegające na automatycznym przetwarzaniu danych osobowych w celu personalizacji świadczonych usług. Profilowanie przejawia się w następujących funkcjonalnościach:
   1. ASYSTENT AI — personalizuje odpowiedzi na podstawie profilu zawodowego zalogowanego użytkownika (status zawodowy, doświadczenie, preferowane lokalizacje i dziedziny prawa, ostatnio klikane produkty, reakcje na artykuły). Asystent AI dostosowuje rekomendacje i porady do indywidualnego profilu Użytkownika.
   2. WYSZUKIWANIE SEMANTYCZNE — system wykorzystuje embeddingi wektorowe (reprezentacje matematyczne opisów produktów) do wyszukiwania produktów semantycznie zbliżonych do zapytania Użytkownika. Wektory generowane są wyłącznie z opisów produktów i nie zawierają danych osobowych.
2. BRAK ZAUTOMATYZOWANEGO PODEJMOWANIA DECYZJI

   Serwis NIE stosuje zautomatyzowanego podejmowania decyzji, o którym mowa w art. 22 ust. 1 RODO, tj. decyzji podejmowanych wyłącznie w sposób zautomatyzowany (bez ingerencji człowieka), które wywoływałyby wobec Użytkownika skutki prawne lub w podobny sposób istotnie na niego wpływałyby. Wszystkie rekomendacje generowane przez systemy AI mają charakter wyłącznie informacyjny i pomocniczy — ostateczna decyzja zawsze należy do Użytkownika.

1. INFORMACJE OGÓLNE

   Serwis wykorzystuje pliki cookies (ciasteczka) w celu zapewnienia prawidłowego działania Serwisu, utrzymania sesji użytkownika oraz zapamiętania preferencji interfejsu. Pliki cookies są przechowywane na urządzeniu końcowym Użytkownika (komputer, telefon, tablet) przez przeglądarkę internetową.

2. PODSTAWA PRAWNA
   • Cookies niezbędne (funkcjonalne i dotyczące bezpieczeństwa) — art. 173 ust. 3 Prawa telekomunikacyjnego w zw. z art. 5 ust. 3 dyrektywy ePrivacy: pliki cookies, które są niezbędne do świadczenia usługi wyraźnie żądanej przez użytkownika, nie wymagają zgody.
   • Cookie preferencyjne (sidebar_state) — art. 173 ust. 1 Prawa telekomunikacyjnego: przechowywanie informacji na urządzeniu końcowym wymaga uprzedniej zgody użytkownika, chyba że jest niezbędne do świadczenia usługi.
3. PEŁNA LISTA PLIKÓW COOKIES

   Nazwa	Cel	Ważność	Typ
   poprawie_session_id	Identyfikacja anonimowej sesji; analityka, throttling, personalizacja	1 rok	Niezbędne
   next-auth.session-token	Utrzymanie sesji zalogowanego użytkownika (zaszyfrowany JWT)	30 dni	Niezbędne
   next-auth.csrf-token	Ochrona przed atakami CSRF	Sesja	Niezbędne
   next-auth.callback-url	Zapamiętanie adresu URL powrotu po logowaniu	Sesja	Niezbędne
   sidebar_state	Zapamiętanie stanu menu bocznego (rozwinięty/zwinięty)	7 dni	Preferencyjne

4. BRAK ZEWNĘTRZNYCH COOKIES ANALITYCZNYCH

   Serwis NIE wykorzystuje żadnych zewnętrznych narzędzi analitycznych ani marketingowych ustawiających pliki cookies. W szczególności Serwis nie stosuje: Google Analytics / GA4, Google Tag Manager (GTM), Facebook Pixel / Meta Pixel, Hotjar, Microsoft Clarity, FullStory, Sentry, LogRocket, Datadog, Mixpanel, Amplitude, Segment ani żadnych innych zewnętrznych serwisów analitycznych.

5. ZARZĄDZANIE PLIKAMI COOKIES

   Użytkownik może w każdej chwili zmienić ustawienia dotyczące plików cookies w swojej przeglądarce internetowej, w tym zablokować ich zapisywanie lub usunąć już zapisane pliki cookies. Ograniczenie stosowania plików cookies może wpłynąć na funkcjonalność Serwisu, w szczególności uniemożliwić zalogowanie się do konta.

   Instrukcje zarządzania cookies w popularnych przeglądarkach:

   • Google Chrome: Ustawienia > Prywatność i bezpieczeństwo > Pliki cookie i inne dane witryn
   • Mozilla Firefox: Ustawienia > Prywatność i bezpieczeństwo > Ciasteczka i dane stron
   • Safari: Preferencje > Prywatność > Zarządzanie danymi witryn
   • Microsoft Edge: Ustawienia > Pliki cookie i uprawnienia witryn

1. Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych osobowych, w szczególności zabezpieczające dane przed nieuprawnionym dostępem, zmianą, ujawnieniem lub zniszczeniem.
2. ZASTOSOWANE ŚRODKI TECHNICZNE
   1. OCHRONA HASEŁ — hasła użytkowników są przechowywane wyłącznie w postaci zahaszowanej z wykorzystaniem algorytmu bcrypt. Hasła nigdy nie są przechowywane ani przesyłane w postaci jawnej.
   2. SZYFROWANIE SESJI — tokeny sesyjne (JWT) są szyfrowane dedykowanym kluczem (NEXTAUTH_SECRET). Odszyfrowanie tokenu bez znajomości klucza jest praktycznie niemożliwe.
   3. OCHRONA COOKIES — wszystkie pliki cookies zawierające dane wrażliwe są chronione flagami: httpOnly (uniemożliwia odczyt cookie przez skrypty JavaScript), secure (cookie przesyłany wyłącznie przez HTTPS), sameSite=lax (ogranicza przesyłanie cookie w żądaniach między witrynami).
   4. OCHRONA PRZED ATAKAMI CSRF — system waliduje nagłówki Origin/Referer w stosunku do nagłówka Host oraz wykorzystuje dedykowany token CSRF (next-auth.csrf-token).
   5. RATE LIMITING I THROTTLING — system stosuje limity częstotliwości żądań w celu ochrony przed nadużyciem usług:
      • czat AI: 5 wiadomości dziennie (użytkownik indywidualny) lub 10 wiadomości dziennie (firma);
      • reakcje na artykuły: maks. 10 żądań na minutę na użytkownika;
      • kliknięcia produktów: min. odstęp 10 minut między rejestracjami kliknięcia tego samego produktu;
      • wyświetlenia artykułów: min. odstęp 12 godzin między rejestracjami wyświetlenia tego samego artykułu.
   6. DETEKCJA BOTÓW — system filtruje ruch generowany przez boty na podstawie nagłówka User-Agent (z wykorzystaniem biblioteki isbot). Aktywności zidentyfikowane jako generowane przez boty nie są rejestrowane w bazie danych.
   7. KONTROLA DOSTĘPU — system stosuje middleware autoryzacyjny chroniący trasy panelu (wymagane zalogowanie) oraz kontrolę dostępu opartą na rolach (trasy firmowe dostępne wyłącznie dla użytkowników typu "company").
   8. POLA PRYWATNE — następujące pola modelu użytkownika są oznaczone jako prywatne i nigdy nie są zwracane przez API: hasło, token resetowania hasła, token potwierdzenia konta.
3. Administrator regularnie dokonuje przeglądu stosowanych środków bezpieczeństwa i w razie potrzeby wdraża dodatkowe zabezpieczenia adekwatne do zidentyfikowanych zagrożeń.

1. Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności, w szczególności w przypadku:
   1. zmian w obowiązujących przepisach prawa dotyczących ochrony danych osobowych lub prywatności;
   2. zmian w funkcjonalnościach Serwisu mających wpływ na przetwarzanie danych osobowych;
   3. wprowadzenia nowych usług lub technologii;
   4. wdrożenia nowych narzędzi analitycznych lub integracji z podmiotami trzecimi;
   5. wydania przez organy nadzorcze wytycznych lub rekomendacji wpływających na przetwarzanie danych.
2. O wszelkich istotnych zmianach w Polityce Prywatności Użytkownik zostanie poinformowany za pośrednictwem:
   1. wiadomości e-mail — w przypadku zmian istotnie wpływających na prawa Użytkowników zarejestrowanych.
3. Zmieniona Polityka Prywatności wchodzi w życie w dniu jej publikacji w Serwisie, chyba że w treści zmiany wskazano inny termin.
4. Kontynuowanie korzystania z Serwisu po wprowadzeniu zmian w Polityce Prywatności oznacza akceptację tych zmian. Jeżeli Użytkownik nie akceptuje zmienionej Polityki Prywatności, powinien zaprzestać korzystania z Serwisu i — w przypadku posiadania konta — skontaktować się z Administratorem w celu jego usunięcia.

1. DANE KONTAKTOWE ADMINISTRATORA

   We wszelkich sprawach związanych z przetwarzaniem danych osobowych można kontaktować się z Administratorem:

   • listownie: Wólka Brzezińska 45, 07-440 Goworowo
   • e-mailowo: admin@poprawie.pl
2. INSPEKTOR OCHRONY DANYCH (IOD)

   Administrator nie wyznaczył Inspektora Ochrony Danych. We wszelkich sprawach dotyczących przetwarzania danych osobowych prosimy o kontakt bezpośrednio z Administratorem na dane wskazane w ust. 1 powyżej.

3. Administrator dokłada wszelkich starań, aby odpowiadać na zapytania dotyczące ochrony danych osobowych niezwłocznie, nie później jednak niż w terminie 30 dni od dnia otrzymania zapytania.