Ocena Skutków dla Ochrony Danych (DPIA)
Art. 35 RODO | Wersja 1.1 | Marzec 2026
⚖️ Informacja prawna: Niniejsza DPIA jest publikowana zgodnie z art. 35 ust. 7 lit. c RODO, który wymaga, aby administratorzy danych zasięgali opinii osób, których dane dotyczą, w stosownych przypadkach. Zapraszamy do przesyłania uwag przez formularz kontaktowy.
1. Opis operacji przetwarzania
1.1 Cel
HumanKey świadczy usługi detekcji botów AI i klasyfikacji ruchu dla wydawców stron internetowych. Przetwarzanie obejmuje systematyczne monitorowanie odwiedzających strony w celu odróżnienia użytkowników ludzkich od agentów automatycznych (crawlerów AI, scraperów, botów) — bez interakcji z użytkownikiem ani jego zgody.
1.2 Przetwarzane dane
| Rodzaj danych | Format | Dane osobowe? |
|---|---|---|
| Adres IP | Hash SHA-256 z dziennie rotowaną solą | Pseudonimizowany |
| Ciąg User-Agent | Skrócony do 200 znaków | Ograniczone dane osobowe |
| URL strony | Pełny URL (bez parametrów zapytania zawierających dane osobowe) | Potencjalnie osobowe |
| URL odsyłający (Referrer) | Pełny ciąg referrera | Potencjalnie osobowe |
| Znacznik czasu wizyty | ISO 8601 UTC | Tak (wzorzec czasowy) |
| Czas trwania sesji | Milisekundy | Nieosobowe |
| Sygnały behawioralne | Głębokość przewijania, czas wykonania JS, czas przebywania na stronie (zagregowane sygnały poziomu sesji, nie keylogging) | Pseudonimizowane (zakres sesji) |
| Tożsamość crawlera AI | Nazwa bota, firma, cel (np. GPTBot / OpenAI / trenowanie) | Nieosobowe (dane agenta automatycznego) |
1.3 Metody przetwarzania
- Dopasowanie User-Agent: Porównanie z ponad 50 sygnaturami znanych botów AI (GPTBot, ClaudeBot, Perplexity, Google-Extended itp.)
- Detekcja IP centrum danych: Sprawdzanie w bazach publicznych zakresów IP centrów danych (AWS, Google Cloud, Azure, OVH)
- Sygnały behawioralne: Głębokość przewijania, czas wykonania JS, czas trwania odsłon strony, sekwencje nawigacji — służące do odróżnienia ludzkiej interakcji od skryptów automatycznych
- Analiza sesji: Czas trwania odsłon, sekwencje nawigacji, wzorce czasu przebywania
- Ocena ufności: Algorytmiczne punktowanie (0–100%) na podstawie łączonej siły sygnałów — żadne automatyczne decyzje blokujące nie są podejmowane wyłącznie na podstawie wyniku
- Taksonomia crawlerów AI: Klasyfikacja crawlerów według firmy, celu i poziomu uprawnień (GPTBot/OpenAI/trenowanie, ClaudeBot/Anthropic/trenowanie, Googlebot/Google/indeksowanie itp.)
2. Podstawa prawna i niezbędność
2.1 Podstawa prawna (art. 6 RODO)
Uzasadniony interes (art. 6 ust. 1 lit. f): Wydawcy stron internetowych mają uzasadniony interes w:
- Ochronie swoich treści przed nieautoryzowanym scrapingiem i naruszeniem praw autorskich
- Pomiarze dokładnych wskaźników ruchu (z wykluczeniem botów z analityki)
- Zapobieganiu przeciążeniu serwerów przez agresywne crawlery
- Monetyzacji wykorzystania danych do trenowania AI (licencjonowanie dostawcom modeli)
2.2 Test równoważenia
| Kryterium | Ocena |
|---|---|
| Interes wydawcy | Wysoki — Ochrona treści, dokładna analityka, atrybucja przychodów |
| Wpływ na użytkownika | Niski — Brak widocznego wpływu, brak decyzji dotyczących ludzi, brak dyskryminacji |
| Wrażliwość danych | Niska — IP zahashowane, UA skrócone, brak danych szczególnych kategorii (art. 9) |
| Uzasadnione oczekiwania | Spełnione — Detekcja botów jest standardową praktyką, ujawnioną w politykach prywatności |
Wniosek: Uzasadniony interes ochrony treści stron i pomiaru ruchu przeważa nad minimalnym wpływem na prywatność użytkowników. Przetwarzanie jest proporcjonalne i niezbędne.
2.3 Dlaczego nie zgoda?
Zgoda (art. 6 ust. 1 lit. a) jest nieodpowiednia dla detekcji botów, ponieważ:
- Boty nie udzielają zgody (nie mogą zaznaczać pól ani wchodzić w interakcję z banerami)
- Wymóg zgody niweczyłby cel (scrapery po prostu odmówiłyby i kontynuowały scrapowanie)
- Przetwarzanie po stronie serwera odbywa się przed załadowaniem strony (brak możliwości uzyskania zgody)
3. Ocena ryzyka
3.1 Zidentyfikowane ryzyka
✅ NISKIE RYZYKO: Fałszywy alarm (człowiek sklasyfikowany jako bot)
Skutek: Użytkownik ludzki błędnie oznaczony jako bot → brak funkcjonalnego wpływu (użytkownicy nadal mają dostęp do treści), wyłącznie błąd statystyczny
Prawdopodobieństwo: Niskie (próg ufności dostrojony do ≥85%)
Środek zaradczy: Brak decyzji blokujących podejmowanych na podstawie klasyfikacji; wydawcy mogą ręcznie weryfikować przypadki graniczne
✅ NISKIE RYZYKO: Naruszenie danych (ujawnienie zahashowanych IP)
Skutek: Ujawnione hashe SHA-256 z dzienną solą → obliczeniowo niemożliwe do odwrócenia, wygasają co 24h
Prawdopodobieństwo: Niskie (szyfrowana infrastruktura, AES-256 w spoczynku, TLS podczas transmisji)
Środek zaradczy: TLS podczas transmisji, AES-256 w spoczynku (domyślnie Neon), kontrole dostępu, coroczne testy penetracyjne
⚠️ ŚREDNIE RYZYKO: Wyciek prywatności przez URL
Skutek: URL zawierające tokeny sesji lub identyfikatory osobowe przechowywane w analityce → potencjalna reidentyfikacja
Prawdopodobieństwo: Średnie (niektórzy wydawcy mogą używać parametrów URL dla ID użytkownika)
Środek zaradczy: (1) Dokumentacja dla wydawców ostrzega przed przekazywaniem danych osobowych w URL, (2) Przyszłe ulepszenie: automatyczne usuwanie parametrów zapytania dla typowych wzorców (?user_id=, ?email=)
✅ NISKIE RYZYKO: Dostęp podmiotów przetwarzających (podprocesorów)
Skutek: Podprocesory (Neon, Railway, Stripe) uzyskują dostęp do pseudonimizowanych danych
Prawdopodobieństwo: Nieodłączne (podprocesory niezbędni do świadczenia usługi)
Środek zaradczy: Umowy powierzenia przetwarzania (DPA) z wszystkimi procesorami, rezydencja danych w UE (Neon Niemcy/Frankfurt, Railway Holandia), SCC dla transferów do USA, dostawcy klasy enterprise
3.2 Ogólna ocena ryzyka
🟡 ŚREDNIE RYZYKO (podwyższony z NISKI z uwagi na dostarczanie e-maili przez podmiot z USA oraz przepływy danych Google OAuth) — Przetwarzanie w ramach detekcji botów stwarza minimalne ryzyko dla praw i wolności osób, których dane dotyczą, jednak transfer danych do USA przez Resend i Google OAuth wymaga dodatkowej uwagi.
Brak zautomatyzowanego podejmowania decyzji wysokiego ryzyka (art. 22), brak danych szczególnych kategorii (art. 9), brak monitorowania na dużą skalę miejsc publicznie dostępnych, brak wrażliwych grup osób, których dane dotyczą. Transfery do USA objęte standardowymi klauzulami umownymi (SCC).
3.3 Podprocesory (art. 28 RODO)
| Podmiot | Cel przetwarzania | Lokalizacja / Transfer |
|---|---|---|
| Neon, Inc. | Hosting bazy danych PostgreSQL | Niemcy / Frankfurt — UE |
| Railway Corp. | Hosting API (backend) | Holandia — UE |
| Vercel, Inc. | Hosting frontendu (CDN) | USA — SCCs zastosowane |
| Resend, Inc. | Dostarczanie e-maili transakcyjnych (weryfikacja, powiadomienia) | USA — SCCs zastosowane |
| Stripe, Inc. | Obsługa płatności (działa jako niezależny administrator danych kart płatniczych) | USA — SCCs + DPF |
4. Zabezpieczenia i środki
4.1 Ochrona danych przez projektowanie (art. 25 RODO)
- Pseudonimizacja: Adresy IP hashowane SHA-256 + dzienna sól przed zapisem (art. 32 ust. 1 lit. a)
- Minimalizacja danych: User-Agent skrócony do 200 znaków (wyłącznie rodzina przeglądarki, nie pełny odcisk palca)
- Ograniczenie przechowywania: Automatyczne usuwanie po okresie retencji (Free: 7 dni, Pro: 30 dni, Business: 90 dni, Enterprise: 365 dni)
- Ograniczenie celu: Dane używane wyłącznie do detekcji botów, nie sprzedawane ani nie wykorzystywane w celach marketingowych
- Przejrzystość: Przetwarzanie ujawnione w politykach prywatności wydawców oraz polityce prywatności HumanKey
4.2 Środki bezpieczeństwa (art. 32 RODO)
| Środek | Wdrożenie |
|---|---|
| Szyfrowanie podczas transmisji | TLS 1.3, HSTS preload, przypinanie certyfikatów |
| Szyfrowanie w spoczynku | AES-256 (domyślnie Neon PostgreSQL) |
| Kontrola dostępu | Bezpieczeństwo na poziomie wiersza (RLS), autoryzacja JWT, hashowanie haseł bcrypt (12 rund) |
| Ograniczanie żądań | Wsparcie Redis, obowiązkowe w produkcji (200 żądań/min/IP dla punktu końcowego detekcji) |
| Monitorowanie | Śledzenie błędów Sentry (dane osobowe usunięte), ustrukturyzowane logowanie (Pino), dziennik audytu administratora |
| Kopie zapasowe | Codzienne automatyczne kopie zapasowe (Neon), retencja 30 dni, szyfrowane |
4.3 Prawa podmiotów danych (art. 15–22 RODO)
| Prawo | Wdrożenie |
|---|---|
| Prawo dostępu (art. 15) | Panel → Ustawienia → Eksport danych (pobieranie JSON) |
| Prawo do usunięcia (art. 17) | Panel → Ustawienia → Usuń konto (kaskadowe usunięcie + dziennik audytu) |
| Prawo do sprostowania (art. 16) | Panel → Ustawienia → Zaktualizuj profil (imię, e-mail) |
| Prawo do sprzeciwu (art. 21) | Formularz kontaktowy (dział Prywatność i RODO, ręczna weryfikacja, odpowiedź w ciągu 30 dni) |
| Prawo do przenoszenia danych (art. 20) | Eksport zawiera wszystkie dane wizyt w formacie JSON do odczytu maszynowego |
Dodatkowe czynności przetwarzania
Dane uwierzytelniające i konta
Przetwarzane dane: Adres e-mail, zahaszowane hasło (bcrypt), identyfikator użytkownika Google OAuth i adres e-mail, tokeny weryfikacji e-mail, tokeny magic link.
Podstawa prawna: Art. 6 ust. 1 lit. b) RODO — przetwarzanie niezbędne do wykonania umowy.
Przechowywane w: Neon DB (Frankfurt, Niemcy — UE).
Retencja: Czas trwania aktywnego konta; usunięcie w ciągu 30 dni od zamknięcia konta.
Komunikacja e-mailowa przez Resend
Przetwarzane dane: Adres e-mail, treść wiadomości (kody weryfikacyjne, linki resetowania hasła, powiadomienia onboardingowe).
Podstawa prawna: Art. 6 ust. 1 lit. b) RODO — niezbędne do funkcjonowania konta i świadczenia usługi.
Podmiot przetwarzający: Resend, Inc. (USA) — zastosowane standardowe klauzule umowne UE.
Retencja: Logi dostarczania e-maili przechowywane przez 90 dni przez Resend; adresy e-mail przechowywane w bazie HumanKey przez cały czas trwania konta.
Dane członków zespołu (plan Business)
Przetwarzane dane: Adresy e-mail zaproszonych członków zespołu, tokeny zaproszeń, przypisania ról w zespole.
Podstawa prawna: Art. 6 ust. 1 lit. b) RODO — niezbędne do zarządzania kontem wieloużytkownikowym.
Przechowywane w: Neon DB (Frankfurt, Niemcy — UE).
Retencja: Czas członkostwa w zespole; usunięcie po opuszczeniu zespołu lub zamknięciu konta.
Nagrania sesji (Beta)
Przetwarzane dane: Jeśli włączone przez Administratora, rejestrowane są zdarzenia kliknięć i przewijania na stronach serwisu Administratora. Dane naciśnięć klawiszy nie są przechwytywane. Nagrania sesji są przechowywane wyłącznie dla serwisów, w których Administrator wyraźnie włącza tę funkcję.
Podstawa prawna: Art. 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes Administratora w rozumieniu doświadczeń użytkowników, z zastrzeżeniem mechanizmu wyrażenia zgody przez użytkownika.
Uwaga: Funkcja w wersji Beta, domyślnie wyłączona. Administratorzy ponoszą odpowiedzialność za informowanie własnych użytkowników o nagrywaniu sesji zgodnie z art. 13/14 RODO.
Retencja: 30 dni (Pro), 90 dni (Business), 365 dni (Enterprise).
5. Konsultacje i zatwierdzenie
5.1 Inspektor Ochrony Danych (IOD)
Nie wyznaczono IOD (wymaganie nieobowiązkowe — progi z art. 37 nie zostały osiągnięte). Zapytania dotyczące prywatności obsługuje: formularz kontaktowy
5.2 Organ nadzorczy
Polski organ nadzorczy: Urząd Ochrony Danych Osobowych (UODO)
Strona internetowa: uodo.gov.pl
5.3 Opinie podmiotów danych
Niniejsza DPIA jest publicznie dostępna pod adresem humankey.io/pl/dpia zgodnie z art. 35 ust. 9. Zapraszamy do przesyłania uwag od podmiotów danych, organizacji społeczeństwa obywatelskiego i obrońców prywatności. Kontakt: formularz kontaktowy
6. Przegląd i utrzymanie
| Wersja początkowa | 1.0 (Luty 2026) → 1.1 (Marzec 2026) |
| Częstotliwość przeglądu | Coroczny (każdy luty) lub przy istotnych zmianach |
| Następny przegląd | Luty 2027 |
| Osoba odpowiedzialna | Tymoteusz (Założyciel, Administrator Danych) |
Przesłanki do ponownej oceny: Nowe rodzaje zbieranych danych, zmiana podstawy prawnej, naruszenie danych, zapytanie organu nadzorczego, aktualizacja technologiczna wpływająca na prywatność lub skargi podmiotów danych.
7. Wnioski
✅ WYNIK DPIA: Przetwarzanie jest zgodne z RODO i może być kontynuowane.
- Ryzyko dla podmiotów danych: ŚREDNIE (transfery do USA objęte SCC)
- Uzasadniony interes: UZASADNIONY (ochrona treści, analityka ruchu)
- Zabezpieczenia: ADEKWATNE (pseudonimizacja, szyfrowanie, minimalizacja danych, limity retencji)
- Zgodność z prawami: WDROŻONA (dostęp, usunięcie, przenoszalność, sprostowanie)
- Przejrzystość: ZAPEWNIONA (polityka prywatności, DPIA opublikowana, podprocesory ujawnieni)
Kontakt: Pytania lub zastrzeżenia dotyczące niniejszej DPIA? Skontaktuj się przez formularz kontaktowy lub napisz do polskiego organu nadzorczego (UODO).
Niniejsza DPIA jest zgodna z art. 35 RODO, wytycznymi ICO oraz Wytycznymi WP29 dotyczącymi DPIA (wp248rev.01). Wersja 1.1 zatwierdzona przez Administratora Danych: Tymoteusz (Marzec 2026).