Skip to main content
HumanKey
English version

Polityka Prywatności

Ostatnia aktualizacja: Luty 2026

1. Kim jesteśmy

HumanKey (“my”, “nas”) dostarcza usługi inteligencji ruchu AI. Niniejsza polityka wyjaśnia, w jaki sposób gromadzimy, wykorzystujemy i chronimy dane osobowe zgodnie z RODO i dyrektywą ePrivacy.

Administrator danych: HumanKey, projekt ChainGuard, Polska.
Kontakt: skontaktuj się z nami

2. Zbierane dane

Dane konta

  • Adres e-mail, imię (opcjonalnie)
  • Identyfikatory dostawców OAuth (Google) — tylko jeśli korzystasz z logowania społecznościowego
  • Zahaszowane hasło (bcrypt, 12 rund) — tylko w przypadku uwierzytelniania e-mail/hasło
  • Metadane konta: poziom planu (darmowy/pro/enterprise), rola (użytkownik/admin), data rejestracji, status weryfikacji e-mail
  • Identyfikator klienta Stripe (tylko w przypadku subskrypcji płatnego planu)

Dane analizy ruchu

  • Adresy IP: Zahaszowane z codziennie rotowaną solą — nigdy nie przechowujemy surowych adresów IP
  • Ciągi User-Agent: Skrócone do 200 znaków wyłącznie do klasyfikacji botów
  • Adresy URL stron i referrerów (do analizy ruchu)
  • Znaczniki czasu odwiedzin i czas trwania
  • Wyniki klasyfikacji botów (człowiek/bot, wynik pewności)

3. Podstawa prawna (RODO Art. 6)

  • Wykonanie umowy: Przetwarzanie danych konta w celu świadczenia naszej usługi
  • Prawnie uzasadniony interes: Wykrywanie botów i klasyfikacja ruchu w celu ochrony właścicieli witryn
  • Zgoda: Pliki cookie analityczne (opcjonalnie, za pośrednictwem banera zgody na pliki cookie)

Zautomatyzowane przetwarzanie (art. 22 RODO)

Nasza detekcja botów używa zautomatyzowanej klasyfikacji żądań ruchu sieciowego. To zautomatyzowane przetwarzanie nie wywołuje skutków prawnych ani podobnie istotnych skutków dla odwiedzających Twoją stronę — klasyfikuje żądania sieciowe, nie osoby. Odwiedzający, których żądania są klasyfikowane jako ruch crawlerów AI, nie są indywidualnie profilowani ani poddawani konsekwencjom zautomatyzowanych decyzji.

4. Minimalizacja danych

Przestrzegamy zasady minimalizacji danych. Adresy IP są haszowane przed zapisem, ciągi User-Agent są skracane i przechowujemy tylko dane niezbędne do analizy ruchu.

5. Twoje prawa

Zgodnie z RODO masz prawo do:

  • Dostępu: Eksportuj wszystkie swoje dane z Panel → Ustawienia → Eksportuj dane
  • Usunięcia: Usuń swoje konto i wszystkie powiązane dane z Panel → Ustawienia → Usuń konto
  • Przenoszenia: Pobierz swoje dane w formacie JSON
  • Sprostowania: Zaktualizuj informacje o profilu w Panel → Ustawienia
  • Sprzeciwu: Skontaktuj się z nami, aby zrezygnować z określonych działań przetwarzania

6. Pliki cookie

  • Niezbędne: Tokeny uwierzytelniania (httpOnly, bezpieczne) — wymagane do logowania
  • Opcjonalne: Pliki cookie analityczne — ustawiane tylko za Twoją zgodą

Zobacz naszą Politykę plików cookie po szczegóły.

7. Okres przechowywania danych

Okres przechowywania danych o odwiedzinach zależy od Twojego planu:

  • Plan darmowy: 7 dni
  • Plan Pro: 30 dni
  • Plan Business: 90 dni
  • Plan Enterprise: 365 dni

Dane przekraczające te okresy są automatycznie i trwale usuwane. Dane konta są przechowywane do momentu usunięcia konta.

Usunięcie konta i przenoszenie danych

Usunięcie konta

Możesz usunąć konto w dowolnym momencie w Ustawieniach > Konto > Usuń konto. Po usunięciu wszystkie rekordy ruchu, klucze API i dane konta zostaną trwale usunięte w ciągu 30 dni. Dane konfiguracji serwisu są usuwane natychmiast.

Przenoszenie danych

Możesz wyeksportować dane ruchu w formacie CSV lub JSON z poziomu Panelu w dowolnym momencie przed usunięciem konta. Prawo to przysługuje wszystkim planom.

8. Podmioty przetwarzające i usługi stron trzecich (RODO Art. 28)

Korzystamy z następujących podmiotów przetwarzających w celu świadczenia naszej usługi. Wszyscy podmioty są zobowiązani umowami o przetwarzanie danych (DPA) zgodnymi z wymogami RODO:

UsługaCelLokalizacjaDPA
NeonHosting bazy danych PostgreSQL (główny magazyn danych)🇩🇪 Azure Germany West Central (Frankfurt, Niemcy)Zobacz DPA
RailwayHosting API backendu, pamięć podręczna Redis🇳🇱 EU West (Amsterdam, Holandia)Zobacz DPA
VercelHosting frontendu i CDN (Edge Network)🇺🇸 Globalnie (siedziba w USA, certyfikat EU-US DPF)Zobacz DPA
StripePrzetwarzanie płatności i rozliczenia subskrypcji🇺🇸 USA (zgodny z RODO, standardowe klauzule umowne UE)Zobacz DPA
SentryŚledzenie błędów (dane osobowe usuwane przed transmisją)🇺🇸 USA (zgodny z RODO, standardowe klauzule umowne UE)Zobacz DPA
ResendE-maile transakcyjne (weryfikacja, resetowanie hasła)🇺🇸 USA (zgodny z RODO)Zobacz DPA
GoogleUwierzytelnianie OAuth (opcjonalne — tylko jeśli wybierzesz logowanie społecznościowe)🇺🇸 USA (certyfikat EU-US DPF, standardowe klauzule umowne UE)Standardowe DPA

🛡️ Zabezpieczenia transferu danych

  • Przechowywanie w UE: Wszystkie dane podstawowe (konta, odwiedziny, analityka) są przechowywane w regionach UE (Neon Niemcy, Railway Holandia)
  • Standardowe klauzule umowne: Podmioty przetwarzające z siedzibą w USA (Vercel, Stripe, Sentry, Resend) zawarły standardowe klauzule umowne UE zgodnie z rozdziałem V RODO
  • Mechanizm prywatności danych UE-USA: Vercel posiada certyfikat EU-US DPF (2024), zapewniając dodatkowe zabezpieczenia
  • Minimalizacja danych osobowych: Sentry NIE otrzymuje identyfikatorów osobowych — wszystkie adresy e-mail i adresy IP są usuwane za pomocą hooka beforeSend przed transmisją
  • Przechowywanie danych przez Stripe: Dane płatnicze przechowywane przez Stripe przez 7 lat zgodnie z prawem podatkowym UE. Możesz poprosić o usunięcie po upływie okresu przechowywania

Prawo do sprzeciwu: Jeśli sprzeciwiasz się transferom danych poza UE, skontaktuj się z nami pod adresem skontaktuj się z nami. Należy pamiętać, że niektóre usługi (rozliczenia, OAuth) wymagają podmiotów przetwarzających z USA — rezygnacja może ograniczyć funkcjonalność.

9. Bezpieczeństwo

Stosujemy szyfrowanie w tranzycie (TLS), zahaszowane hasła (bcrypt), rotację tokenów JWT, ograniczanie liczby żądań i kontrolę dostępu na poziomie wierszy w celu ochrony Twoich danych.

10. Ocena skutków dla ochrony danych (DPIA)

Nasze systematyczne przetwarzanie monitorowania botów zostało ocenione zgodnie z art. 35 RODO. Zobacz pełną Ocenę skutków dla ochrony danych (DPIA) w celu uzyskania szczegółowych informacji na temat oceny ryzyka, zabezpieczeń i środków zgodności.

Dane dzieci

HumanKey jest usługą skierowaną do firm (B2B) przeznaczoną dla właścicieli i operatorów stron internetowych. Świadomie nie zbieramy danych od osób poniżej 18 roku życia. Jeśli dowiesz się, że nieletnia osoba korzysta z Usługi, skontaktuj się z nami przez formularz kontaktowy.

11. Kontakt

W przypadku pytań dotyczących prywatności skontaktuj się z nami pod adresem skontaktuj się z nami lub napisz do polskiego organu nadzorczego: Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl

Niniejsza Polityka prywatności jest zgodna z RODO (Rozporządzenie (UE) 2016/679), dyrektywą ePrivacy i polską ustawą o ochronie danych osobowych.