Polityka Prywatności

1. Administrator danych osobowych

Administratorem danych osobowych (zgodnie z art. 4 pkt 7 RODO) jest:

• Marcin Odziemek, prowadzący serwis Wystaw-To
• Adres www: www.wystaw-to.pl
• E-mail kontaktowy: biuro@wystaw-to.pl
• W sprawach RODO: rodo@wystaw-to.pl

Po zarejestrowaniu działalności gospodarczej / spółki, administrator zostanie zaktualizowany i pojawi się tu pełna nazwa firmy, NIP i adres siedziby. Aktualizacja zostanie ogłoszona z 14-dniowym wyprzedzeniem.

2. Jakie dane zbieramy

2.1 Konto użytkownika (wszystkich)

• Identyfikacja: adres e-mail, imię i nazwisko, zdjęcie profilowe
• Logowanie: identyfikator konta zewnętrznego (jeśli logujesz się przez Google) lub zaszyfrowane hasło (jeśli logujesz się e-mailem)
• Kontakt: numer telefonu (opcjonalnie, używany do weryfikacji SMS i kontaktu z kupującymi)
• Lokalizacja: miasto, dzielnica, współrzędne geograficzne (z Twojego wprowadzenia lub geolokalizacji przeglądarki — za zgodą)
• Preferencje: język, motyw (jasny/ciemny), powiadomienia push (za zgodą)

2.2 Konto biznesowe (sklepy, lokalne usługi)

• Wszystkie dane z 2.1 plus:
• NIP, REGON, KRS — dane firmy weryfikowane przez biała listę VAT (Ministerstwo Finansów)
• Profil firmy: nazwa, opis, slogan, kategoria, podkategoria, branża
• Adres firmy: ulica, miasto, kod pocztowy, współrzędne na mapie
• Godziny otwarcia: harmonogram tygodniowy (publiczny)
• Galeria, banner, logo: przesłane zdjęcia (publiczne)
• Metody płatności: akceptowane formy płatności (publiczne)
• Social media: linki/handle do TikTok/Instagram/Facebook/YouTube/LinkedIn (publiczne)
• Oferty/usługi: nazwa, cena, czas trwania, opis, zdjęcie (publiczne)

2.3 Ogłoszenia użytkowników

• Treść: tytuł, opis, kategoria, cena, stan, lokalizacja
• Zdjęcia: przesłane zdjęcia produktu (automatycznie zoptymalizowane przed zapisem)
• Atrybuty: rok produkcji, marka, model, parametry (motoryzacja, nieruchomości, elektronika)
• Lokalizacja ze zdjęć: jeśli zdjęcie zawiera dane o miejscu wykonania, używamy ich tylko do porównania z zadeklarowaną lokalizacją ogłoszenia (przeciwdziałanie oszustwom). Surowe dane są usuwane przed publikacją.
• Dane do wyszukiwania: opis ogłoszenia jest dodatkowo zapisywany w formie umożliwiającej szybkie wyszukiwanie podobnych ogłoszeń.

2.4 Komunikacja (wiadomości, opinie, Q&A)

• Treść wiadomości pomiędzy kupującym a sprzedającym
• Opinie o sprzedawcach (publiczne, anonimizowane jeśli wybrano)
• Pytania i odpowiedzi przy ogłoszeniach (publiczne)
• Nieodpowiedziane wiadomości po 30 dniach są oznaczane jako „przeoczone"

2.5 Dane techniczne i analityczne

• Adres IP (anonimizowany dla statystyk)
• Typ urządzenia, system operacyjny, przeglądarka, rozdzielczość ekranu
• Logi serwera — czas wizyty, odwiedzona strona, czas odpowiedzi
• Identyfikator sesji
• Zdarzenia: wyświetlenie strony, kliknięcia w przyciski, dodanie do ulubionych, otwarcie czatu

2.6 Dane płatności (subskrypcje, kredyty AI, ogłoszenia premium)

• Nie przechowujemy numerów kart płatniczych ani kodów CVV.
• Pełne dane karty wpisujesz bezpośrednio w formularzu zewnętrznego operatora płatności, który przetwarza je w naszym imieniu.
• My otrzymujemy jedynie: potwierdzenie płatności, ostatnie 4 cyfry karty, markę karty, kwotę, datę i status.
• Faktury (jeśli wystawione): NIP, nazwa firmy, adres rozliczeniowy.

2.7 Treści generowane przez AI (chatbot, MójReel, sugestia ceny)

• Wiadomości do chatbota — Twój tekst jest przesyłany do zewnętrznego dostawcy AI, który zwraca odpowiedź.
• Zdjęcia do automatycznej klasyfikacji — wysyłane do zewnętrznego dostawcy AI w celu rozpoznania kategorii i cech produktu.
• Lektor AI — Twój tekst marketingowy jest przesyłany do zewnętrznego dostawcy AI w celu wygenerowania głosu.
• Banner i tła AI — Twój opis i zdjęcia są przesyłane do zewnętrznego dostawcy AI w celu wygenerowania obrazu lub wideo.
• Wyszukiwanie podobnych ogłoszeń — opis ogłoszenia jest dodatkowo zapisywany u dostawcy zewnętrznego, aby umożliwić wyszukiwanie po znaczeniu, a nie tylko po słowach kluczowych.

3. Cele i podstawy prawne przetwarzania

4. Kategorie odbiorców danych

Zgodnie z art. 14 RODO informujemy o kategoriach odbiorców, którym możemy powierzyć przetwarzanie Twoich danych. Z każdym z nich zawarte są umowy powierzenia przetwarzania zgodne z art. 28 RODO.

• Dostawca infrastruktury serwerowej w UE — przechowywanie konta, ogłoszeń i działanie aplikacji. Dane są fizycznie ulokowane w Unii Europejskiej.
• Dostawca magazynu plików w UE — przechowywanie zdjęć, banerów i innych plików multimedialnych wraz z ochroną przed atakami.
• Operator płatności online — przetwarzanie płatności kartą i wystawianie faktur. Pełne dane karty wpisujesz w jego formularzu — my ich nie widzimy.
• Dostawca logowania zewnętrznego — uwierzytelnienie przez Twoje istniejące konto, jeśli wybierzesz tę opcję (np. „Zaloguj się przez Google").
• Dostawca usług map i adresów — autouzupełnianie adresów, wyświetlanie map i wyznaczanie tras.
• Dostawcy usług AI — przetwarzanie tylko tych danych, które samodzielnie wyślesz przez funkcje AI (chatbot, generowanie opisów, MójReel itp.). Szczegóły w sekcji 5.
• Dostawca wyszukiwania podobnych ogłoszeń — pomaga znaleźć ogłoszenia o zbliżonej treści.
• Dostawcy narzędzi analitycznych i marketingowych — anonimowe statystyki ruchu, opcjonalnie reklama (jeśli zaakceptujesz cookies marketingowe).
• Dostawca biblioteki muzyki — utwory tła w generowanych filmach.
• Dostawca hostingu panelu administratora (Polska) — wewnętrzne zadania zespołu (nie zawiera danych osobowych użytkowników końcowych).

Nie sprzedajemy danych osobowych podmiotom trzecim. Nie udostępniamy danych do celów marketingu zewnętrznego bez Twojej wyraźnej zgody. Aktualną listę konkretnych dostawców udostępniamy na żądanie pod adresem rodo@wystaw-to.pl — zgodnie z art. 15 RODO masz prawo wiedzieć, kto konkretnie przetwarza Twoje dane.

5. Sztuczna inteligencja (AI) — szczegóły

Wystaw-To wykorzystuje modele AI do automatyzacji obsługi profili biznesowych, klasyfikacji ogłoszeń, generowania treści marketingowych oraz wyszukiwania semantycznego. Każde użycie funkcji AI jest opcjonalne i wymaga Twojej decyzji (kliknięcia / wyboru).

5.1 Co dokładnie wysyłamy do dostawców AI

• Chatbot „Asia" / „Nova": Twoja wiadomość oraz podstawowy kontekst Twojej firmy (nazwa, kategoria, godziny otwarcia, ostatnie oferty).
• Automatyczna klasyfikacja zdjęć: zdjęcia, które dodajesz do ogłoszenia.
• Raport stanu pojazdu: zdjęcia auta i jego cechy (marka, model, rok).
• Generowanie opisu lub sloganu: kategoria, cechy produktu i wybrany przez Ciebie styl.
• MójReel — lektor: tekst marketingowy, który chcesz usłyszeć w filmie (do ok. 200 słów).
• MójReel — obrazy i wideo: Twój opis sceny i opcjonalnie Twoje zdjęcia.
• Wyszukiwanie podobnych ogłoszeń: tekst Twojego zapytania.

5.2 Czego NIE wysyłamy do AI

• Twoich danych logowania (e-mail, hasła)
• Numerów kart płatniczych
• Numeru telefonu (chyba że wpiszesz go w treści wiadomości)
• Historii prywatnej (wiadomości innych userów)
• Wewnętrznych logów serwera

5.3 Czy AI uczy się na Twoich danych?

Zgodnie z umowami zawartymi z dostawcami AI:

• Twoje treści nie są wykorzystywane do trenowania modeli AI.
• Wygenerowane głosy lektorskie nie są dodawane do bibliotek publicznych.
• Wygenerowane obrazy i filmy nie są wykorzystywane do trenowania kolejnych modeli.
• Aktualną listę konkretnych dostawców udostępniamy na żądanie (art. 15 RODO) pod adresem rodo@wystaw-to.pl.

Zachowujemy podstawowe informacje o korzystaniu z funkcji AI (kto i kiedy z niej skorzystał, koszt) przez 90 dni — wyłącznie do kontroli kosztów i wykrywania nadużyć.

6. Transfer danych poza Europejski Obszar Gospodarczy (EOG)

Część usług AI ma siedzibę w Stanach Zjednoczonych. Transfer danych odbywa się na podstawie:

• Standardowych Klauzul Umownych (SCC) Komisji Europejskiej z 2021 r.
• EU-US Data Privacy Framework (DPF) — w przypadku dostawców, którzy posiadają taką certyfikację.
• Dodatkowych zabezpieczeń: szyfrowane połączenia oraz szyfrowanie danych przechowywanych u dostawców.

Listę certyfikacji DPF możesz sprawdzić w bazie: dataprivacyframework.gov.

Zdjęcia, dane konta i ogłoszenia są przechowywane wyłącznie w Unii Europejskiej. Tylko gdy świadomie wybierzesz funkcję AI, fragment treści jest wysyłany do USA.

7. Czas przechowywania danych

• Konto użytkownika: do momentu usunięcia konta przez Ciebie (w ustawieniach lub e-mailem na adres RODO).
• Profil firmy: jak konto + 30 dni okresu na przywrócenie po usunięciu (potem trwała anonimizacja).
• Ogłoszenia: 60 dni od publikacji, przedłużane przy edycji; usunięte ręcznie znikają natychmiast.
• Zdjęcia z ogłoszeń: usuwane razem z ogłoszeniem; nieużywane pliki czyszczone co tydzień.
• Dane do wyszukiwania: usuwane razem z ogłoszeniem.
• Wiadomości: 90 dni; po tym czasie informacja kto-z-kim pozostaje, ale treść jest usuwana.
• Filmy MójReel: 365 dni od wygenerowania — możesz je pobrać w każdej chwili.
• Informacje o korzystaniu z funkcji AI: 90 dni (kontrola kosztów).
• Faktury i dane płatności: 5 lat (obowiązek z Ustawy o rachunkowości).
• Logi techniczne serwera: 30 dni.
• Kopie zapasowe baz danych: 35 dni (rolujące się okno).

8. Twoje prawa

Zgodnie z RODO masz prawo do:

• Dostępu do danych (art. 15 RODO) — otrzymanie kopii Twoich danych.
• Sprostowania (art. 16 RODO) — poprawienia nieprawidłowych danych.
• Usunięcia (art. 17 RODO) — „prawo do bycia zapomnianym".
• Ograniczenia przetwarzania (art. 18 RODO) — chwilowe wstrzymanie przetwarzania.
• Przenoszenia danych (art. 20 RODO) — eksport Twoich danych w popularnym formacie do wczytania w innym serwisie.
• Sprzeciwu (art. 21 RODO) — wobec przetwarzania na podstawie uzasadnionego interesu lub marketingu
• Niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu (art. 22 RODO) — patrz sekcja 10
• Wycofania zgody w dowolnym momencie (bez wpływu na zgodność wcześniejszego przetwarzania)
• Wniesienia skargi do organu nadzorczego:
  Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl

Jak skorzystać: napisz e-mail na rodo@wystaw-to.pl z opisem żądania. Odpowiadamy w ciągu 30 dni (lub do 90 dni przy złożonych przypadkach z wcześniejszym powiadomieniem).

9. Pliki cookie i podobne technologie

Używamy plików cookie zgodnie z art. 173 ustawy Prawo Telekomunikacyjne i dyrektywą ePrivacy. Możesz zmienić ustawienia w przeglądarce, ale część funkcji może przestać działać.

9.1 Cookies niezbędne (zawsze włączone)

• Sesja logowania — żebyś pozostał zalogowany (do 30 dni).
• Ochrona przed atakami i botami — bezpieczeństwo serwisu (sesja / 30 dni).

9.2 Cookies funkcjonalne (za zgodą)

• Zapamiętanie wybranego motywu (jasny / ciemny) — 1 rok.
• Zapamiętanie wybranego języka — 1 rok.
• Historia ostatnich wyszukiwań — 90 dni.

9.3 Cookies analityczne (za zgodą)

• Anonimowe statystyki ruchu w serwisie (z anonimizacją adresu IP) — do 13 miesięcy.

9.4 Cookies marketingowe (za zgodą, jeśli aktywujesz)

• Mierzenie skuteczności reklam w mediach społecznościowych — do 90 dni.

Zarządzanie zgodami na cookies: kliknij ikonę „Cookies" w stopce strony lub wejdź wUstawienia.

10. Profilowanie i decyzje automatyczne

Stosujemy ograniczone profilowanie automatyczne. Żadna zautomatyzowana decyzja nie ma istotnych skutków prawnych (art. 22 RODO) — wszystkie końcowe decyzje (np. ban konta) wymagają przeglądu człowieka.

• Ranking ogłoszeń — kolejność w wynikach wyszukiwania zależy od dopasowania do Twojego zapytania, świeżości ogłoszenia, lokalizacji oraz oceny sprzedawcy. Możesz zobaczyć, dlaczego ogłoszenie jest wysoko (oznaczenie „dopasowane przez AI").
• Automatyczna moderacja zdjęć i opisów — system zaznacza potencjalnie zabronione treści (przemoc, dane osobowe na zdjęciach, naruszenia regulaminu). Decyzję o usunięciu zawsze podejmuje moderator-człowiek.
• Sugerowana cena (AI) — system podpowiada cenę na podstawie podobnych ogłoszeń.Nie jest to wycena wiążąca — finalną cenę zawsze ustalasz Ty.
• Ochrona przed spamem i botami — system wykrywa nietypową aktywność (np. dodawanie wielu ogłoszeń w bardzo krótkim czasie). Możesz zostać tymczasowo zablokowany; blokada jest przeglądana przez człowieka w ciągu 24 godzin.

Masz prawo zażądać interwencji człowieka przy każdej zautomatyzowanej decyzji która Cię dotyczy.

11. Bezpieczeństwo danych

• Szyfrowane połączenia (HTTPS) dla całego serwisu.
• Szyfrowanie danych przechowywanych na serwerach (zdjęcia, ogłoszenia, dane konta).
• Bezpieczne hasła — przechowywane wyłącznie w postaci nieodwracalnie zaszyfrowanej.
• Logowanie: przez konto zewnętrzne (np. Google z dwuetapową weryfikacją) lub e-mail i hasło.
• Ograniczony dostęp — do danych osobowych użytkowników mają dostęp tylko upoważnione osoby; każdy dostęp jest logowany i przeglądany.
• Kopie zapasowe — automatyczne kopie odzyskiwania na wypadek awarii (35 dni).
• Lokalizacja serwerów: dane fizycznie w Unii Europejskiej.
• Reagowanie na incydenty: w przypadku wycieku danych — powiadomienie UODO w ciągu 72 godzin (art. 33 RODO) i e-mail do Ciebie (art. 34 RODO).

12. Dzieci poniżej 16 lat

Wystaw-To nie jest przeznaczony dla dzieci poniżej 16 lat. Świadomie nie zbieramy danych osobowych dzieci. Jeśli jesteś rodzicem / opiekunem prawnym i zauważyłeś że Twoje dziecko poniżej 16 lat założyło konto, napisz do nas na rodo@wystaw-to.pl — usuniemy konto niezwłocznie.

13. Zmiany polityki

O istotnych zmianach polityki prywatności poinformujemy:

• E-mailem na adres przypisany do Twojego konta — co najmniej 14 dni przed wejściem w życie
• Banerem „Polityka prywatności została zaktualizowana" w aplikacji
• Polem „Wersja" + „Ostatnia aktualizacja" na górze tej strony

Drobne zmiany (literówki, linki, formatowanie) nie wymagają powiadomienia, ale są odnotowywane w wewnętrznej historii zmian.

Ostatnie zmiany w wersji 2.0 (2026-05-10): dodano sekcję „AI" (5), „Transfer poza EOG" (6), „Profilowanie automatyczne" (10), rozszerzono listę odbiorców danych, uszczegółowiono cookies, dodano sekcję dla dzieci.