Dokument prawny

Polityka prywatności

Polityka prywatności i cookies platformy Spoko Studio Console — zgodna z wymogami RODO, PKE 2025 i AI Act. Dokument obowiązuje od 21 marca 2026 r.

v1.0
§01§02§03§04§05§06§07

Zasada granularnej zgody na cookies

Cookies niezbędne działają zawsze. Cookies analityczne i marketingowe (Google Analytics 4, Meta Pixel) aktywowane są wyłącznie po kliknięciu „Akceptuję” w panelu zarządzania zgodami. Odmowa nie blokuje dostępu do Platformy.

§01

Administrator i Procesor danych — dualizm ról

Agencja pełni dwie odrębne role prawne wobec Twoich danych.

  1. Administrator danych (art. 4 pkt 7 RODO): Spoko Creative spółka z ograniczoną odpowiedzialnością, ul. Osiedle Stare Sady 20/14, 98-300 Wieluń, KRS: 0001101330, NIP: 8322096843, REGON: 528409341 (dalej: „Administrator"). Kontakt: hello@spokostudio.com. Administrator przetwarza dane osobowe Klientów (imię, nazwisko, e-mail, dane firmy) w związku z zawarciem i wykonaniem umowy o świadczenie usług kreatywnych oraz obsługą dostępu do Platformy.
  2. Procesor danych (art. 4 pkt 8 RODO): W zakresie, w jakim Klient powierza Administratorowi dane osobowe osób trzecich (np. dane kontaktowe swoich klientów, dane odbiorców kampanii marketingowych) w celu wykonania usług marketingowych, Administrator pełni rolę Procesora — przetwarzającego dane wyłącznie na udokumentowane polecenie Klienta. Relacja ta regulowana jest odrębną Umową Powierzenia Przetwarzania Danych (UPPD), dostępną na żądanie.
  3. Dane osobowe nie będą przekazywane do Państw spoza Europejskiego Obszaru Gospodarczego, z wyjątkiem sytuacji, gdy podmiot trzeci (np. dostawca usług chmurowych) zapewnia odpowiedni poziom ochrony w oparciu o: standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską lub decyzję o adekwatności (Data Privacy Framework dla podmiotów certyfikowanych w USA).
§02

Podstawy prawne przetwarzania danych (art. 6 RODO)

  1. Art. 6 ust. 1 lit. b RODO — wykonanie umowy: Dane przetwarzane są w celu zawarcia i realizacji umowy o dostęp do Platformy oraz świadczenia usług kreatywnych na rzecz Klienta. Dotyczy to w szczególności: zarządzania kontem Użytkownika, obsługi projektów, wystawiania i archiwizacji faktur, komunikacji w ramach Platformy.
  2. Art. 6 ust. 1 lit. c RODO — obowiązek prawny: Dane przetwarzane są w celu wywiązania się z obowiązków wynikających z przepisów prawa, w tym ustawy o rachunkowości (archiwizacja dokumentów przez 5 lat) i przepisów podatkowych.
  3. Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora: (i) Obrona przed roszczeniami prawnymi i dochodzenie należności — logi systemowe, historia akceptacji projektów i korespondencja w Platformie są przechowywane przez 6 lat jako dowód wykonania usług; (ii) Zapewnienie bezpieczeństwa Platformy — monitorowanie sesji, adresów IP i zdarzeń bezpieczeństwa; (iii) Marketing bezpośredni wobec istniejących Klientów — z zachowaniem prawa do sprzeciwu.
  4. Art. 6 ust. 1 lit. a RODO — zgoda: Cookies analityczne, marketingowe i profilujące (w tym Google Analytics 4, Meta Pixel) przetwarzane są wyłącznie na podstawie dobrowolnej, świadomej i granularnej zgody wyrażonej przez Użytkownika zgodnie z wymogami Prawa Komunikacji Elektronicznej (PKE 2025). Zgoda jest odwoływalna w dowolnym momencie.
§03

Okres retencji danych — zasada "3+3"

Dane marketingowe: 3 lata. Logi i historia akceptacji: 6 lat.

  1. Dane marketingowe i komunikacyjne (historia korespondencji niezwiązanej z realizacją umowy, preferencje, zapytania ofertowe) — 3 (trzy) lata od ostatniego kontaktu lub zakończenia współpracy.
  2. Dane niezbędne do obrony przed roszczeniami (logi systemowe, historia logowań, zapisy akceptacji etapów projektów, korespondencja projektowa, faktury) — 6 (sześć) lat od zakończenia umowy, co odpowiada ogólnemu terminowi przedawnienia roszczeń z art. 118 Kodeksu cywilnego, oraz — w zakresie dokumentacji finansowej — 5 lat wymaganym przepisami ustawy o rachunkowości.
  3. Dane konta Użytkownika (imię, nazwisko, e-mail, hasło w formie zahashowanej) — do czasu usunięcia konta lub wygaśnięcia dostępu, a następnie przez 30 dni jako kopia bezpieczeństwa przed trwałym usunięciem.
  4. Pliki i materiały projektowe wgrane do Platformy — usuwane po 90 dniach od zamknięcia Projektu, chyba że umowa o usługi kreatywne stanowi inaczej lub Klient złoży wcześniejszy wniosek o usunięcie.
  5. Po upływie okresu retencji dane są trwale usuwane lub anonimizowane w sposób uniemożliwiający identyfikację osoby, której dotyczą.
§04

Cookies i technologie śledzące — standard PKE 2025

Cookies analityczne i marketingowe wymagają aktywnej zgody.

  1. Platforma stosuje pliki cookies i podobne technologie (localStorage, sessionStorage, pixel tracking) zgodnie z wymogami Prawa Komunikacji Elektronicznej z dnia 12 lipca 2024 r. (PKE 2025), które implementuje dyrektywę ePrivacy.
  2. Cookies niezbędne (strictly necessary): Wymagane do działania Platformy — sesja logowania, CSRF token, preferencje interfejsu. Podstawa: prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO). Nie wymagają zgody, ale Użytkownik jest o nich informowany.
  3. Cookies analityczne (np. Google Analytics 4, Hotjar): Służą do pomiaru ruchu, analizy zachowań Użytkowników i poprawy Platformy. Wymagają aktywnego kliknięcia „Akceptuję" w panelu zarządzania zgodami (Consent Management Platform — CMP). Dane przekazywane do Google LLC są zabezpieczone klauzulami SCC i certyfikacją Data Privacy Framework.
  4. Cookies marketingowe i retargetingowe (np. Meta Pixel, Google Ads): Służą do wyświetlania spersonalizowanych reklam i pomiaru efektywności kampanii. Wymagają odrębnej, granularnej zgody Użytkownika — niezależnej od zgody na cookies analityczne. Brak zgody nie wpływa na dostęp do Platformy.
  5. Zarządzanie zgodami: Użytkownik może w każdej chwili zmienić lub wycofać udzielone zgody, klikając przycisk „Ustawienia cookies" dostępny na każdej stronie Platformy. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
  6. Administrator nie stosuje technik ukrytego śledzenia (fingerprinting, supercookies) bez wiedzy i zgody Użytkownika.
§05

Bezpieczeństwo danych i certyfikacja dostawców

Szyfrowanie AES-256 dla plików. Dostawcy certyfikowani w ramach DPF.

  1. Pliki i dokumenty projektowe przechowywane w Platformie są szyfrowane algorytmem AES-256 (Advanced Encryption Standard z kluczem 256-bitowym) zarówno w spoczynku (at rest), jak i podczas transmisji (TLS 1.3 in transit).
  2. Administrator wybiera wyłącznie dostawców usług chmurowych, którzy: (a) posiadają certyfikację ISO 27001 lub SOC 2 Type II; (b) są certyfikowani w ramach EU-US Data Privacy Framework (DPF) lub zapewniają odpowiedni poziom ochrony danych poprzez standardowe klauzule umowne (SCC).
  3. Dostęp do danych Klientów mają wyłącznie upoważnieni pracownicy i podwykonawcy Administratora, którzy podpisali klauzule poufności. Dostęp jest przyznawany na zasadzie minimalnych uprawnień (least privilege).
  4. Administrator stosuje procedury zarządzania incydentami bezpieczeństwa. W przypadku naruszenia ochrony danych mogącego powodować ryzyko dla praw i wolności osób, Administrator zgłasza incydent do Prezesa UODO w ciągu 72 godzin i — o ile ryzyko jest wysokie — informuje o tym poszkodowane osoby.
  5. Platforma stosuje wieloskładnikowe uwierzytelnianie (MFA) jako opcję dostępną dla Użytkowników. Administrator zaleca jej aktywację.
§06

Prawa przysługujące osobom, których dane dotyczą

  1. Prawo dostępu (art. 15 RODO): Użytkownik ma prawo uzyskać informację, czy jego dane są przetwarzane, oraz otrzymać ich kopię.
  2. Prawo do sprostowania (art. 16 RODO): Użytkownik może żądać poprawienia lub uzupełnienia nieprawidłowych lub niekompletnych danych.
  3. Prawo do usunięcia (art. 17 RODO): Użytkownik może żądać usunięcia danych, jeśli nie są one niezbędne do celów, dla których zostały zebrane — z zastrzeżeniem, że Administrator może odmówić usunięcia danych niezbędnych do obrony przed roszczeniami w okresie retencji "3+3".
  4. Prawo do ograniczenia przetwarzania (art. 18 RODO) oraz prawo do przenoszenia danych (art. 20 RODO) — w zakresie danych przetwarzanych na podstawie zgody lub umowy.
  5. Prawo do sprzeciwu (art. 21 RODO): Użytkownik może w każdej chwili wnieść sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie Administratora — w tym wobec marketingu bezpośredniego. Sprzeciw jest bezwzględnie skuteczny w przypadku marketingu.
  6. Prawo do skargi: Użytkownik ma prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl, jeśli uzna, że przetwarzanie jego danych narusza przepisy RODO.
  7. Wnioski dotyczące praw prosimy kierować na adres: hello@spokostudio.com z dopiskiem „RODO". Odpowiedź zostanie udzielona bez zbędnej zwłoki, nie później niż w ciągu 30 dni od otrzymania wniosku (z możliwością przedłużenia o kolejne 60 dni w przypadkach szczególnie skomplikowanych).
§07

Postanowienia końcowe

  1. Niniejsza Polityka prywatności jest zgodna z wymogami: Rozporządzenia (UE) 2016/679 (RODO), Prawa Komunikacji Elektronicznej (PKE) z 2024 r., Rozporządzenia (UE) 2024/1689 (AI Act) oraz wytycznych Europejskiej Rady Ochrony Danych (EDPB).
  2. Administrator zastrzega prawo do aktualizacji niniejszej Polityki — w szczególności w związku ze zmianami przepisów prawa, wytycznych organów nadzoru lub stosowanych technologii. O istotnych zmianach Użytkownicy będą informowani za pośrednictwem Platformy lub e-mailem, na co najmniej 14 dni przed wejściem zmian w życie.
  3. Data wejścia w życie niniejszej Polityki: 21 marca 2026 r. Data ostatniej aktualizacji: 21.03.2026.

Dane Administratora

AdministratorSpoko Creative spółka z ograniczoną odpowiedzialnością
Adresul. Osiedle Stare Sady 20/14, 98-300 Wieluń
KRS0001101330
NIP8322096843
Kontakt RODOhello@spokostudio.com
Platformahttps://spokostudioconsole.ovh