Polityka prywatności

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

Polityka Prywatności platformy Agrai

Wersja: 1.0
Data wejścia w życie: [DATA]
Administratorzy danych: KODOPOL sp. z o.o. oraz M-TECH SOLUTIONS sp. z o.o.


§ 1. Administrator danych osobowych

1. Administratorami danych osobowych Użytkowników platformy Agrai są łącznie:

  • KODOPOL sp. z o.o. z siedzibą pod adresem: [ADRES], NIP: [NIP], KRS: [KRS],
  • M-TECH SOLUTIONS sp. z o.o. z siedzibą pod adresem: [ADRES], NIP: [NIP], KRS: [KRS].

2. Administratorzy działają wspólnie w rozumieniu art. 26 RODO. We wszelkich sprawach dotyczących ochrony danych osobowych można kontaktować się pod adresem e-mail: [EMAIL KONTAKTOWY] lub pisemnie na adres siedziby jednego z Administratorów.

3. Niniejsza Polityka Prywatności stanowi Załącznik nr 1 do Regulaminu świadczenia usług drogą elektroniczną platformy Agrai.


§ 2. Podstawy prawne i cele przetwarzania danych

1. Administratorzy przetwarzają dane osobowe Użytkowników na następujących podstawach prawnych i w następujących celach:

  • Art. 6 ust. 1 lit. b RODO – wykonanie umowy o świadczenie usług drogą elektroniczną (rejestracja i obsługa Konta, aktywacja Licencji, obsługa płatności przez Stripe, świadczenie funkcjonalności Platformy).
  • Art. 6 ust. 1 lit. c RODO – wypełnienie obowiązków prawnych ciążących na Administratorach (w szczególności obowiązków wynikających z przepisów podatkowych i rachunkowych).
  • Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratorów, obejmujący: zapewnienie bezpieczeństwa i ciągłości działania Platformy, zapobieganie nadużyciom i atakom (antifraud, reCAPTCHA), obsługę reklamacji i zgłoszeń technicznych, dochodzenie i obronę roszczeń.
  • Art. 6 ust. 1 lit. a RODO – zgoda Użytkownika, w zakresie, w jakim jest wymagana (np. wysyłka newslettera lub komunikacji marketingowej, o ile taka funkcja zostanie udostępniona).

2. W zakresie przetwarzania szczególnych kategorii danych (art. 9 RODO), jeżeli Użytkownik wprowadza do Platformy dane o stanie zdrowia zwierząt lub dane wrażliwe dotyczące osób trzecich, przetwarzanie odbywa się wyłącznie na podstawie jego wyraźnej zgody lub w ramach powierzenia danych zgodnie z zawartą Umową Powierzenia Przetwarzania Danych Osobowych (DPA – Załącznik nr 2 do Regulaminu).


§ 3. Zakres przetwarzanych danych

1. W ramach rejestracji i obsługi Konta Administratorzy przetwarzają następujące dane:

  • dane identyfikacyjne: imię, nazwisko, adres e-mail, numer telefonu,
  • dane logowania: adres e-mail lub dane uwierzytelnienia zewnętrznego (Google OAuth),
  • dane rozliczeniowe: dane niezbędne do realizacji płatności przez operatora Stripe (w tym dane transakcyjne; dane kart płatniczych są przetwarzane wyłącznie przez Stripe – Administratorzy ich nie przechowują).

2. W ramach korzystania z Platformy Użytkownik może wprowadzać rozszerzone dane rolnicze i identyfikacyjne, w tym:

  • PESEL, NIP, REGON,
  • numer producenta ARiMR, numer ewidencyjny gospodarstwa,
  • dane geolokalizacyjne gospodarstwa i pól uprawnych (współrzędne geograficzne, granice działek w formacie GeoJSON),
  • dane dotyczące upraw, zabiegów agrotechnicznych i środków ochrony roślin,
  • dane dotyczące stada zwierząt, zabiegów weterynaryjnych i dokumentacji zootechnicznej,
  • dane dotyczące parku maszynowego i infrastruktury budowlanej,
  • dane finansowe i sprzedażowe gospodarstwa.

3. Administratorzy przetwarzają dane techniczne generowane automatycznie w związku z korzystaniem z Platformy, w tym: adres IP, dane urządzenia i przeglądarki, logi systemowe (wyłącznie w celach bezpieczeństwa i stabilności infrastruktury), a także dane przechowywane w pamięci lokalnej przeglądarki (Local Storage, Session Storage) – szczegóły opisano w § 8.


§ 4. Odbiorcy danych osobowych

1. Dane osobowe Użytkowników mogą być udostępniane następującym kategoriom podmiotów:

  • Stripe, Inc. – zewnętrzny operator płatności, przetwarzający dane transakcyjne na potrzeby realizacji płatności za Pakiety subskrypcyjne. Stripe działa jako niezależny administrator lub podmiot przetwarzający zgodnie z własną polityką prywatności dostępną pod adresem: https://stripe.com/pl/privacy.
  • Google LLC – w zakresie uwierzytelnienia Google OAuth (logowanie zewnętrzne) oraz usługi reCAPTCHA v3 (antifraud). Google działa jako niezależny administrator zgodnie z polityką prywatności Google dostępną pod adresem: https://policies.google.com/privacy.
  • Dostawcy infrastruktury hostingowej i chmurowej – podmioty zapewniające serwery i usługi przechowywania danych, działające jako podmioty przetwarzające na podstawie zawartych umów powierzenia.
  • Dostawcy zewnętrznych danych i API – podmioty dostarczające dane meteorologiczne, cenowe i inne dane integrowane z Platformą; dane Użytkownika nie są im przekazywane, lecz Platforma pobiera od nich dane zewnętrzne.
  • Organy publiczne i organy ścigania – wyłącznie w przypadkach wymaganych przez bezwzględnie obowiązujące przepisy prawa lub prawomocne decyzje uprawnionych organów.

2. Administratorzy nie sprzedają danych osobowych Użytkowników ani nie udostępniają ich podmiotom trzecim w celach marketingowych bez wyraźnej zgody Użytkownika.


§ 5. Przekazywanie danych do państw trzecich

1. W związku z korzystaniem z usług Stripe i Google LLC dane Użytkowników mogą być przekazywane do Stanów Zjednoczonych Ameryki lub innych państw spoza Europejskiego Obszaru Gospodarczego (EOG).

2. Przekazywanie danych do państw trzecich odbywa się wyłącznie z zachowaniem odpowiednich zabezpieczeń wymaganych przez RODO, w szczególności na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską lub innych mechanizmów zgodności wskazanych w politykach prywatności tych podmiotów.

3. Użytkownik ma prawo uzyskać kopię zastosowanych zabezpieczeń związanych z przekazywaniem danych do państw trzecich, kontaktując się z Administratorami.


§ 6. Okresy retencji danych

1. Dane osobowe są przechowywane przez Administratorów przez okres niezbędny do realizacji celów, dla których zostały zebrane, a w szczególności:

  • dane Konta i Dane Agrotechniczne – przez czas trwania umowy o świadczenie usług drogą elektroniczną, tj. do momentu usunięcia Konta przez Użytkownika, powiększony o czas niezbędny do realizacji ewentualnych roszczeń (nie dłużej niż 3 lata od zakończenia umowy, o ile bezwzględnie obowiązujące przepisy prawa nie wymagają dłuższego okresu),
  • dane rozliczeniowe i dokumentacja transakcji – przez okres wymagany przepisami prawa podatkowego i rachunkowego (co do zasady 5 lat od końca roku podatkowego),
  • logi systemowe i dane techniczne (bezpieczeństwo) – przez okres do 12 miesięcy,
  • dane przetwarzane na podstawie zgody – do momentu cofnięcia zgody przez Użytkownika.

2. Po złożeniu przez Użytkownika dyspozycji usunięcia Konta za pośrednictwem dedykowanej funkcji w panelu, Administratorzy przystępują do trwałego usunięcia Danych Agrotechnicznych w terminie do 30 dni od potwierdzenia dyspozycji, z zastrzeżeniem danych, których przechowywanie jest wymagane bezwzględnie obowiązującymi przepisami prawa (np. dane rozliczeniowe).

3. Operacja usunięcia Konta jest nieodwracalna. Administratorzy nie dokonują przywrócenia (rollback) danych usuniętych przez Użytkownika w trakcie normalnego korzystania z Platformy ani po złożeniu dyspozycji usunięcia Konta. Użytkownik jest zobowiązany do samodzielnego tworzenia kopii zapasowych kluczowych danych przed usunięciem Konta.


§ 7. Prawa osób, których dane dotyczą

1. Na podstawie RODO każdemu Użytkownikowi przysługują następujące prawa w odniesieniu do jego danych osobowych:

  • Prawo dostępu (art. 15 RODO) – prawo do uzyskania informacji o przetwarzanych danych i ich kopii.
  • Prawo do sprostowania (art. 16 RODO) – prawo do żądania poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
  • Prawo do usunięcia danych (art. 17 RODO) – prawo do żądania usunięcia danych („prawo do bycia zapomnianym"), z zastrzeżeniem przypadków, gdy dalsze przetwarzanie jest wymagane przepisami prawa.
  • Prawo do ograniczenia przetwarzania (art. 18 RODO) – prawo do żądania ograniczenia przetwarzania danych w określonych przypadkach.
  • Prawo do przenoszenia danych (art. 20 RODO) – prawo do otrzymania swoich danych w ustrukturyzowanym formacie nadającym się do odczytu maszynowego.
  • Prawo do sprzeciwu (art. 21 RODO) – prawo do wniesienia sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratorów.
  • Prawo do cofnięcia zgody – w zakresie, w jakim przetwarzanie odbywa się na podstawie zgody; cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.
  • Prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, w przypadku uznania, że przetwarzanie danych narusza przepisy RODO.

2. Wnioski dotyczące realizacji praw należy kierować na adres e-mail: [EMAIL KONTAKTOWY] lub pisemnie na adres siedziby jednego z Administratorów. Administratorzy odpowiedzą na wniosek bez zbędnej zwłoki, nie później niż w terminie 30 dni od jego otrzymania (z możliwością przedłużenia o kolejne 2 miesiące w przypadku skomplikowanych lub licznych wniosków, o czym Użytkownik zostanie poinformowany).


§ 8. Pliki cookies i pamięć lokalna przeglądarki

1. Platforma Agrai w celu prawidłowego świadczenia usługi drogą elektroniczną korzysta z następujących mechanizmów przechowywania danych po stronie przeglądarki Użytkownika:

  • Local Storage – przechowuje m.in.: token uwierzytelniający sesję (kodopol_api_token), pamięć podręczną widgetów interfejsu, szkice niezapisanych formularzy (funkcja ochrony przed utratą danych), preferencje interfejsu użytkownika (np. układ paneli).
  • Session Storage – przechowuje m.in. status kontroli weryfikacji rejestracji (pending_verification).

2. Wskazane dane mają charakter ściśle niezbędny (essential) dla świadczenia usługi drogą elektroniczną – umożliwiają utrzymanie sesji logowania oraz zabezpieczają przed utratą wprowadzanych przez Użytkownika danych. Ich stosowanie nie wymaga odrębnej zgody marketingowej Użytkownika, jednak Użytkownik jest o tym fakcie informowany niniejszą Polityką Prywatności zgodnie z art. 173 ustawy Prawo telekomunikacyjne.

3. Platforma korzysta z usługi reCAPTCHA v3 dostarczanej przez Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) w celu ochrony przed automatycznymi atakami i nadużyciami (antifraud). Mechanizm reCAPTCHA analizuje wzorce zachowań Użytkownika w przeglądarce i przekazuje wyniki tej analizy do Google. Korzystanie z reCAPTCHA wiąże się z profilowaniem ruchu przez Google zgodnie z polityką prywatności Google dostępną pod adresem: https://policies.google.com/privacy.

4. Platforma może korzystać z plików cookies sesyjnych niezbędnych do obsługi uwierzytelnienia zewnętrznego (Google OAuth). Szczegółowe informacje o plikach cookies stosowanych przez Google dostępne są w polityce prywatności Google.

5. Użytkownik może zarządzać ustawieniami przechowywania danych w przeglądarce za pomocą jej ustawień. Wyłączenie lub usunięcie danych z Local Storage lub Session Storage może uniemożliwić prawidłowe korzystanie z Platformy (w szczególności może skutkować wylogowaniem i utratą niezapisanych szkiców formularzy).


§ 9. Logowanie zewnętrzne i bezpieczeństwo danych uwierzytelniających

1. Platforma obsługuje uwierzytelnianie za pośrednictwem zewnętrznych dostawców tożsamości (Google OAuth). Decydując się na logowanie zewnętrzne, Użytkownik potwierdza zapoznanie się z regulaminem i polityką prywatności odpowiedniego dostawcy.

2. Użytkownik ponosi pełną odpowiedzialność za zachowanie w poufności danych dostępowych (login, hasło, token sesyjny kodopol_api_token) oraz za bezpieczeństwo konta u zewnętrznego dostawcy tożsamości.

3. Administratorzy nie ponoszą odpowiedzialności za nieautoryzowany dostęp do Danych Agrotechnicznych wynikający z przejęcia tokenu JWT z przeglądarki Użytkownika, zainfekowania urządzenia złośliwym oprogramowaniem lub wycieku danych logowania po stronie podmiotów trzecich.


§ 10. Przetwarzanie Danych Agrotechnicznych – charakter powierzenia

1. Dane dotyczące prowadzenia gospodarstwa rolnego wprowadzane przez Użytkownika do Platformy (Dane Agrotechniczne), w tym dane identyfikacyjne gospodarstwa (PESEL, NIP, REGON, numer producenta ARiMR), dane geolokalizacyjne, dane o uprawach, stanie stada, zabiegach weterynaryjnych, parku maszynowym i danych finansowych, stanowią dane poufne Użytkownika.

2. W zakresie, w jakim Dane Agrotechniczne zawierają dane osobowe osób trzecich (np. pracowników gospodarstwa), Użytkownik działa jako administrator tych danych, a Administratorzy platformy Agrai przetwarzają je jako podmiot przetwarzający na podstawie odrębnej Umowy Powierzenia Przetwarzania Danych Osobowych (DPA), stanowiącej Załącznik nr 2 do Regulaminu.

3. Administratorzy zobowiązują się do nieudostępniania Danych Agrotechnicznych podmiotom trzecim bez zgody Użytkownika, z wyłączeniem sytuacji wymaganych przez bezwzględnie obowiązujące przepisy prawa lub prawomocne decyzje organów ścigania i organów administracji publicznej.

4. Wprowadzając dane do Platformy, Użytkownik oświadcza, że posiada pełne prawo do rozporządzania tymi danymi i ich cyfrowego przetwarzania, a ich przechowywanie w systemie nie narusza tajemnic handlowych osób trzecich ani przepisów o ochronie własności przemysłowej.


§ 11. Bezpieczeństwo danych

1. Administratorzy stosują odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony danych osobowych przed nieuprawnionym dostępem, ujawnieniem, zmianą lub zniszczeniem, w szczególności:

  • szyfrowanie transmisji danych (protokół HTTPS/TLS),
  • kontrolę dostępu i uwierzytelnienie oparte na tokenach JWT,
  • wewnętrzne logowanie zdarzeń systemowych w celach bezpieczeństwa i stabilności infrastruktury,
  • mechanizmy antifraud (reCAPTCHA v3),
  • procedury reagowania na incydenty bezpieczeństwa.

2. W przypadku naruszenia ochrony danych osobowych mogącego powodować ryzyko naruszenia praw lub wolności Użytkowników, Administratorzy poinformują właściwy organ nadzorczy (UODO) oraz – jeżeli naruszenie może powodować wysokie ryzyko – bezpośrednio zainteresowanych Użytkowników, w terminach i trybie przewidzianym w art. 33–34 RODO.


§ 12. Podmioty przetwarzające – powierzenie danych

1. W związku ze świadczeniem usług Administratorzy korzystają z podmiotów przetwarzających dane w ich imieniu, z którymi zawarli stosowne umowy powierzenia przetwarzania danych osobowych (lub posiadają inne mechanizmy zgodności z RODO), w szczególności:

  • dostawców usług hostingowych i infrastruktury chmurowej,
  • dostawców narzędzi do obsługi korespondencji e-mail i wsparcia technicznego.

2. Aktualną listę podmiotów przetwarzających udostępnia się Użytkownikowi na żądanie, kierowane na adres e-mail Administratorów.


§ 13. Zautomatyzowane podejmowanie decyzji i profilowanie

1. Platforma Agrai nie stosuje w stosunku do Użytkowników zautomatyzowanego podejmowania decyzji, w tym profilowania, wywołującego skutki prawne lub w podobny sposób istotnie wpływającego na Użytkownika, w rozumieniu art. 22 RODO.

2. Algorytmy kalkulacyjne, prognozy i wyniki analizy danych dostępne w Platformie (w tym kalkulatory agrotechniczne, prognozy pogody, mapy cen) mają wyłącznie charakter pomocniczy i informacyjny – ostateczne decyzje zawsze podejmuje Użytkownik.

3. Usługa reCAPTCHA v3 dokonuje analizy zachowań w przeglądarce w celu wykrywania automatycznych botów, co stanowi profilowanie na potrzeby bezpieczeństwa systemu prowadzone przez Google LLC zgodnie z jej polityką prywatności.


§ 14. Dane dzieci

1. Platforma Agrai jest przeznaczona wyłącznie dla osób pełnoletnich lub osób, które ukończyły 16. rok życia i posiadają zgodę rodziców lub opiekunów prawnych.

2. Administratorzy nie zbierają świadomie danych osobowych dzieci poniżej 16. roku życia. W przypadku uzyskania informacji, że dane takie zostały zebrane bez wymaganej zgody, zostaną one niezwłocznie usunięte.


§ 15. Zmiany Polityki Prywatności

1. Administratorzy zastrzegają sobie prawo do zmiany niniejszej Polityki Prywatności z ważnych przyczyn, w szczególności w przypadku zmian przepisów prawa, zmian zakresu przetwarzanych danych lub zmian stosowanych technologii.

2. O zmianie Polityki Prywatności Użytkownicy zostaną poinformowani z wyprzedzeniem co najmniej 14 dni przed dniem wejścia w życie zmian, za pośrednictwem systemu powiadomień Platformy lub wiadomości e-mail na adres podany przy rejestracji.

3. Dalsze korzystanie z Platformy po wejściu w życie zmienionej Polityki Prywatności jest równoznaczne z jej akceptacją.


§ 16. Kontakt w sprawach ochrony danych

1. We wszelkich sprawach dotyczących ochrony danych osobowych, realizacji praw podmiotów danych lub niniejszej Polityki Prywatności prosimy o kontakt:

  • E-mail: [EMAIL KONTAKTOWY]
  • Adres korespondencyjny: [ADRES ADMINISTRATORA]

2. Użytkownikowi przysługuje prawo wniesienia skargi do organu nadzorczego właściwego dla jego miejsca zamieszkania lub miejsca popełnienia domniemanego naruszenia. W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl.


Niniejsza Polityka Prywatności została sporządzona przez KODOPOL sp. z o.o. oraz M-TECH SOLUTIONS sp. z o.o. i wchodzi w życie z dniem [DATA]. Stanowi Załącznik nr 1 do Regulaminu świadczenia usług drogą elektroniczną platformy Agrai.