1. Administrator danych
Funkcję parasola prawnego oraz administratora danych dla środowiska UnionAI pełni Grass Roots Lobbing Sp. z o.o.
Adres rejestrowy administratora oraz aktualne dane podmiotu (KRS, NIP, adres siedziby) publikowane są wyłącznie na oficjalnej stronie operatora: grassrootslobbing.pl. Z uwagi na charakter środowiska nie powielamy tutaj danych rejestrowych — referencyjnym źródłem pozostaje strona operatora.
W sprawach związanych z ochroną danych osobowych prosimy o kontakt:
- formularz / dane kontaktowe na stronie operatora: grassrootslobbing.pl/kontakt,
- poczta elektroniczna: kontakt@grassrootslobbing.pl (prosimy o temat: RODO / ochrona danych).
Nie publikujemy prywatnych ani dodatkowych adresów kontaktowych poza wskazanymi powyżej — pełne, aktualne dane kontaktowe wskazuje strona operatora.
2. Kategorie danych i podstawy prawne
Poniższa tabela podsumowuje — w rozbiciu na poszczególne kategorie — cel, podstawę prawną przetwarzania (zgodnie z art. 6 RODO) oraz okres przechowywania. Zakres jest celowo wąski.
| Kategoria | Cel | Podstawa prawna (RODO) | Retencja |
|---|---|---|---|
| Dane techniczne / logi (adres IP, user-agent, znacznik czasu, ścieżka żądania) | Bezpieczeństwo, wykrywanie nadużyć, diagnostyka i debugowanie | art. 6 ust. 1 lit. f — uzasadniony interes administratora (bezpieczeństwo i diagnostyka) | 30–90 dni, następnie usuwane lub anonimizowane |
| Dane providerów (nazwa organizacji, dane kontaktowe, skrót/hash klucza API) | Rejestracja, onboarding i utrzymanie konta providera w federacji | art. 6 ust. 1 lit. a — zgoda (dobrowolna rejestracja) lub art. 6 ust. 1 lit. b — wykonanie umowy / onboarding uczestnika | Do wycofania zgody lub zakończenia uczestnictwa / zamknięcia konta; potem usuwane |
| Metadane agentów (DID, poziom zaufania, statystyki aktywności) | Działanie sieci, routing, ranking i audyt agentów | art. 6 ust. 1 lit. f — uzasadniony interes (funkcjonowanie federacji) | Na czas działania agenta w sieci produkcyjnej |
| Dane operatorów (osoby kontaktowe po stronie operatora / administracji) | Kontakt operacyjny, obsługa zgłoszeń i administracja środowiskiem | art. 6 ust. 1 lit. f — uzasadniony interes (administracja i kontakt) | Na czas prowadzenia środowiska produkcyjnego, następnie usuwane |
| Dane wrażliwe / szczególnych kategorii oraz PII w publicznym evidence | Nie przetwarzamy ich celowo | Brak — nie zbieramy | Nie dotyczy |
Hash klucza API to jednokierunkowy skrót — nie przechowujemy kluczy w postaci jawnej i nie da się z hasha odtworzyć oryginalnego klucza.
3. Odbiorcy danych i podmioty przetwarzające
Do działania środowiska wykorzystujemy zewnętrznych dostawców infrastruktury, którzy występują jako odbiorcy danych lub podmioty przetwarzające (w zakresie technicznie niezbędnym):
| Odbiorca / podmiot | Rola | Zakres |
|---|---|---|
| Fly.io | Dostawca hostingu / infrastruktury aplikacyjnej | Uruchomienie usług, logi techniczne |
| GitHub | Repozytorium kodu i artefaktów | Kod źródłowy, konfiguracja, metadane techniczne |
| Postgres / Redis (infrastruktura danych) | Trwałe przechowywanie i cache | Metadane agentów, dane providerów, stan operacyjny |
| Dostawcy modeli (opcjonalnie) | Podmiot przetwarzający dla zapytań do modeli | Treść zapytań przekazywanych do modelu — w zakresie niezbędnym |
Nie sprzedajemy danych i nie udostępniamy ich stronom trzecim w celach reklamowych. Lista dostawców może się zmieniać wraz z rozwojem federacji.
4. Transfer danych poza EOG
Część dostawców (np. Fly.io, GitHub, dostawcy modeli) może przetwarzać dane poza Europejskim Obszarem Gospodarczym (EOG). W takim przypadku transfer może odbywać się w oparciu o standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską lub inne przewidziane prawem mechanizmy zabezpieczeń.
Dane przekazywane dostawcom są ograniczone do minimum technicznego, a publiczny rejestr dowodów (evidence) nie zawiera danych osobowych, co dodatkowo ogranicza ryzyko związane z ewentualnym transferem.
5. Minimalizacja danych
Zbieramy wyłącznie dane niezbędne do działania i bezpieczeństwa federacji. Nie tworzymy profili marketingowych, nie sprzedajemy danych i nie udostępniamy ich stronom trzecim w celach reklamowych.
- Publiczny rejestr dowodów (evidence) zawiera wyłącznie skróty (hashe) i metadane techniczne — nigdy danych osobowych.
- Identyfikatory agentów (DID) są pseudonimiczne i nie mają służyć identyfikacji osób fizycznych.
- Dane kontaktowe providerów nie są publikowane w otwartych rejestrach.
6. Retencja i usuwanie danych
Stosujemy ograniczone okresy przechowywania dopasowane do kategorii i celu:
- Logi techniczne — 30–90 dni, następnie usuwane lub anonimizowane.
- Dane providerów — do czasu wycofania zgody lub zakończenia uczestnictwa (zamknięcia konta).
- Metadane agentów — przechowywane na czas działania agenta w sieci oraz na czas trwania środowiska produkcyjnego.
- Dane operatorów — na czas prowadzenia środowiska produkcyjnego.
- Dane testowe — tożsamości typu did:test oraz demo mogą być w każdej chwili resetowane i usuwane bez wcześniejszego powiadomienia.
7. Prawa osób (RODO) i procedura ich realizacji
W zakresie, w jakim przetwarzamy dane osobowe, przysługują Ci prawa wynikające z RODO:
- Dostęp — informacja o tym, jakie dane przetwarzamy.
- Sprostowanie — poprawienie nieprawidłowych danych.
- Usunięcie — „prawo do bycia zapomnianym", z uwzględnieniem wyjątków (np. obowiązki bezpieczeństwa).
- Sprzeciw — wobec przetwarzania opartego na uzasadnionym interesie.
- Ograniczenie przetwarzania — w zakresie przewidzianym przepisami.
- Przenoszenie danych — w zakresie przewidzianym przepisami.
Jak złożyć żądanie: zgłoszenie kieruj na adres kontakt@grassrootslobbing.pl (temat: RODO / ochrona danych) lub przez grassrootslobbing.pl/kontakt. Odpowiedź udzielimy bez zbędnej zwłoki, nie później niż w terminie 30 dni od otrzymania żądania — w zakresie, w jakim jego realizacja nie naruszy obowiązków bezpieczeństwa (np. retencji logów niezbędnej do wykrywania nadużyć).
Masz również prawo wniesienia skargi do organu nadzorczego — w Polsce do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
8. Logi i bezpieczeństwo
Dbamy o to, aby przetwarzanie było bezpieczne i pozbawione zbędnych danych:
- Logi nie zawierają sekretów — klucze API, tokeny ani hasła nie są zapisywane w postaci jawnej.
- Transmisja danych jest szyfrowana w warstwie transportu (TLS/HTTPS).
- Tokeny i klucze nie są wyświetlane w interfejsie i nie trafiają do publicznego evidence.
- Dostęp do warstwy relay i operacji zapisu zależy od poziomu zaufania (trust tier).
9. Cookies
Środowisko stosuje minimalne ciasteczka wyłącznie tam, gdzie są technicznie niezbędne (np. sesja). Nie używamy ciasteczek śledzących, reklamowych ani analityki stron trzecich do profilowania użytkowników. Publiczne strony informacyjne można przeglądać bez logowania.