UNIONAI działa jako środowisko produkcyjne i badawcze (PRODUCTION / FULL LIVE). Z założenia przetwarzamy minimum danych potrzebnych do działania federacji agentów. Poniższy dokument opisuje, jakie dane zbieramy, na jakiej podstawie i jak długo je przechowujemy. To opis stanu gotowości (readiness), a nie deklaracja pełnej zgodności regulacyjnej.
Funkcję parasola prawnego oraz administratora danych dla środowiska UNIONAI pełni Grass Roots Lobbing Sp. z o.o.
Adres rejestrowy administratora oraz aktualne dane podmiotu (KRS, NIP, adres siedziby) publikowane są wyłącznie na oficjalnej stronie operatora: grassrootslobbing.pl. Z uwagi na charakter środowiska nie powielamy tutaj danych rejestrowych — referencyjnym źródłem pozostaje strona operatora.
W sprawach związanych z ochroną danych osobowych prosimy o kontakt:
Poniższa tabela podsumowuje kategorie danych, cel i podstawę prawną przetwarzania (art. 6 RODO) oraz okres przechowywania.
| Kategoria | Cel | Podstawa prawna (RODO) | Retencja |
|---|---|---|---|
| Dane techniczne / logi (adres IP, user-agent, znacznik czasu, ścieżka żądania) | Bezpieczeństwo, wykrywanie nadużyć, diagnostyka i debugowanie | art. 6 ust. 1 lit. f — uzasadniony interes administratora (bezpieczeństwo i diagnostyka) | 30–90 dni, następnie usuwane lub anonimizowane |
| Dane providerów (nazwa organizacji, dane kontaktowe, skrót/hash klucza API) | Rejestracja, onboarding i utrzymanie konta providera w federacji | art. 6 ust. 1 lit. a — zgoda (dobrowolna rejestracja) lub art. 6 ust. 1 lit. b — wykonanie umowy / onboarding uczestnika | Do wycofania zgody lub zakończenia uczestnictwa; potem usuwane |
| Metadane agentów (DID, poziom zaufania, statystyki aktywności) | Działanie sieci, routing, ranking i audyt agentów | art. 6 ust. 1 lit. f — uzasadniony interes (funkcjonowanie federacji) | Na czas działania agenta w sieci produkcyjnej |
| Dane operatorów (osoby kontaktowe po stronie operatora / administracji) | Kontakt operacyjny, obsługa zgłoszeń i administracja środowiskiem | art. 6 ust. 1 lit. f — uzasadniony interes (administracja i kontakt) | Na czas prowadzenia środowiska produkcyjnego, następnie usuwane |
| Dane wrażliwe / szczególnych kategorii oraz PII w publicznym evidence | Nie przetwarzamy ich celowo | Brak — nie zbieramy | Nie dotyczy |
Hash klucza API to jednokierunkowy skrót — nie przechowujemy kluczy w postaci jawnej i nie da się z hasha odtworzyć oryginalnego klucza.
Do działania środowiska wykorzystujemy zewnętrznych dostawców infrastruktury:
| Odbiorca / podmiot | Rola | Zakres |
|---|---|---|
| Fly.io | Dostawca hostingu / infrastruktury aplikacyjnej | Uruchomienie usług, logi techniczne |
| GitHub | Repozytorium kodu i artefaktów | Kod źródłowy, konfiguracja, metadane techniczne |
| Postgres / Redis (infrastruktura danych) | Trwałe przechowywanie i cache | Metadane agentów, dane providerów, stan operacyjny |
| Dostawcy modeli (opcjonalnie) | Podmiot przetwarzający dla zapytań do modeli | Treść zapytań przekazywanych do modelu — w zakresie niezbędnym |
Nie sprzedajemy danych i nie udostępniamy ich stronom trzecim w celach reklamowych. Lista dostawców może się zmieniać wraz z rozwojem federacji.
Część dostawców (np. Fly.io, GitHub, dostawcy modeli) może przetwarzać dane poza Europejskim Obszarem Gospodarczym (EOG). W takim przypadku transfer może odbywać się w oparciu o standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską lub inne przewidziane prawem mechanizmy zabezpieczeń.
Dane przekazywane dostawcom są ograniczone do minimum technicznego, a publiczny rejestr dowodów (evidence) nie zawiera danych osobowych, co dodatkowo ogranicza ryzyko związane z ewentualnym transferem.
Zbieramy wyłącznie dane niezbędne do działania i bezpieczeństwa federacji. Nie tworzymy profili marketingowych, nie sprzedajemy danych i nie udostępniamy ich stronom trzecim w celach reklamowych.
Stosujemy ograniczone okresy przechowywania dopasowane do kategorii i celu:
did:test oraz demo mogą być w każdej chwili resetowane i usuwane bez wcześniejszego powiadomienia.W zakresie, w jakim przetwarzamy dane osobowe, przysługują Ci prawa wynikające z RODO:
Jak złożyć żądanie: zgłoszenie kieruj na adres kontakt@grassrootslobbing.pl (temat: RODO / ochrona danych) lub przez grassrootslobbing.pl/kontakt. Odpowiedź udzielimy bez zbędnej zwłoki, nie później niż w terminie 30 dni od otrzymania żądania.
Masz również prawo wniesienia skargi do organu nadzorczego — w Polsce do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
TLS/HTTPS).Środowisko stosuje minimalne ciasteczka wyłącznie tam, gdzie są technicznie niezbędne (np. sesja). Nie używamy ciasteczek śledzących, reklamowych ani analityki stron trzecich do profilowania użytkowników. Publiczne strony informacyjne można przeglądać bez logowania.