Polityka prywatności kukla.tech sp. z o.o. (HotelB2B i KiedyNabory.pl)
Niniejsza polityka prywatności obowiązuje dla wszystkich marek i platform prowadzonych przez kukla.tech sp. z o.o., w tym serwisów KiedyNabory.pl i HotelB2B (grupy.hotel-jawor.pl). Administratorem danych we wszystkich tych serwisach jest jedna i ta sama spółka opisana poniżej.
1. Administrator danych osobowych
kukla.tech sp. z o.o. Adres: Zawoja 1847, 34-222 Zawoja NIP: 5521724915 KRS: 0000792372
Kontakt w sprawach prywatności i ochrony danych osobowych: E-mail: privacy@kukla.tech
Administrator przetwarza dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).
2. Kategorie przetwarzanych danych
W zależności od sposobu korzystania z naszych usług możemy przetwarzać następujące kategorie danych:
Dane identyfikacyjne i kontaktowe:
- adres e-mail, imię i nazwisko, nazwa firmy, NIP
Dane dostępowe i bezpieczeństwa:
- skrót hasła (bcrypt), tokeny uwierzytelniające (JWT), adresy IP, daty i godziny logowania
Dane rozliczeniowe:
- dane do fakturowania (NIP, adres, nazwa firmy), historia płatności, dane powiązane ze Stripe
Dane analityczne i techniczne:
- dane sesji (session replay z maskowanymi polami formularzy w Microsoft Clarity), zdarzenia kliknięć, nagrania sesji z zakrytymi danymi formularzy
Dane zgód:
- timestamp i wersja akceptacji regulaminu oraz polityki prywatności, identyfikator sesji (UUID) dla cookie consent, wybrane kategorie cookies (niezbędne / analityczne / marketingowe), metoda wyrażenia zgody
Dane scrapowane ze źródeł publicznych (Art. 14 RODO):
- informacje o naborach grantów PSF/BUR/PUP/WUP, w tym służbowe dane kontaktowe koordynatorów operatorów grantów podawane publicznie na stronach instytucji (szczegóły w sekcji 8)
3. Cele i podstawy prawne przetwarzania
| Cel przetwarzania | Podstawa prawna |
|---|---|
| Świadczenie usług SaaS (rejestracja, uwierzytelnianie, obsługa konta) | Art. 6 ust. 1 lit. b RODO — wykonanie umowy |
| Billing i fakturowanie | Art. 6 ust. 1 lit. b RODO — wykonanie umowy; Art. 6 ust. 1 lit. c RODO — obowiązek prawny (przepisy podatkowe) |
| Bezpieczeństwo serwisu (rate limiting, audit log) | Art. 6 ust. 1 lit. f RODO — uzasadniony interes administratora |
| Analiza skuteczności emaili alertowych (click/open tracking) | Art. 6 ust. 1 lit. f RODO — uzasadniony interes administratora |
| Cookies analityczne (Microsoft Clarity, Google Analytics) | Art. 6 ust. 1 lit. a RODO — zgoda użytkownika |
| Cookies marketingowe (Meta Pixel, GTM advertising) | Art. 6 ust. 1 lit. a RODO — zgoda użytkownika |
| Agregacja informacji o naborach grantów (scraping publicznych stron) | Art. 6 ust. 1 lit. f RODO — uzasadniony interes: dostarczanie aktualnych informacji o programach grantowych beneficjentom |
| Przetwarzanie LLM (analiza treści naborów przez OpenAI) | Art. 6 ust. 1 lit. f RODO — uzasadniony interes: automatyczna kategoryzacja i ekstrakcja danych o naborach |
| Archiwizacja operacji administracyjnych (audit log usunięcia kont) | Art. 6 ust. 1 lit. f RODO — uzasadniony interes: accountability i defense przed roszczeniami; Art. 6 ust. 1 lit. c RODO — rozliczalność (Art. 30 RODO) |
| Dowód wyrażenia zgody umownej (akceptacja regulaminu i polityki) | Art. 6 ust. 1 lit. b RODO — wykonanie umowy; Art. 7 ust. 1 RODO — możliwość wykazania zgody |
4. Podmioty przetwarzające (Art. 28 RODO) i transfery transgraniczne
Korzystamy z następujących podmiotów przetwarzających dane w naszym imieniu. Dane osobowe użytkowników mogą być przekazywane do państw trzecich (poza EOG) wyłącznie z zachowaniem odpowiednich zabezpieczeń prawnych.
| Podmiot przetwarzający | Lokalizacja | Mechanizm transferu | Cel | Kategorie danych | Okres retencji |
|---|---|---|---|---|---|
| Microsoft Clarity | USA | Standardowe klauzule umowne (SCC) | Analytics: heatmapy, session recordings z maskowaniem pól formularzy | Dane sesji, kliknięcia, zdarzenia UX (bez treści pól formularzy) | 1 rok (domyślne ustawienie Clarity) |
| Google Analytics / Google Tag Manager | USA | Decyzja adekwatności DPF (EU-US Data Privacy Framework, 2023) | Analytics: analiza ruchu, tagi marketingowe | Dane sesji, strony odwiedzone, zdarzenia konwersji | 14 miesięcy (domyślne GA4) |
| Meta Pixel / Conversions API (CAPI) | USA | Decyzja adekwatności DPF (EU-US Data Privacy Framework, 2023) | Marketing: śledzenie konwersji, retargeting | Zdarzenia konwersji, identyfikatory kampanii | Zgodnie z Meta Data Policy (max ok. 2 lata) |
| Stripe | USA | Standardowe klauzule umowne (SCC) | Przetwarzanie płatności, subskrypcje | Dane rozliczeniowe, e-mail, historia transakcji | Zgodnie z Stripe Data Policy (wymogi PCI-DSS i podatkowe) |
| OpenAI | USA | Decyzja adekwatności DPF (EU-US Data Privacy Framework, 2023) | Przetwarzanie LLM: analiza i kategoryzacja treści naborów grantów | Treść artykułów o naborach, prompty analityczne (surowy tekst scrapowanych stron) | 7 dni — CRON llm-prompt-retention-purge usuwa dane z tabeli grants_analysis_results.llm_prompt |
| Sentry | Niemcy (EOG) | Brak (dane pozostają w EOG) | Error tracking, monitoring wydajności aplikacji | Logi błędów, stack traces (bez PII formularzy — maskowanie Sentry konfigurowane) | 30 dni |
| Fakturownia | Polska | Brak (dane pozostają w Polsce) | Wystawianie faktur, integracja z KSeF | Dane identyfikacyjne i adresowe do faktury (NIP, nazwa firmy, adres) | 5 lat (wymogi podatkowe — Ordynacja Podatkowa Art. 86) |
Uwagi:
- EU-US Data Privacy Framework (DPF) — decyzja adekwatności Komisji Europejskiej z 10 lipca 2023 r. zastąpiła Privacy Shield. Podmioty certyfikowane w DPF objęte są adekwatnym poziomem ochrony.
- Standardowe klauzule umowne (SCC) — zatwierdzony mechanizm transferu na mocy Art. 46 ust. 2 lit. c RODO (decyzja Komisji 2021/914).
- Użytkownik ma prawo żądania listy aktualnych podmiotów przetwarzających — kontakt: privacy@kukla.tech.
5. Okresy retencji danych
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane konta użytkownika (e-mail, hasło, dane logowania) | Dożywotnio dla aktywnych kont; kasowane na żądanie zgodnie z Art. 17 RODO |
| Dane do fakturowania i historia płatności | 5 lat od wystawienia faktury (wymogi podatkowe) |
| Audit log subskrypcji i operacji administracyjnych | 7 lat (wymogi KSeF, podatkowe i accountability RODO Art. 30) |
| Archiwum usuniętych kont (snapshot) | 30 dni (max 90 dni); po tym czasie snapshot zerowany, wpis z metadanymi pozostaje |
| Dane analityczne (tracking emaili: IP, User-Agent) | 90 dni, po czym anonimizowane |
| Consent cookies (cookie_consents) | 12 miesięcy od ostatniej akceptacji; automatyczny CRON usuwa wygasłe rekordy |
| Prompty LLM (llm_prompt) | 7 dni — CRON llm-prompt-retention-purge |
| Dane sesji Clarity (Microsoft Clarity) | 1 rok |
| Dane GA4 | 14 miesięcy |
6. Prawa podmiotów danych (Art. 15–22 RODO)
Przysługują Państwu następujące prawa w zakresie przetwarzania danych osobowych:
Art. 15 — Prawo dostępu: Mają Państwo prawo uzyskania potwierdzenia, czy przetwarzamy Państwa dane, oraz kopii tych danych.
Art. 16 — Prawo do sprostowania: Mają Państwo prawo żądania poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych. Dane konta można poprawić samodzielnie w ustawieniach profilu.
Art. 17 — Prawo do usunięcia ("prawo do bycia zapomnianym"): Mają Państwo prawo żądania usunięcia danych osobowych, gdy: (a) dane nie są już niezbędne do celów, w których zostały zebrane; (b) cofnęli Państwo zgodę (jeśli przetwarzanie opierało się na zgodzie); (c) wniesiono sprzeciw wobec przetwarzania i nie istnieją nadrzędne prawnie uzasadnione podstawy; (d) dane były przetwarzane niezgodnie z prawem. Prawo to nie ma zastosowania, gdy przetwarzanie jest niezbędne do wywiązania się z obowiązku prawnego lub do ustalenia, dochodzenia lub obrony roszczeń.
Art. 18 — Prawo do ograniczenia przetwarzania: Mają Państwo prawo żądania ograniczenia przetwarzania danych w określonych przypadkach (np. w czasie weryfikacji prawidłowości danych).
Art. 20 — Prawo do przenoszenia danych: Mają Państwo prawo otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (dotyczy danych przetwarzanych na podstawie zgody lub umowy w sposób zautomatyzowany).
Art. 21 — Prawo do sprzeciwu: Mają Państwo prawo wniesienia sprzeciwu wobec przetwarzania opartego na Art. 6 ust. 1 lit. f RODO (uzasadniony interes). Administrator zaprzestanie przetwarzania, chyba że istnieją ważne prawnie uzasadnione podstawy nadrzędne wobec interesów osoby lub podstawy ustalenia, dochodzenia lub obrony roszczeń.
Art. 22 — Prawo do niepodlegania wyłącznie zautomatyzowanemu przetwarzaniu: Szczegóły dotyczące profilowania AI opisane są w sekcji 9 niniejszej polityki.
Art. 77 — Prawo do skargi do organu nadzorczego: Mają Państwo prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, e-mail: kancelaria@uodo.gov.pl.
Procedura wykonania praw: Żądania należy kierować na adres: privacy@kukla.tech. Administrator odpowie bez zbędnej zwłoki, nie później niż w ciągu 1 miesiąca od otrzymania żądania (Art. 12 ust. 3 RODO). W razie skomplikowania lub dużej liczby żądań termin może zostać przedłużony o kolejne 2 miesiące — o takim przedłużeniu poinformujemy.
7. Bezpieczeństwo danych
Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych:
- Szyfrowanie haseł algorytmem bcrypt
- Uwierzytelnianie JWT z kontrolą ważności tokenów
- Rate limiting żądań API
- Immutable audit log (brak możliwości modyfikacji wpisów po zapisaniu — ADR-026)
- Redakcja danych wrażliwych (hasła, klucze API, tokeny) w logach i exportach
- Maskowanie danych formularzy w narzędziach session replay (Microsoft Clarity: "Mask By Default")
- Izolacja danych wielodomenowych (multi-tenant architecture)
- Szyfrowane połączenia (TLS/HTTPS)
8. Dane ze źródeł publicznych — klauzula informacyjna Art. 14 RODO
Platforma KiedyNabory.pl agreguje publicznie dostępne informacje o naborach grantów ze stron internetowych operatorów programów PSF, BUR, PUP i WUP. Dane te obejmują informacje o programach finansowania, terminach, kwotach i warunkach naboru.
W procesie scrapingu i analizy treści mogą znaleźć się służbowe dane kontaktowe koordynatorów i pracowników instytucji (imię i nazwisko, służbowy adres e-mail, numer telefonu służbowy), gdy są one podawane publicznie przez instytucje na ich stronach jako dane kontaktowe do programów grantowych.
Administrator informuje zgodnie z Art. 14 RODO:
- Źródło danych: publiczne strony internetowe operatorów PSF/BUR/PUP/WUP (instytucje publiczne, agencje rządowe, organizacje pozarządowe realizujące programy finansowane ze środków publicznych).
- Cel przetwarzania: zapewnienie użytkownikom platformy aktualnych informacji o dostępnych naborach grantów; automatyczna kategoryzacja i ekstrakcja danych (LLM).
- Podstawa prawna: Art. 6 ust. 1 lit. f RODO — uzasadniony interes administratora i użytkowników platformy w dostępie do informacji o finansowaniu publicznym.
- Kategorie danych: wyłącznie służbowe dane kontaktowe (imię, nazwisko, służbowy e-mail, telefon służbowy) — gdy dostępne publicznie i powiązane z pełnioną funkcją zawodową, a nie sferą prywatną.
- Retencja: dane przechowywane jako część treści artykułów o naborach; surowe prompty LLM kasowane po 7 dniach (CRON).
- Prawa: osoby, których dane dotyczą, mają prawo wniesienia sprzeciwu wobec przetwarzania (Art. 21 RODO) lub żądania usunięcia danych (Art. 17 RODO). Żądania należy kierować na: privacy@kukla.tech.
Dane osobowe koordynatorów nie są udostępniane użytkownikom końcowym platformy — są przetwarzane wyłącznie przez systemy LLM do celów kategoryzacji i nie są wyświetlane w interfejsie użytkownika.
9. Profilowanie i zautomatyzowane przetwarzanie (Art. 22 RODO)
Platforma KiedyNabory.pl wykorzystuje modele językowe (LLM — OpenAI) do automatycznej analizy treści artykułów o naborach grantów. Proces obejmuje:
- Ekstrakcję ustrukturyzowanych danych z treści ogłoszeń (numer naboru, daty, kwoty, grupy docelowe, typy projektów)
- Kategoryzację naborów według programów i działań
- Generowanie alertów dla użytkowników na podstawie ustawionych przez nich filtrów
Charakter zautomatyzowanego przetwarzania: Przetwarzanie LLM dotyczy treści artykułów o naborach — nie dotyczy profilowania zachowań lub preferencji użytkowników końcowych. System nie buduje profili psychograficznych ani behawioralnych użytkowników. Decyzja o wysyłce alertu wynika z prostej konfigurowalnej przez użytkownika filtracji (typy programów, województwa), a nie z wnioskowania o preferencjach.
W zakresie konfiguracji alertów nie stosujemy zautomatyzowanego podejmowania decyzji wywołującego skutki prawne wobec użytkowników, o którym mowa w Art. 22 ust. 1 RODO.
Podmiot przetwarzający LLM: OpenAI (USA, DPF). Prompty i treść artykułów przekazywana do OpenAI API podlega polityce prywatności i warunkom DPA OpenAI. Dane przesyłane do OpenAI nie są używane do trenowania modeli (zgodnie z API terms of service). Prompty kasowane lokalnie po 7 dniach.
10. Cookies i śledzenie
Korzystamy z plików cookies i podobnych technologii. Szczegółowe informacje o kategoriach cookies i zarządzaniu zgodą dostępne są po kliknięciu przycisku "Ustawienia cookies" na pasku cookie banner.
Kategorie cookies:
| Kategoria | Zawsze aktywna | Narzędzia | Podstawa |
|---|---|---|---|
| Niezbędne | Tak | Sesja, CSRF, uwierzytelnianie JWT | Art. 6 ust. 1 lit. b RODO (umowa) |
| Analityczne | Opcjonalne (zgoda) | Microsoft Clarity, Google Analytics | Art. 6 ust. 1 lit. a RODO (zgoda) |
| Marketingowe | Opcjonalne (zgoda) | Meta Pixel, Google Tag Manager (reklamy) | Art. 6 ust. 1 lit. a RODO (zgoda) |
Przed wyrażeniem zgody żaden skrypt analityczny ani marketingowy nie jest ładowany — brak żadnych żądań sieciowych do googletagmanager.com, clarity.ms ani connect.facebook.net. Skrypty ładowane są wyłącznie po jawnym wyborze przez użytkownika.
Wybór cookie consent jest persystowany na 12 miesięcy. Preferencje można zmienić w każdej chwili przez link "Ustawienia cookies" w stopce strony.
11. Inspektor Ochrony Danych (IOD)
Administrator nie wyznaczył Inspektora Ochrony Danych (IOD/DPO) na mocy Art. 37 RODO.
Decyzja oparta jest na analizie trzech przesłanek obligatoryjnych z Art. 37 ust. 1 RODO:
- (a) administrator nie jest podmiotem publicznym,
- (b) główna działalność (SaaS dla MŚP) nie polega na regularnym i systematycznym monitorowaniu osób na dużą skalę w rozumieniu wytycznych EROD 2/2017 (WP 243 rev.01),
- (c) administrator nie przetwarza szczególnych kategorii danych (Art. 9 RODO) ani danych karnych (Art. 10 RODO) na dużą skalę.
Szczegółowe uzasadnienie dostępne jest w wewnętrznej notatce administratora: Decyzja o niepowołaniu IOD — 2026-05-20.
Funkcję nadzoru nad zgodnością z RODO pełni osobiście Prezes Zarządu (Michał Kukla). Kontakt w sprawach ochrony danych: privacy@kukla.tech.
Decyzja podlega rewizji corocznie lub w razie istotnej zmiany skali lub charakteru przetwarzania.
12. Kontakt i zmiany polityki
Kontakt: W sprawach dotyczących ochrony danych osobowych, realizacji praw podmiotów danych oraz wszelkich pytań dotyczących niniejszej polityki należy kontaktować się:
E-mail: privacy@kukla.tech
Zmiany polityki: Administrator zastrzega sobie prawo do zmiany niniejszej polityki prywatności. O istotnych zmianach poinformujemy użytkowników za pośrednictwem poczty elektronicznej lub stosownego komunikatu w serwisie. Aktualna wersja polityki dostępna jest zawsze pod adresem https://kiedynabory.pl/polityka-prywatnosci.
Wersja niniejszego dokumentu: 2026-05-20 Data ostatniej aktualizacji: 20 maja 2026 r.