Polityka prywatności

Data ostatniej aktualizacji: 20 maja 2026 r.

Polityka prywatności kukla.tech sp. z o.o. (HotelB2B i KiedyNabory.pl)

Niniejsza polityka prywatności obowiązuje dla wszystkich marek i platform prowadzonych przez kukla.tech sp. z o.o., w tym serwisów KiedyNabory.pl i HotelB2B (grupy.hotel-jawor.pl). Administratorem danych we wszystkich tych serwisach jest jedna i ta sama spółka opisana poniżej.


1. Administrator danych osobowych

kukla.tech sp. z o.o. Adres: Zawoja 1847, 34-222 Zawoja NIP: 5521724915 KRS: 0000792372

Kontakt w sprawach prywatności i ochrony danych osobowych: E-mail: privacy@kukla.tech

Administrator przetwarza dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).


2. Kategorie przetwarzanych danych

W zależności od sposobu korzystania z naszych usług możemy przetwarzać następujące kategorie danych:

Dane identyfikacyjne i kontaktowe:

  • adres e-mail, imię i nazwisko, nazwa firmy, NIP

Dane dostępowe i bezpieczeństwa:

  • skrót hasła (bcrypt), tokeny uwierzytelniające (JWT), adresy IP, daty i godziny logowania

Dane rozliczeniowe:

  • dane do fakturowania (NIP, adres, nazwa firmy), historia płatności, dane powiązane ze Stripe

Dane analityczne i techniczne:

  • dane sesji (session replay z maskowanymi polami formularzy w Microsoft Clarity), zdarzenia kliknięć, nagrania sesji z zakrytymi danymi formularzy

Dane zgód:

  • timestamp i wersja akceptacji regulaminu oraz polityki prywatności, identyfikator sesji (UUID) dla cookie consent, wybrane kategorie cookies (niezbędne / analityczne / marketingowe), metoda wyrażenia zgody

Dane scrapowane ze źródeł publicznych (Art. 14 RODO):

  • informacje o naborach grantów PSF/BUR/PUP/WUP, w tym służbowe dane kontaktowe koordynatorów operatorów grantów podawane publicznie na stronach instytucji (szczegóły w sekcji 8)

3. Cele i podstawy prawne przetwarzania

Cel przetwarzania Podstawa prawna
Świadczenie usług SaaS (rejestracja, uwierzytelnianie, obsługa konta) Art. 6 ust. 1 lit. b RODO — wykonanie umowy
Billing i fakturowanie Art. 6 ust. 1 lit. b RODO — wykonanie umowy; Art. 6 ust. 1 lit. c RODO — obowiązek prawny (przepisy podatkowe)
Bezpieczeństwo serwisu (rate limiting, audit log) Art. 6 ust. 1 lit. f RODO — uzasadniony interes administratora
Analiza skuteczności emaili alertowych (click/open tracking) Art. 6 ust. 1 lit. f RODO — uzasadniony interes administratora
Cookies analityczne (Microsoft Clarity, Google Analytics) Art. 6 ust. 1 lit. a RODO — zgoda użytkownika
Cookies marketingowe (Meta Pixel, GTM advertising) Art. 6 ust. 1 lit. a RODO — zgoda użytkownika
Agregacja informacji o naborach grantów (scraping publicznych stron) Art. 6 ust. 1 lit. f RODO — uzasadniony interes: dostarczanie aktualnych informacji o programach grantowych beneficjentom
Przetwarzanie LLM (analiza treści naborów przez OpenAI) Art. 6 ust. 1 lit. f RODO — uzasadniony interes: automatyczna kategoryzacja i ekstrakcja danych o naborach
Archiwizacja operacji administracyjnych (audit log usunięcia kont) Art. 6 ust. 1 lit. f RODO — uzasadniony interes: accountability i defense przed roszczeniami; Art. 6 ust. 1 lit. c RODO — rozliczalność (Art. 30 RODO)
Dowód wyrażenia zgody umownej (akceptacja regulaminu i polityki) Art. 6 ust. 1 lit. b RODO — wykonanie umowy; Art. 7 ust. 1 RODO — możliwość wykazania zgody

4. Podmioty przetwarzające (Art. 28 RODO) i transfery transgraniczne

Korzystamy z następujących podmiotów przetwarzających dane w naszym imieniu. Dane osobowe użytkowników mogą być przekazywane do państw trzecich (poza EOG) wyłącznie z zachowaniem odpowiednich zabezpieczeń prawnych.

Podmiot przetwarzający Lokalizacja Mechanizm transferu Cel Kategorie danych Okres retencji
Microsoft Clarity USA Standardowe klauzule umowne (SCC) Analytics: heatmapy, session recordings z maskowaniem pól formularzy Dane sesji, kliknięcia, zdarzenia UX (bez treści pól formularzy) 1 rok (domyślne ustawienie Clarity)
Google Analytics / Google Tag Manager USA Decyzja adekwatności DPF (EU-US Data Privacy Framework, 2023) Analytics: analiza ruchu, tagi marketingowe Dane sesji, strony odwiedzone, zdarzenia konwersji 14 miesięcy (domyślne GA4)
Meta Pixel / Conversions API (CAPI) USA Decyzja adekwatności DPF (EU-US Data Privacy Framework, 2023) Marketing: śledzenie konwersji, retargeting Zdarzenia konwersji, identyfikatory kampanii Zgodnie z Meta Data Policy (max ok. 2 lata)
Stripe USA Standardowe klauzule umowne (SCC) Przetwarzanie płatności, subskrypcje Dane rozliczeniowe, e-mail, historia transakcji Zgodnie z Stripe Data Policy (wymogi PCI-DSS i podatkowe)
OpenAI USA Decyzja adekwatności DPF (EU-US Data Privacy Framework, 2023) Przetwarzanie LLM: analiza i kategoryzacja treści naborów grantów Treść artykułów o naborach, prompty analityczne (surowy tekst scrapowanych stron) 7 dni — CRON llm-prompt-retention-purge usuwa dane z tabeli grants_analysis_results.llm_prompt
Sentry Niemcy (EOG) Brak (dane pozostają w EOG) Error tracking, monitoring wydajności aplikacji Logi błędów, stack traces (bez PII formularzy — maskowanie Sentry konfigurowane) 30 dni
Fakturownia Polska Brak (dane pozostają w Polsce) Wystawianie faktur, integracja z KSeF Dane identyfikacyjne i adresowe do faktury (NIP, nazwa firmy, adres) 5 lat (wymogi podatkowe — Ordynacja Podatkowa Art. 86)

Uwagi:

  • EU-US Data Privacy Framework (DPF) — decyzja adekwatności Komisji Europejskiej z 10 lipca 2023 r. zastąpiła Privacy Shield. Podmioty certyfikowane w DPF objęte są adekwatnym poziomem ochrony.
  • Standardowe klauzule umowne (SCC) — zatwierdzony mechanizm transferu na mocy Art. 46 ust. 2 lit. c RODO (decyzja Komisji 2021/914).
  • Użytkownik ma prawo żądania listy aktualnych podmiotów przetwarzających — kontakt: privacy@kukla.tech.

5. Okresy retencji danych

Kategoria danych Okres przechowywania
Dane konta użytkownika (e-mail, hasło, dane logowania) Dożywotnio dla aktywnych kont; kasowane na żądanie zgodnie z Art. 17 RODO
Dane do fakturowania i historia płatności 5 lat od wystawienia faktury (wymogi podatkowe)
Audit log subskrypcji i operacji administracyjnych 7 lat (wymogi KSeF, podatkowe i accountability RODO Art. 30)
Archiwum usuniętych kont (snapshot) 30 dni (max 90 dni); po tym czasie snapshot zerowany, wpis z metadanymi pozostaje
Dane analityczne (tracking emaili: IP, User-Agent) 90 dni, po czym anonimizowane
Consent cookies (cookie_consents) 12 miesięcy od ostatniej akceptacji; automatyczny CRON usuwa wygasłe rekordy
Prompty LLM (llm_prompt) 7 dni — CRON llm-prompt-retention-purge
Dane sesji Clarity (Microsoft Clarity) 1 rok
Dane GA4 14 miesięcy

6. Prawa podmiotów danych (Art. 15–22 RODO)

Przysługują Państwu następujące prawa w zakresie przetwarzania danych osobowych:

Art. 15 — Prawo dostępu: Mają Państwo prawo uzyskania potwierdzenia, czy przetwarzamy Państwa dane, oraz kopii tych danych.

Art. 16 — Prawo do sprostowania: Mają Państwo prawo żądania poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych. Dane konta można poprawić samodzielnie w ustawieniach profilu.

Art. 17 — Prawo do usunięcia ("prawo do bycia zapomnianym"): Mają Państwo prawo żądania usunięcia danych osobowych, gdy: (a) dane nie są już niezbędne do celów, w których zostały zebrane; (b) cofnęli Państwo zgodę (jeśli przetwarzanie opierało się na zgodzie); (c) wniesiono sprzeciw wobec przetwarzania i nie istnieją nadrzędne prawnie uzasadnione podstawy; (d) dane były przetwarzane niezgodnie z prawem. Prawo to nie ma zastosowania, gdy przetwarzanie jest niezbędne do wywiązania się z obowiązku prawnego lub do ustalenia, dochodzenia lub obrony roszczeń.

Art. 18 — Prawo do ograniczenia przetwarzania: Mają Państwo prawo żądania ograniczenia przetwarzania danych w określonych przypadkach (np. w czasie weryfikacji prawidłowości danych).

Art. 20 — Prawo do przenoszenia danych: Mają Państwo prawo otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (dotyczy danych przetwarzanych na podstawie zgody lub umowy w sposób zautomatyzowany).

Art. 21 — Prawo do sprzeciwu: Mają Państwo prawo wniesienia sprzeciwu wobec przetwarzania opartego na Art. 6 ust. 1 lit. f RODO (uzasadniony interes). Administrator zaprzestanie przetwarzania, chyba że istnieją ważne prawnie uzasadnione podstawy nadrzędne wobec interesów osoby lub podstawy ustalenia, dochodzenia lub obrony roszczeń.

Art. 22 — Prawo do niepodlegania wyłącznie zautomatyzowanemu przetwarzaniu: Szczegóły dotyczące profilowania AI opisane są w sekcji 9 niniejszej polityki.

Art. 77 — Prawo do skargi do organu nadzorczego: Mają Państwo prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, e-mail: kancelaria@uodo.gov.pl.

Procedura wykonania praw: Żądania należy kierować na adres: privacy@kukla.tech. Administrator odpowie bez zbędnej zwłoki, nie później niż w ciągu 1 miesiąca od otrzymania żądania (Art. 12 ust. 3 RODO). W razie skomplikowania lub dużej liczby żądań termin może zostać przedłużony o kolejne 2 miesiące — o takim przedłużeniu poinformujemy.


7. Bezpieczeństwo danych

Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych:

  • Szyfrowanie haseł algorytmem bcrypt
  • Uwierzytelnianie JWT z kontrolą ważności tokenów
  • Rate limiting żądań API
  • Immutable audit log (brak możliwości modyfikacji wpisów po zapisaniu — ADR-026)
  • Redakcja danych wrażliwych (hasła, klucze API, tokeny) w logach i exportach
  • Maskowanie danych formularzy w narzędziach session replay (Microsoft Clarity: "Mask By Default")
  • Izolacja danych wielodomenowych (multi-tenant architecture)
  • Szyfrowane połączenia (TLS/HTTPS)

8. Dane ze źródeł publicznych — klauzula informacyjna Art. 14 RODO

Platforma KiedyNabory.pl agreguje publicznie dostępne informacje o naborach grantów ze stron internetowych operatorów programów PSF, BUR, PUP i WUP. Dane te obejmują informacje o programach finansowania, terminach, kwotach i warunkach naboru.

W procesie scrapingu i analizy treści mogą znaleźć się służbowe dane kontaktowe koordynatorów i pracowników instytucji (imię i nazwisko, służbowy adres e-mail, numer telefonu służbowy), gdy są one podawane publicznie przez instytucje na ich stronach jako dane kontaktowe do programów grantowych.

Administrator informuje zgodnie z Art. 14 RODO:

  • Źródło danych: publiczne strony internetowe operatorów PSF/BUR/PUP/WUP (instytucje publiczne, agencje rządowe, organizacje pozarządowe realizujące programy finansowane ze środków publicznych).
  • Cel przetwarzania: zapewnienie użytkownikom platformy aktualnych informacji o dostępnych naborach grantów; automatyczna kategoryzacja i ekstrakcja danych (LLM).
  • Podstawa prawna: Art. 6 ust. 1 lit. f RODO — uzasadniony interes administratora i użytkowników platformy w dostępie do informacji o finansowaniu publicznym.
  • Kategorie danych: wyłącznie służbowe dane kontaktowe (imię, nazwisko, służbowy e-mail, telefon służbowy) — gdy dostępne publicznie i powiązane z pełnioną funkcją zawodową, a nie sferą prywatną.
  • Retencja: dane przechowywane jako część treści artykułów o naborach; surowe prompty LLM kasowane po 7 dniach (CRON).
  • Prawa: osoby, których dane dotyczą, mają prawo wniesienia sprzeciwu wobec przetwarzania (Art. 21 RODO) lub żądania usunięcia danych (Art. 17 RODO). Żądania należy kierować na: privacy@kukla.tech.

Dane osobowe koordynatorów nie są udostępniane użytkownikom końcowym platformy — są przetwarzane wyłącznie przez systemy LLM do celów kategoryzacji i nie są wyświetlane w interfejsie użytkownika.


9. Profilowanie i zautomatyzowane przetwarzanie (Art. 22 RODO)

Platforma KiedyNabory.pl wykorzystuje modele językowe (LLM — OpenAI) do automatycznej analizy treści artykułów o naborach grantów. Proces obejmuje:

  • Ekstrakcję ustrukturyzowanych danych z treści ogłoszeń (numer naboru, daty, kwoty, grupy docelowe, typy projektów)
  • Kategoryzację naborów według programów i działań
  • Generowanie alertów dla użytkowników na podstawie ustawionych przez nich filtrów

Charakter zautomatyzowanego przetwarzania: Przetwarzanie LLM dotyczy treści artykułów o naborach — nie dotyczy profilowania zachowań lub preferencji użytkowników końcowych. System nie buduje profili psychograficznych ani behawioralnych użytkowników. Decyzja o wysyłce alertu wynika z prostej konfigurowalnej przez użytkownika filtracji (typy programów, województwa), a nie z wnioskowania o preferencjach.

W zakresie konfiguracji alertów nie stosujemy zautomatyzowanego podejmowania decyzji wywołującego skutki prawne wobec użytkowników, o którym mowa w Art. 22 ust. 1 RODO.

Podmiot przetwarzający LLM: OpenAI (USA, DPF). Prompty i treść artykułów przekazywana do OpenAI API podlega polityce prywatności i warunkom DPA OpenAI. Dane przesyłane do OpenAI nie są używane do trenowania modeli (zgodnie z API terms of service). Prompty kasowane lokalnie po 7 dniach.


10. Cookies i śledzenie

Korzystamy z plików cookies i podobnych technologii. Szczegółowe informacje o kategoriach cookies i zarządzaniu zgodą dostępne są po kliknięciu przycisku "Ustawienia cookies" na pasku cookie banner.

Kategorie cookies:

Kategoria Zawsze aktywna Narzędzia Podstawa
Niezbędne Tak Sesja, CSRF, uwierzytelnianie JWT Art. 6 ust. 1 lit. b RODO (umowa)
Analityczne Opcjonalne (zgoda) Microsoft Clarity, Google Analytics Art. 6 ust. 1 lit. a RODO (zgoda)
Marketingowe Opcjonalne (zgoda) Meta Pixel, Google Tag Manager (reklamy) Art. 6 ust. 1 lit. a RODO (zgoda)

Przed wyrażeniem zgody żaden skrypt analityczny ani marketingowy nie jest ładowany — brak żadnych żądań sieciowych do googletagmanager.com, clarity.ms ani connect.facebook.net. Skrypty ładowane są wyłącznie po jawnym wyborze przez użytkownika.

Wybór cookie consent jest persystowany na 12 miesięcy. Preferencje można zmienić w każdej chwili przez link "Ustawienia cookies" w stopce strony.


11. Inspektor Ochrony Danych (IOD)

Administrator nie wyznaczył Inspektora Ochrony Danych (IOD/DPO) na mocy Art. 37 RODO.

Decyzja oparta jest na analizie trzech przesłanek obligatoryjnych z Art. 37 ust. 1 RODO:

  • (a) administrator nie jest podmiotem publicznym,
  • (b) główna działalność (SaaS dla MŚP) nie polega na regularnym i systematycznym monitorowaniu osób na dużą skalę w rozumieniu wytycznych EROD 2/2017 (WP 243 rev.01),
  • (c) administrator nie przetwarza szczególnych kategorii danych (Art. 9 RODO) ani danych karnych (Art. 10 RODO) na dużą skalę.

Szczegółowe uzasadnienie dostępne jest w wewnętrznej notatce administratora: Decyzja o niepowołaniu IOD — 2026-05-20.

Funkcję nadzoru nad zgodnością z RODO pełni osobiście Prezes Zarządu (Michał Kukla). Kontakt w sprawach ochrony danych: privacy@kukla.tech.

Decyzja podlega rewizji corocznie lub w razie istotnej zmiany skali lub charakteru przetwarzania.


12. Kontakt i zmiany polityki

Kontakt: W sprawach dotyczących ochrony danych osobowych, realizacji praw podmiotów danych oraz wszelkich pytań dotyczących niniejszej polityki należy kontaktować się:

E-mail: privacy@kukla.tech

Zmiany polityki: Administrator zastrzega sobie prawo do zmiany niniejszej polityki prywatności. O istotnych zmianach poinformujemy użytkowników za pośrednictwem poczty elektronicznej lub stosownego komunikatu w serwisie. Aktualna wersja polityki dostępna jest zawsze pod adresem https://kiedynabory.pl/polityka-prywatnosci.

Wersja niniejszego dokumentu: 2026-05-20 Data ostatniej aktualizacji: 20 maja 2026 r.

← Powrót do strony głównej