VizStudio.aiZaloguj się

Polityka Prywatności

Ostatnia aktualizacja: 16 marca 2026 r.

1. Administrator danych osobowych

Administratorem danych osobowych jest BUKADESIGN PRACOWNIA PROJEKTOWA SP. Z O.O., z siedzibą przy ul. Królewskiej 3/2, 30-045 Kraków, wpisana do Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy dla Krakowa-Śródmieścia, XI Wydział Gospodarczy KRS pod numerem 0000363505, NIP: 6591533670, REGON: 121351384, kapitał zakładowy: 5 000,00 zł (dalej: „Administrator” lub „my”).

Administrator prowadzi platformę internetową VizStudio.ai (dalej: „Serwis”) — profesjonalne narzędzie SaaS do wizualizacji architektonicznych z wykorzystaniem sztucznej inteligencji, skierowane do pracowni projektowych i projektantów wnętrz.

Kontakt w sprawach ochrony danych: [email protected]

2. Definicje

  • RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (ogólne rozporządzenie o ochronie danych).
  • Dane osobowe — informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
  • Użytkownik — osoba korzystająca z Serwisu (zarejestrowana lub niezarejestrowana).
  • Przetwarzanie — każda operacja na danych osobowych (zbieranie, utrwalanie, organizowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie, usuwanie).
  • Podmiot przetwarzający (Procesor) — podmiot przetwarzający dane w imieniu Administratora na podstawie umowy powierzenia.

3. Zakres zbieranych danych

W ramach korzystania z Serwisu zbieramy:

  • Dane rejestracyjne: imię, nazwisko, adres e-mail, nazwa pracowni/firmy, numer telefonu (opcjonalnie).
  • Dane projektowe: zdjęcia, wizualizacje, kosztorysy, inspiracje, opisy projektów przesyłane przez Użytkownika.
  • Dane techniczne: adres IP, typ i wersja przeglądarki, system operacyjny, rozdzielczość ekranu, język przeglądarki, strefa czasowa, logi dostępu, identyfikatory urządzeń.
  • Dane z rozszerzenia Chrome „Save to VizStudio”: adresy URL stron produktowych, adresy URL obrazków, tytuły stron — wyłącznie w momencie aktywnego użycia (kliknięcia przycisku „Zapisz”).
  • Dane z plików cookies i technologii śledzących: identyfikatory sesji, preferencje Użytkownika, dane analityczne (Google Analytics 4), dane marketingowe (Meta Pixel), dane o błędach (Sentry).
  • Dane płatnicze: dane kart płatniczych przetwarzane wyłącznie przez operatora płatności — Administrator nie przechowuje pełnych numerów kart.
  • Dane Vendorów (Sprzedawców): NIP, nazwa firmy, adres siedziby, adres e-mail kontaktowy, numer telefonu, kategoria działalności, portfolio, logo — w zakresie niezbędnym do rejestracji i prowadzenia konta Vendora na Marketplace.
  • Dane Klientów Pracowni: imię, nazwisko, adres e-mail, dane projektowe udostępnione przez Pracownię — w zakresie Portalu Klienta. Administratorem tych danych jest Pracownia; Usługodawca pełni rolę Procesora (patrz sekcja dot. DPA).

4. Cele i podstawy prawne przetwarzania

CelPodstawa prawna
Świadczenie usług Serwisu (wizualizacje AI, zarządzanie projektami, kosztorysy)Art. 6 ust. 1 lit. b) RODO — wykonanie umowy
Rejestracja i prowadzenie kontaArt. 6 ust. 1 lit. b) RODO — wykonanie umowy
Import produktów z rozszerzenia ChromeArt. 6 ust. 1 lit. b) RODO — wykonanie umowy
Analityka i poprawa jakości usług (Google Analytics 4)Art. 6 ust. 1 lit. a) RODO — zgoda
Marketing i reklama (Meta Pixel)Art. 6 ust. 1 lit. a) RODO — zgoda
Monitoring błędów i stabilności (Sentry)Art. 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes (bezpieczeństwo i ciągłość działania)
Bezpieczeństwo i zapobieganie nadużyciom (Cloudflare, Turnstile)Art. 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes
Komunikacja (e-mail transakcyjny, wsparcie)Art. 6 ust. 1 lit. b) RODO — wykonanie umowy
Realizacja obowiązków podatkowych i rachunkowychArt. 6 ust. 1 lit. c) RODO — obowiązek prawny
Dochodzenie roszczeń i obrona przed roszczeniamiArt. 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes

5. Odbiorcy danych (podmioty przetwarzające)

Dane osobowe mogą być powierzane następującym kategoriom podmiotów przetwarzających, z którymi Administrator zawarł umowy powierzenia przetwarzania danych (DPA):

PodmiotCelLokalizacja
Supabase Inc.Baza danych, uwierzytelnianie, storageUE (Frankfurt)
Vercel Inc.Hosting aplikacji, CDNUSA/UE
BunnyCDN (BunnyWay d.o.o.)CDN, przechowywanie plików multimedialnychUE (Frankfurt, UK)
Google LLC (Gemini API)Generowanie wizualizacji AI, ulepszanie promptówUSA/UE
Google LLC (Analytics 4)Analityka ruchu i zachowań użytkownikówUSA/UE
Meta Platforms Inc.Pixel marketingowy (Facebook/Instagram)USA/UE
Functional Software Inc. (Sentry)Monitoring błędów, śledzenie wydajnościUSA/UE
Cloudflare Inc.DNS, ochrona DDoS, Turnstile (CAPTCHA)USA/UE
Resend Inc.Wysyłka e-maili transakcyjnych i powiadomieńUSA

Dane osobowe mogą być również udostępniane organom państwowym wyłącznie na podstawie obowiązujących przepisów prawa (np. na żądanie sądu, prokuratury, PUODO).

Administrator nie sprzedaje danych osobowych i nie udostępnia ich podmiotom trzecim w celach marketingowych bez wyraźnej zgody Użytkownika.

6. Transfer danych poza Europejski Obszar Gospodarczy

Niektóre podmioty przetwarzające (Vercel, Google, Meta, Sentry, Cloudflare, Resend) mają siedziby w Stanach Zjednoczonych. Transfer danych odbywa się na podstawie:

  • EU-U.S. Data Privacy Framework — decyzja wykonawcza Komisji Europejskiej z 10 lipca 2023 r. stwierdzająca odpowiedni poziom ochrony danych w USA dla podmiotów certyfikowanych.
  • Standardowe Klauzule Umowne (SCC) — zatwierdzone przez Komisję Europejską, stosowane jako dodatkowe zabezpieczenie.

7. Okres przechowywania danych

  • Dane konta: przez okres korzystania z Serwisu + 30 dni po usunięciu konta (na potrzeby ewentualnego przywrócenia).
  • Dane projektowe: przez okres korzystania z Serwisu; usuwane na żądanie lub po usunięciu konta.
  • Dane rozliczeniowe: 5 lat od końca roku podatkowego, w którym dokonano transakcji (obowiązek podatkowy).
  • Dane analityczne (GA4): 14 miesięcy (domyślna retencja Google Analytics 4).
  • Logi błędów (Sentry): 90 dni.
  • Logi dostępu: 12 miesięcy (uzasadniony interes — bezpieczeństwo).
  • Dane marketingowe: do czasu wycofania zgody.
  • Dane Vendorów: przez okres prowadzenia konta Vendora + 30 dni po usunięciu; dane rozliczeniowe (prowizje) — 5 lat.

7a. Role administratorów danych i DPA

W zależności od kontekstu przetwarzania, Usługodawca pełni różne role:

KontekstAdministratorRola Usługodawcy
Dane kont Użytkowników (rejestracja, logowanie)UsługodawcaAdministrator
Dane klientów Pracowni (Portal Klienta, projekty)PracowniaProcesor (na podstawie DPA)
Dane firmowe Vendorów (NIP, adres, profil)UsługodawcaAdministrator
Dane analityczne i techniczne (GA4, Sentry, logi)UsługodawcaAdministrator

Umowa Powierzenia Przetwarzania Danych (DPA): Każda Pracownia korzystająca z Serwisu w zakresie wprowadzania danych osobowych swoich klientów zawiera z Usługodawcą DPA zgodną z art. 28 RODO. Treść DPA dostępna jest na żądanie pod adresem [email protected].

8. Prawa osoby, której dane dotyczą

Zgodnie z RODO, każdemu Użytkownikowi przysługują następujące prawa:

  • Prawo dostępu (art. 15 RODO) — uzyskanie informacji o przetwarzanych danych oraz kopii danych.
  • Prawo do sprostowania (art. 16 RODO) — poprawienie nieprawidłowych lub uzupełnienie niekompletnych danych.
  • Prawo do usunięcia („prawo do bycia zapomnianym”) (art. 17 RODO) — żądanie usunięcia danych, gdy nie są już niezbędne do celów przetwarzania.
  • Prawo do ograniczenia przetwarzania (art. 18 RODO) — żądanie ograniczenia przetwarzania w określonych sytuacjach.
  • Prawo do przenoszenia danych (art. 20 RODO) — otrzymanie danych w ustrukturyzowanym formacie (JSON/CSV) i przesłanie ich innemu administratorowi.
  • Prawo do sprzeciwu (art. 21 RODO) — wniesienie sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie.
  • Prawo do wycofania zgody (art. 7 ust. 3 RODO) — w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania sprzed wycofania.

W celu realizacji swoich praw prosimy o kontakt na adres: [email protected]. Odpowiemy w ciągu 30 dni od otrzymania żądania (art. 12 ust. 3 RODO).

9. Pliki cookies i technologie śledzące

Serwis wykorzystuje pliki cookies (ciasteczka) — małe pliki tekstowe zapisywane na urządzeniu Użytkownika. Rozróżniamy następujące kategorie:

a) Cookies niezbędne (essential)

Wymagane do prawidłowego działania Serwisu. Nie wymagają zgody.

  • Sesja uwierzytelniania (Supabase Auth JWT)
  • Token CSRF / bezpieczeństwa
  • Cloudflare Turnstile (weryfikacja CAPTCHA)
  • Preferencje motywu (jasny/ciemny)
  • Identyfikator Cloudflare (__cf_bm)

b) Cookies analityczne

Służą do analizy ruchu i zachowań użytkowników w celu poprawy jakości Serwisu. Wymagają uprzedniej zgody.

  • Google Analytics 4 — _ga, _ga_*, _gid (anonimizacja IP włączona, retencja 14 mies.)
  • Sentry — monitoring błędów JavaScript i wydajności (dane techniczne, brak danych osobowych w normalnym trybie)

c) Cookies marketingowe

Służą do personalizacji reklam i pomiaru skuteczności kampanii. Wymagają uprzedniej zgody.

  • Meta Pixel (Facebook Pixel) — _fbp, _fbc (śledzenie konwersji Facebook/Instagram Ads)

d) Zarządzanie zgodami

Przy pierwszej wizycie w Serwisie wyświetlany jest baner cookies (consent banner) umożliwiający:

  • Akceptację wszystkich cookies
  • Odrzucenie opcjonalnych cookies
  • Konfigurację poszczególnych kategorii

Zgodę można wycofać w dowolnym momencie poprzez przycisk poniżej lub ustawienia przeglądarki. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania sprzed wycofania.

Podstawa prawna: art. 173 ustawy z dnia 16 lipca 2004 r. — Prawo telekomunikacyjne oraz art. 6 ust. 1 lit. a) RODO.

10. Google Analytics 4

Serwis korzysta z Google Analytics 4 (GA4), usługi analizy ruchu internetowego świadczonej przez Google LLC. GA4:

  • Zbiera dane w sposób zanonimizowany (anonimizacja IP jest włączona domyślnie w GA4).
  • Nie tworzy profili reklamowych bez dodatkowej zgody.
  • Wykorzystuje Consent Mode v2 — skrypty GA4 ładują się dopiero po wyrażeniu zgody przez Użytkownika.
  • Dane przechowywane przez 14 miesięcy, następnie automatycznie usuwane.

Więcej informacji: Polityka prywatności Google. Rezygnacja: Google Analytics Opt-out Browser Add-on.

11. Meta Pixel (Facebook Pixel)

Serwis korzysta z Meta Pixel, narzędzia analityczno-reklamowego firmy Meta Platforms Inc. Meta Pixel:

  • Śledzi konwersje z reklam Facebook i Instagram (np. rejestracja, aktywacja konta).
  • Umożliwia tworzenie grup niestandardowych odbiorców (custom audiences) i grup podobnych (lookalike audiences).
  • Ładuje się wyłącznie po wyrażeniu zgody na cookies marketingowe.

Więcej informacji: Polityka prywatności Meta. Rezygnacja: Ustawienia reklam na Facebooku.

12. Sentry (monitoring błędów)

Serwis korzysta z Sentry (Functional Software Inc.) w celu monitorowania błędów JavaScript i wydajności aplikacji. Sentry:

  • Zbiera dane techniczne: stack trace błędów, typ przeglądarki, system operacyjny, URL strony, na której wystąpił błąd.
  • Nie zbiera danych osobowych (imion, nazwisk, adresów e-mail) w normalnym trybie działania.
  • Dane przechowywane przez 90 dni.

Podstawa prawna: art. 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes Administratora (zapewnienie stabilności i bezpieczeństwa Serwisu).

13. Sztuczna inteligencja (AI)

Serwis wykorzystuje modele sztucznej inteligencji (Google Gemini API) do generowania wizualizacji architektonicznych. W związku z tym informujemy:

  • Zdjęcia i prompty przesyłane przez Użytkownika są przekazywane do Google Gemini API w celu wygenerowania wizualizacji.
  • Google Gemini API przetwarza dane w trybie „zero retention” dla API — dane nie są wykorzystywane do trenowania modeli AI.
  • Wyniki generacji AI (wizualizacje) są przechowywane na koncie Użytkownika i mogą być w każdej chwili usunięte.
  • Decyzje AI mają charakter sugerujący — to projektant nadaje kierunek wizualizacji, AI jedynie ją realizuje.
  • Użytkownik ma prawo żądać weryfikacji wyników AI przez człowieka.

Zgodnie z Rozporządzeniem AI Act (Rozporządzenie UE 2024/1689), Serwis informuje, że generowane treści są wynikiem działania sztucznej inteligencji.

14. Rozszerzenie Chrome „Save to VizStudio”

Rozszerzenie Chrome działa wyłącznie na żądanie Użytkownika (kliknięcie przycisku na obrazku). Rozszerzenie:

  • NIE zbiera danych w tle ani nie monitoruje aktywności przeglądania.
  • NIE przesyła danych osobowych do podmiotów trzecich.
  • NIE sprzedaje ani nie udostępnia danych w celach reklamowych.
  • Odczytuje jedynie adres URL strony i adres URL wybranego obrazka w momencie kliknięcia.
  • Dane są przesyłane wyłącznie do Serwisu VizStudio.ai na konto zalogowanego Użytkownika, z użyciem szyfrowania HTTPS i autoryzacji Bearer Token.

15. Bezpieczeństwo danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, w tym:

  • Szyfrowanie transmisji danych (HTTPS/TLS)
  • Uwierzytelnianie oparte na tokenach JWT z krótkim czasem życia
  • Polityki Row Level Security (RLS) w bazie danych — każdy użytkownik ma dostęp wyłącznie do swoich danych
  • Ochrona przed atakami DDoS i botami (Cloudflare, Turnstile)
  • Regularne audyty bezpieczeństwa kodu i infrastruktury
  • Zasada minimalizacji danych — zbieramy tylko dane niezbędne do świadczenia usług
  • Szyfrowanie danych w spoczynku (encryption at rest) w bazie danych

16. Profilowanie i zautomatyzowane podejmowanie decyzji

Administrator nie podejmuje zautomatyzowanych decyzji, w tym profilowania, które wywierałyby skutki prawne wobec Użytkownika lub istotnie na niego wpływały w rozumieniu art. 22 RODO.

Generowanie wizualizacji AI ma charakter narzędziowy i nie stanowi profilowania — Użytkownik samodzielnie decyduje o wykorzystaniu wyników.

17. Zmiany Polityki Prywatności

Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności. O istotnych zmianach Użytkownicy zostaną poinformowani:

  • drogą e-mailową (na adres podany przy rejestracji) — z wyprzedzeniem co najmniej 14 dni,
  • poprzez komunikat w Serwisie przy najbliższym logowaniu.

Kontynuowanie korzystania z Serwisu po wejściu zmian w życie oznacza akceptację nowej wersji Polityki Prywatności.

18. Prawo do skargi do organu nadzorczego

Jeżeli Użytkownik uzna, że przetwarzanie jego danych osobowych narusza przepisy RODO, ma prawo wnieść skargę do organu nadzorczego:

Prezes Urzędu Ochrony Danych Osobowych (PUODO)

ul. Stawki 2, 00-193 Warszawa

Strona: uodo.gov.pl

19. Kontakt

Wszelkie pytania dotyczące przetwarzania danych osobowych oraz realizacji praw Użytkownika prosimy kierować na adres:

BUKADESIGN PRACOWNIA PROJEKTOWA SP. Z O.O.

ul. Królewska 3/2, 30-045 Kraków

E-mail: [email protected]

NIP: 6591533670 | KRS: 0000363505