Niniejszy dokument opisuje zasady przetwarzania danych osobowych w związku z korzystaniem z platformy pod nazwą „ALVO" (dalej: „Platforma" lub „Aplikacja"), dostępnej pod adresem alvo.enyo.co. ALVO jest wewnętrzną platformą SaaS agencji ENYO, o architekturze wielofirmowej (multi-tenant), łączącą narzędzia wspierające pracę agencji marketingowej oraz jej klientów. Dane poszczególnych organizacji korzystających z Platformy są od siebie logicznie odseparowane.
Administratorem danych osobowych jest spółka pod firmą ENYO prosta spółka akcyjna z siedzibą w Warszawie, adres: 00-819 Warszawa, ul. Złota numer 61/100, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001139901, NIP: 5273141883, REGON: 540320241 (zwana dalej „ENYO" bądź „Administratorem").
Kontakt z Administratorem we wszystkich sprawach dotyczących przetwarzania danych osobowych możliwy jest pod adresem e-mail: rodo@enyo.co.
Dane osobowe są przetwarzane zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO"), ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną oraz innymi właściwymi przepisami prawa.
Kogo dotyczy niniejsza Polityka
Niniejsza Polityka dotyczy danych osobowych następujących kategorii osób korzystających z Platformy lub pozostających z nią w kontakcie:
| Kategoria osób | Posiadanie konta | Źródło danych |
|---|---|---|
| Pracownicy i współpracownicy ENYO | Tak | Wprowadzane samodzielnie / logowanie SSO |
| Użytkownicy po stronie klienta ENYO | Tak | Konto zakładane przez ENYO na podstawie udzielonych informacji |
| Twórcy / influencerzy | Zwykle nie | Import danych oraz baza Traackr |
| Goście wydarzeń | Nie (dostęp przez magic link) | Samodzielna rejestracja lub import listy uczestników |
| Osoby uwidocznione w materiałach poddawanych analizie | Nie | Pliki przesyłane do analizy (ContentFit) |
| Subskrybenci komunikacji marketingowej | Nie | Zgoda marketingowa |
Polityka nie obejmuje danych przetwarzanych samodzielnie przez klientów agencji lub podmioty trzecie poza Platformą, np. w ich własnych systemach lub aplikacjach zewnętrznych - za takie przetwarzanie odpowiada wyłącznie dany klient.
Jakie informacje przetwarzamy?
Cele i podstawy prawne przetwarzania
Twoje dane osobowe przetwarzane są w następujących celach, w oparciu o następujące podstawy prawne:
Sztuczna inteligencja i przetwarzanie zautomatyzowane
AI wspiera w szczególności: analizę materiałów kreatywnych (moduł ContentFit), generowanie briefów i propozycji kreatywnych (moduł ENA), a także wyszukiwanie danych i ocenę twórców (moduł CreatorFit).
- Platforma nie podejmuje wobec osób, których dane dotyczą, zautomatyzowanych decyzji wywołujących skutki prawne lub w podobny sposób istotnie na nie wpływających w rozumieniu art. 22 RODO — narzędzia AI wspierają pracę człowieka, a kluczowe decyzje pozostają po stronie użytkownika Platformy.
- Asystent AI w module ContentFit działa wyłącznie w trybie odczytu danych.
- Dane przekazywane do dostawców AI mogą obejmować: przesłane pliki kreacji (mogące zawierać wizerunki osób), nazwy marek oraz treść briefów. Dostawcami AI są podmioty zewnętrzne wskazane w tabeli w sekcji „Podmioty zewnętrzne" — w szczególności Anthropic i OpenAI.
Mechanizmy ochronne wbudowane w generowanie materiałów (privacy by design): system stosuje ochronną detekcję twarzy, blokującą lub maskującą wizerunki wykryte w przesyłanych obrazach, wraz z zapisem wyniku detekcji oraz zgody na wykorzystanie obrazu; generowanie grafik opiera się wyłącznie na zatwierdzonej bibliotece szablonów, które nie przedstawiają rzeczywistych, możliwych do zidentyfikowania osób (narzędzie nie tworzy podobizn konkretnych ludzi ani treści typu „deepfake"); wygenerowane grafiki są oznaczane znakiem wodnym; wykorzystanie logotypów i wizerunków produktów klientów odbywa się w oparciu o zarządzaną bibliotekę i powiązaną z nią zgodę.
Podstawa prawna wykorzystania AI: prawnie uzasadniony interes Administratora i klientów polegający na automatyzacji i usprawnieniu procesów agencyjnych (art. 6 ust. 1 lit. f) RODO) lub wykonanie umowy z klientem (art. 6 ust. 1 lit. b) RODO), w zależności od modułu.
Komu udostępniamy dane — podmioty zewnętrzne
Dane osobowe mogą być powierzane lub udostępniane zaufanym dostawcom usług, z którymi ENYO zawarła odpowiednie umowy, w tym umowy powierzenia przetwarzania danych (DPA). Poniższa tabela przedstawia główne kategorie odbiorców danych, zakres przekazywanych informacji oraz obszar przetwarzania.
| Usługa / dostawca | Cel | Zakres danych | Obszar |
|---|---|---|---|
| Anthropic (Claude) | Analiza treści, briefy, insighty | Pliki kreacji (z wizerunkami), teksty, nazwy marek | EOG |
| Neurons | Neuro-analiza kreacji, mapy uwagi | Pliki wideo/grafik, wyniki analiz | EOG |
| OpenAI | Transkrypcja audio, OCR, wybrane funkcje LLM | Audio, obrazy, teksty | EOG |
| Traackr | Dane influencerów | Identyfikatory twórców, statystyki, demografia | EOG |
| Monday.com | Zarządzanie pracą, briefy | Dane projektów, twórców, e-maile | EOG |
| PostHog | Analityka produktowa | ID i e-mail użytkownika, ID organizacji, zdarzenia | EOG |
| Microsoft Entra / Azure AD | Logowanie SSO | Tożsamość użytkownika (e-mail) | EOG |
| Microsoft Fabric / Teamogy | Metadane projektów (ENA) | Numery i metadane projektów | EOG |
| Azure Blob Storage | Przechowywanie plików | Pliki kreacji, załączniki, obrazy | EOG |
| Meilisearch | Wyszukiwarka wewnętrzna | Indeks nazw (bez danych wrażliwych) | Infrastruktura własna |
| Resend | Wysyłka wiadomości e-mail z domeny enyo.co | Adresy e-mail odbiorców, treść wiadomości | USA |
Ponadto dane mogą zostać ujawnione uprawnionym organom państwowym, jeżeli obowiązek taki wynika z przepisów prawa, a także w celu ustalenia, dochodzenia lub obrony przed roszczeniami.
Przekazywanie danych poza Europejski Obszar Gospodarczy
Co do zasady dane przetwarzane są w obrębie Europejskiego Obszaru Gospodarczego (EOG) — dotyczy to w szczególności usług Anthropic (Claude), OpenAI, Traackr, Monday.com, Neurons, PostHog (region UE) oraz Microsoft Entra i Azure Blob Storage. Hosting Platformy (kontenery aplikacyjne, baza danych PostgreSQL, Redis) znajduje się w EOG.
Jeżeli w związku z udostępnianiem danych dojdzie do przekazania danych osobowych poza Europejski Obszar Gospodarczy (EOG), Administrator zapewni, że transfer będzie odbywał się zgodnie z obowiązującymi przepisami o ochronie danych osobowych, w szczególności zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). W przypadku przekazania danych do państwa trzeciego lub organizacji międzynarodowej Administrator wdroży odpowiednie zabezpieczenia wymagane przepisami RODO, w szczególności środki, o których mowa w art. 46 RODO, lub zastosuje inną podstawę legalizującą transfer przewidzianą w rozdziale V RODO. Administrator zobowiązuje się również do stosowania wszelkich obowiązujących wytycznych, zaleceń oraz decyzji właściwych organów nadzorczych i instytucji Unii Europejskiej dotyczących przekazywania danych osobowych poza EOG.
Jak długo przechowujemy dane
Dane osobowe przechowywane są nie dłużej, niż jest to niezbędne do realizacji celów, w jakich są przetwarzane, z uwzględnieniem następujących zasad:
- Konto w Platformie oraz dane związane z korzystaniem z jej funkcjonalności: przez czas korzystania z Platformy, a następnie przez okres przedawnienia roszczeń wynikający z przepisów prawa lub okres wymagany przepisami podatkowymi i rachunkowymi (co do zasady 5 lat). W przypadku usunięcia Twojego konta w Portalu Twoje dane osobowe będą przechowywane przez nas przez okres 18 miesięcy od daty usunięcia konta. Następnie dane zostaną usunięte lub zanonimizowane.
- Realizacja obowiązków prawnych: Dane przetwarzane w celu realizacji obowiązków prawnych ciążących na ENYO są przechowywane przez okres wynikający z właściwych przepisów prawa (np. w przypadku przepisów prawa podatkowego – 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku; w przypadku przepisów prawa rachunkowego – 5 lat, licząc od początku roku następującego po roku obrotowym, w którym dokonano transakcji).
- Zgoda Użytkownika: W przypadku, gdy podstawą przetwarzania danych osobowych przez ENYO jest udzielona zgoda, dane są przetwarzane do momentu wycofania tej zgody przez użytkownika Platformy.
- Prawnie uzasadniony interes ENYO: Dane osobowe przetwarzane na podstawie prawnie uzasadnionych interesów ENYO są przechowywane przez okres realizacji tych interesów (np. prowadzenia korespondencji) lub do momentu zgłoszenia sprzeciwu wobec takiego przetwarzania. W przypadku istnienia nadrzędnych interesów ENYO dane mogą być przechowywane dłużej, o czym zostaniesz poinformowany. Dane przetwarzane w celu dochodzenia lub obrony przed roszczeniami przechowywane są przez okres przedawnienia roszczeń lub do zakończenia odpowiedniego postępowania mediacyjnego bądź sądowego.
- Dane gości wydarzeń (moduł Events): automatyczna anonimizacja w terminie 90 dni od zakończenia wydarzenia, z zachowaniem statystyk zbiorczych oraz historii zgód bez powiązania z danymi identyfikującymi osobę.
- Dane twórców/influencerów (CreatorFit), treść briefów i materiałów (ENA) oraz dane obecności pracowników (Presence: dane twórców przechowywane przez czas aktywnego wykorzystywania bazy do doboru kampanii oraz do 5 lat od ostatniej aktualizacji, dane projektowe (ENA) przez czas trwania projektu i okres przedawnienia roszczeń, a dane obecności pracowników przez czas trwania zatrudnienia oraz okresy wynikające z przepisów prawa pracy i ubezpieczeń społecznych.
Po upływie odpowiedniego okresu retencji dane są bezpiecznie usuwane lub anonimizowane.
Obowiązek podania danych
Podanie danych osobowych jest dobrowolne, jednak w określonych przypadkach niezbędne do korzystania z Platformy lub jej poszczególnych funkcjonalności, np. brak podania danych wymaganych do założenia konta lub rejestracji na wydarzenie uniemożliwi realizację tych usług.
Bezpieczeństwo danych
Miejsce przechowywania Twoich danych osobowych jest chronione stosownymi zabezpieczeniami fizycznymi, informatycznymi oraz organizacyjnymi, mającymi na celu odpowiednią ochronę danych.
Dostęp do Twoich danych osobowych jest ograniczony. Tylko ci pracownicy bądź współpracownicy, którzy potrzebują dostępu do Twoich danych osobowych w celu wykonania swojej pracy, mogą ten dostęp uzyskać.
Dodatkowo, stosujemy następujące zabezpieczenia:
- Izolacja wielofirmowa: twardy podział danych na poziomie każdego rekordu pomiędzy poszczególne firmy i organizacje korzystające z Platformy.
- Kontrola dostępu (RBAC): role i uprawnienia decydują o zakresie dostępu do danych; uprawnienia nadawane są świadomie, bez automatycznych nadań.
- Szyfrowanie w tranzycie: wszystkie połączenia (użytkownik–Platforma oraz Platforma–usługi zewnętrzne) są szyfrowane protokołem TLS/HTTPS.
- Szyfrowanie w spoczynku: baza danych oraz magazyn plików są szyfrowane na poziomie infrastruktury chmurowej w EOG.
- Szyfrowanie na poziomie pola: najbardziej wrażliwe dane — dane gości wydarzeń (imię, nazwisko, e-mail, telefon) — są dodatkowo szyfrowane w aplikacji algorytmem AES-GCM, podobnie jak sekrety i poświadczenia integracji.
- Logowanie: hasła przechowywane w postaci zahaszowanej; dostępne logowanie SSO (Microsoft); dostęp urządzeń (np. skanerów QR) realizowany przy użyciu kluczy o minimalnych niezbędnych uprawnieniach.
- Ślad audytowy: m.in. niezmienialna historia zgód zbieranych w module Events oraz rejestr wysyłek wiadomości e-mail.
Twoje prawa
Z zastrzeżeniem wyjątków przewidzianych przepisami prawa, osobom, których dane dotyczą, przysługują następujące prawa:
- prawo dostępu do swoich danych osobowych (art. 15 ust. 1 RODO), w tym uzyskania ich kopii (art. 15 ust. 3 RODO),
- prawo sprostowania lub uzupełnienia niekompletnych danych osobowych (art. 16 RODO),
- prawo żądania usunięcia danych osobowych w przypadkach przewidzianych prawem (art. 17 RODO),
- prawo żądania ograniczenia przetwarzania danych osobowych (art. 18 RODO),
- prawo do przenoszenia danych, w zakresie, w jakim przetwarzanie odbywa się na podstawie zgody lub umowy oraz w sposób zautomatyzowany (art. 20 RODO),
- prawo wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie Administratora, z przyczyn związanych ze szczególną sytuacją danej osoby (art. 21 RODO),
- prawo do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem,
- prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa.
Użytkownicy korzystający z Platformy w ramach konta organizacji klienta mogą realizować część uprawnień za pośrednictwem swojej organizacji. W celu skorzystania z powyższych praw należy skontaktować się z Administratorem pod adresem rodo@enyo.co. Administrator może poprosić o potwierdzenie tożsamości, jeżeli będzie to uzasadnione okolicznościami.
Pliki cookie i analityka produktowa
- Definicja: pliki cookies to informacje, które serwisy internetowe przesyłają do przeglądarki internetowej, a które przeglądarka odsyła do serwisu internetowego przy ponownym wejściu do serwisu. Dzięki korzystaniu z plików cookies nie musisz ponownie wpisywać danych uprzednio wprowadzonych do serwisu internetowego, a Twoje urządzenie jest rozpoznawane przez ten serwis internetowy, przez co jego wyświetlanie jest automatycznie dostosowane do Państwa indywidualnych potrzeb i wcześniej wybranych ustawień. Pliki cookies mogą być odczytywane przez system teleinformatyczny Administratora (własne pliki cookies) lub przez systemy teleinformatyczne podmiotów trzecich (pliki cookies podmiotów trzecich). W Aplikacji stosowane są zarówno sesyjne pliki cookies, czyli pliki tymczasowe, które przechowywane są w urządzeniu końcowym użytkownika do czasu wylogowania, opuszczenia strony internetowej lub wyłączenia przeglądarki, jak również stałe pliki cookies, które są przechowywane w urządzeniu końcowym użytkownika przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez użytkownika.
- Czy pliki cookies to dane osobowe: pliki cookies co do zasady nie są danymi osobowymi, jednakże niektóre informacje przechowywane w plikach cookies, w połączeniu z innymi informacjami o użytkowniku, mogą stanowić dane osobowe. Takie dane nie są jednak przez nas ujawniane osobom nieuprawnionym, a ich przetwarzanie odbywa się wyłącznie w celu realizacji określonych usług.
- Rodzaje plików cookies: w Aplikacji stosowane są następujące rodzaje plików cookies:
- niezbędne pliki cookies: niezbędne do prawidłowego funkcjonowania Aplikacji: zazwyczaj są używane w odpowiedzi na Twoje działania, takie jak np. ustawienie opcji prywatności; jeśli zmienisz ustawienia swojej przeglądarki internetowej blokując niezbędne pliki cookies, Strona internetowa nie będzie działała prawidłowo,
- funkcjonalne pliki cookies: pozwalają na zapamiętanie wyborów dokonanych w Aplikacji i w ten sposób umożliwiają dostosowanie jej do Twojej preferencji,
- statystyczne pliki cookies: umożliwiają nam zmierzenie ilości wizyt w Aplikacji oraz ustalenie, skąd użytkownicy docierają i w jaki sposób z niej korzystają; ta wiedza pozwala na tworzenie statystyk, które pomagają zrozumieć, w jaki sposób użytkownicy korzystają z Aplikacji, co umożliwia ulepszanie jej struktury i zawartości. Analiza tych statystyk jest anonimowa i umożliwia dostosowanie zawartości i wyglądu serwisu, statystyki stosuje się też do oceny popularności Aplikacji;
- marketingowe pliki cookies: pozwalają określić profil użytkownika i dostosować nasze reklamy publikowane w innych serwisach internetowych do Twoich preferencji oraz zapobiegają pojawianiu się tych samych reklam.
- Podstawa korzystania z plików cookies: co do zasady podstawą korzystania z plików cookies jest wyrażona przez Ciebie zgoda. Przy pierwszej wizycie na stronie internetowej wyświetlone zostaje okienko służące do wyrażenia zgody na wszystkie lub niektóre pliki cookies (lub ich odrzucenie). Do czasu wyrażenia zgody pliki cookies pozostają zablokowane. Nie dotyczy to jednak niezbędnych plików cookies.
- Własne pliki cookies: administrator korzysta z własnych plików cookies w celu przechowywania informacji o sesji użytkownika (tj. o adresie IP, z którego użytkownik łączy się z Aplikacją, czasie połączenia oraz innych parametrach technicznych połączenia). Pozwalają one zapewnić prawidłowe działanie niektórych funkcji.
- Analityka produktowa: Platforma korzysta z narzędzia PostHog (instancja UE — eu.posthog.com) w celu analityki produktowej i zrozumienia sposobu korzystania z funkcjonalności ALVO. Zbierane są zdarzenia (odsłony, akcje, zdarzenia biznesowe), identyfikator i adres e-mail użytkownika, identyfikator organizacji/tenantu oraz flagi funkcji; opcjonalnie mogą być rejestrowane nagrania sesji. Narzędzie działa zarówno po stronie przeglądarki, jak i serwera.
- Wyłączenie plików cookies: w każdej chwili, za pomocą ustawień przeglądarki internetowej, możesz zablokować wszystkie lub niektóre pliki cookies (także te, na które uprzednio wyraziłeś zgodę). Należy jednak pamiętać, że może to utrudnić lub uniemożliwić korzystanie ze Aplikacji lub niektórych jej funkcji.
- Niezależnie od udostępnionego narzędzia do zarządzania preferencjami cookies, użytkownik może samodzielnie i w każdym czasie zmienić ustawienia dotyczące plików cookies, które znajduje się tutaj, określając warunki ich przechowywania i uzyskiwania dostępu przez pliki cookies do urządzenia użytkownika bezpośrednio za pomocą ustawień przeglądarki internetowej. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu na urządzeniu użytkownika. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej).
Źródło pochodzenia danych
Dane osobowe pochodzą przede wszystkim od samych osób, których dotyczą (np. w procesie zakładania konta, rejestracji na wydarzenie, kontaktu z ENYO), a także są gromadzone automatycznie podczas korzystania z Platformy. W przypadku modułu CreatorFit część danych pozyskiwana jest z zewnętrznej bazy Traackr oraz w drodze importu przez klienta agencji. W przypadku logowania SSO dane (adres e-mail, tożsamość użytkownika) przekazywane są przez Microsoft Entra / Azure AD.
Zmiany Polityki
Administrator może okresowo aktualizować niniejszą Politykę w związku ze zmianami funkcjonalności Platformy, praktyk przetwarzania danych lub obowiązujących przepisów prawa. Data ostatniej aktualizacji wskazana jest na końcu dokumentu, a o istotnych zmianach użytkownicy zostaną poinformowani w odpowiedni sposób.
Kontakt
W sprawach dotyczących ochrony danych osobowych prosimy o kontakt: ENYO Prosta Spółka Akcyjna, ul. Złota 61/100, 00-819 Warszawa, e-mail: rodo@enyo.co.