Prywatność
Polityka prywatności Suunta.ai
Data wejścia w życie: 27 stycznia 2025 r. – Wersja: 1.0
Wprowadzenie
Y4 Works Oy („Suunta.ai”, „my”, „nas”, „nasz”) zapewnia platformę Suunta.ai, wspomaganą przez sztuczną inteligencję usługę planowania strategicznego przeznaczoną dla firm. Niniejsza Polityka prywatności wyjaśnia, w jaki sposób gromadzimy, wykorzystujemy, ujawniamy i chronimy dane osobowe użytkowników korzystających z naszych usług.
Suunta.ai to usługa typu business-to-business (B2B). Niniejsza Polityka prywatności dotyczy przedstawicieli naszych klientów biznesowych i ich autoryzowanych użytkowników.
Kontroler: Y4 Works Oy, Business ID: 2978296-6, Finlandia
Email: privacy@suunta.ai
1. Informacje, które zbieramy
1.1 Informacje podane przez użytkownika
Informacje o koncie
| Dane | Wymagane | Cel |
|---|---|---|
| Adres e-mail | Tak | Logowanie do konta, komunikacja |
| Imię i nazwisko | Nie | Personalizacja |
| Numer telefonu | Nie | Kontakt nieobowiązkowy |
| Hasło | Tak* | Uwierzytelnianie |
| Zdjęcie profilowe | Nie | Personalizacja |
| Ustawienie języka | Tak (domyślnie: fiński) | Lokalizacja |
| Strefa czasowa | Tak (domyślnie: Europa/Helsinki) | Wyświetlanie czasu |
| Dodatkowe informacje o profilu | Nie | Personalizacja |
Użytkownicy SSO uwierzytelniają się za pośrednictwem Google lub Microsoft i nie mają hasła Suunta.ai.
Informacje o organizacji
| Dane | Wymagane | Cel |
|---|---|---|
| Nazwa organizacji | Tak | Identyfikacja konta |
| Kraj | Tak (domyślnie: Finlandia) | Lokalizacja, zgodność |
| Miasto | Nie | Lokalizacja |
| Przemysł | Nie | Dostosowanie usługi |
| Wielkość organizacji | Nie | Dostosowanie usługi |
| Strona internetowa | Nie | Profil organizacji |
| Logo | Nie | Branding |
| Szczegóły profilu organizacji | Nie | Dostosowywanie usługi |
Informacje biznesowe
Dokumenty strategiczne i plany
OKR (cele i kluczowe wyniki)
KPI (kluczowe wskaźniki wydajności) i metryki
Projekty i zadania
Dokumenty do analizy AI (źródła RAG)
Rozmowy z naszym asystentem AI
Inne informacje biznesowe podane przez użytkownika
Te informacje biznesowe są przetwarzane w celu świadczenia usług na rzecz użytkownika.
1.2 Informacje zbierane automatycznie
Dane techniczne
| Dane | Cel | Przechowywanie |
|---|---|---|
| Adres IP | Bezpieczeństwo, zapobieganie oszustwom | Zastępowany przy nowym logowaniu |
| Agent użytkownika (przeglądarka/urządzenie) | Bezpieczeństwo, zarządzanie sesją | Czas trwania sesji |
| Znaczniki czasu logowania | Audyt bezpieczeństwa | Zastąpiony |
| Dane sesji | Status uwierzytelniania | 14-30 dni |
| Nieudane próby logowania | Ochrona przed brutalną siłą | Reset po pomyślnym zalogowaniu |
Dane użytkowania
| Dane | Cel | Przechowywanie |
|---|---|---|
| Wykorzystanie funkcji AI (tokeny, model, opóźnienie) | Rozliczenia, analityka | 365 dni |
| Dzienniki aktywności (wykonane działania) | Ścieżka audytu | 12-36 miesięcy |
Ważne: Nie przechowujemy podpowiedzi AI ani odpowiedzi generowanych przez AI. Rejestrowane są tylko metadane związane z wykorzystaniem sztucznej inteligencji (takie jak liczba tokenów i czasy odpowiedzi).
1.3 Informacje od osób trzecich
Pojedyncze logowanie (SSO)
Jeśli użytkownik loguje się za pośrednictwem Google lub Microsoft, otrzymujemy jego imię i nazwisko, adres e-mail i zdjęcie profilowe od dostawcy SSO.
Informacje dotyczące płatności
Używamy Stripe do przetwarzania płatności. Stripe gromadzi i przetwarza informacje o karcie płatniczej bezpośrednio. Otrzymujemy tylko identyfikator klienta Stripe i status subskrypcji – nigdy dane karty.
Integracje
W przypadku podłączenia usług innych firm (np. Slack, Google Workspace) otrzymujemy dane wymagane do integracji zgodnie z konfiguracją użytkownika.
2. Jak wykorzystujemy dane użytkownika
| Cel | Podstawa prawna (RODO) |
|---|---|
| Świadczenie usług (zarządzanie kontem, funkcje AI, przechowywanie danych) | Wykonanie umowy (art. 6 ust. 1 lit. b)) |
| Przetwarzanie płatności i zarządzanie subskrypcjami | Realizacja umów |
| Wysyłanie transakcyjnych wiadomości e-mail (kody OTP, powiadomienia) | Realizacja umowy |
| Zapewnienie bezpieczeństwa i zapobieganie oszustwom | Uzasadniony interes (art. 6 ust. 1 lit. f)) |
| Prowadzenie dzienników audytów w celu zapewnienia zgodności z przepisami | Uzasadniony interes / obowiązek prawny |
| Ulepszanie usług (zagregowane dane analityczne) | Uzasadniony interes |
| Odpowiadanie na prośby o wsparcie | Realizacja umowy |
| Zgodność ze zobowiązaniami prawnymi | Obowiązek prawny (art. 6 ust. 1 lit. c)) |
Nie robimy tego:
Sprzedaż danych osobowych
Wykorzystywanie danych do celów reklamowych
Udostępnianie danych brokerom danych
Wykorzystywanie danych biznesowych do trenowania modeli sztucznej inteligencji (bez wyraźnej zgody)
3. Przetwarzanie danych AI
3.1 Jak działają funkcje AI
Twoje podpowiedzi i kontekst są wysyłane do naszych dostawców usług AI (Anthropic, OpenAI, Google, Mistral).
Dostawca AI przetwarza żądanie i zwraca odpowiedź
Wyświetlamy odpowiedź dla użytkownika
Rejestrujemy tylko metadane (użyte tokeny, czas przetwarzania, koszt).
3.2 Co przechowujemy
| Przechowywane | Nie przechowywane |
|---|---|
| Historia konwersacji (dla ciągłości) | Surowe monity AI wysyłane do dostawców |
| Metadane użycia sztucznej inteligencji (tokeny, opóźnienie, koszt) | Odpowiedzi dostawcy sztucznej inteligencji |
| Osadzanie dokumentów (na potrzeby wyszukiwania) | Oryginalny tekst dokumentu po indeksowaniu |
3.3 Przetwarzanie przez dostawcę usług AI
OpenAI: flaga store=False wyłącza retencję
Antropiczny: Standardowy interfejs API bez szkolenia w zakresie danych wejściowych
Google Vertex AI: region UE, gdy będzie dostępny
Mistral: Dostawca z siedzibą w UE
Nie zezwalamy naszym dostawcom sztucznej inteligencji na wykorzystywanie danych użytkownika do szkolenia modeli.
3.4 RAG (analiza dokumentów)
Tekst jest wyodrębniany z dokumentu
Tekst jest konwertowany na osadzenia wektorowe
Oryginalny tekst jest usuwany w ciągu 24 godzin
Osadzenia i fragmenty tekstu są przechowywane dla funkcji wyszukiwania
Usunięcie źródła powoduje usunięcie wszystkich powiązanych danych
4. Udostępnianie danych
4.1 Usługodawcy (Podprzetwarzający)
| Dostawca | Cel | Lokalizacja |
|---|---|---|
| AWS | Hosting infrastruktury | UE (Sztokholm) |
| Antropiczny | Przetwarzanie AI | USA |
| OpenAI | Przetwarzanie AI | USA |
| Przetwarzanie AI | UE/USA | |
| Mistral | Przetwarzanie AI | UE (Francja) |
| Stripe | Przetwarzanie płatności | USA/UE |
| Wyślij ponownie | Dostarczanie wiadomości e-mail | UE |
Pełna lista dostępna na stronie: https://suunta.ai/legal/subprocessors
4.2 Integracje inicjowane przez klientów
Slack: Wiadomości, powiadomienia zgodnie z konfiguracją
Google Workspace: Wydarzenia kalendarza, dane arkusza kalkulacyjnego zgodnie z konfiguracją
Zapier/Make: Dane Webhook zgodnie z konfiguracją
Kontrolujesz, które integracje są włączone i jakie dane są udostępniane.
4.3 Wymogi prawne
Możemy udostępniać dane:
Przestrzeganie obowiązujących przepisów prawa lub procedur prawnych
Odpowiadanie na zgodne z prawem żądania władz
Ochrona naszych praw, prywatności, bezpieczeństwa lub własności
W związku z fuzją, przejęciem lub sprzedażą przedsiębiorstwa
4.4 Za zgodą użytkownika
Możemy udostępniać dane stronom trzecim, jeśli użytkownik wyraził na to wyraźną zgodę.
5. Przelewy międzynarodowe
5.1 Gdzie przetwarzamy dane
Podstawowe przetwarzanie odbywa się w UE (AWS Sztokholm, eu-north-1). Przetwarzanie AI może odbywać się w USA za pośrednictwem dostawców AI.
5.2 Zabezpieczenia transferu
W przypadku przekazywania danych poza EOG polegamy na:
Standardowe klauzule umowne Komisji Europejskiej (SCC)
Dodatkowe środki, w tym szyfrowanie i kontrola dostępu
Certyfikaty dostawcy (np. SOC 2, ISO 27001)
6. Przechowywanie danych
6.1 Okresy przechowywania
| Typ danych | Retencja |
|---|---|
| Aktywne konta użytkowników | Czas użytkowania |
| Usunięte konta użytkowników | Natychmiast zanonimizowane |
| Dane organizacji | Do momentu usunięcia + 90 dni (kopie zapasowe) |
| Metadane użycia sztucznej inteligencji | 365 dni |
| Dzienniki audytu (standard) | 24 miesiące |
| Dzienniki audytu (krytyczne) | 36 miesięcy |
| Dane rozliczeniowe | 6 lat (prawo fińskie) |
| Kopie zapasowe | 30 dni |
6.2 Usuwanie konta
Dane osobowe są anonimizowane
Adres e-mail jest zastępowany symbolem zastępczym
Członkostwo w organizacji zostaje usunięte
Sesje są odwoływane
Dzienniki audytu są przechowywane (z anonimowym identyfikatorem aktora).
6.3 Usuwanie organizacji
30-dniowy okres karencji (odwracalny)
Trwałe usunięcie wszystkich danych organizacji
Konta użytkowników pozostają, ale tracą dostęp do organizacji
Utworzono niezmienny wpis dziennika audytu zgodności
7. Prawa użytkownika
Zgodnie z RODO użytkownikowi przysługują następujące prawa, z których może skorzystać za pośrednictwem Ustawień lub kontaktując się z privacy@suunta.ai:
Prawo dostępu (art. 15): Ustawienia → Eksportuj dane
Prawo do sprostowania (art. 16): Ustawienia → Profil
Prawo do usunięcia danych (art. 17): Ustawienia → Usuń konto / Usuń organizację
Prawo do ograniczeń (art. 18): E-mail privacy@suunta.ai
Prawo do przenoszenia danych (art. 20): Ustawienia → Eksport danych
Prawo do sprzeciwu (art. 21): Email privacy@suunta.ai
Prawo do wycofania zgody: Ustawienia → Preferencje marketingowe
Użytkownik ma również prawo do złożenia skargi do organu nadzorczego w Finlandii:
Biuro Rzecznika Ochrony Danych
Lintulahdenkuja 4, 00530 Helsinki
tietosuoja@om.fi
+358 29 566 6700
8. Pliki cookie i podobne technologie
8.1 Używane przez nas pliki cookie
| Ciasteczko | Typ | Cel | Czas trwania |
|---|---|---|---|
| sesja | Niezbędny | Uwierzytelnianie | 14-30 dni |
8.2 Nie używamy
Google Analytics
Piksel Facebooka
Marketingowe pliki cookie
Śledzące pliki cookie stron trzecich
8.3 Lokalna pamięć masowa
| Klucz | Cel |
|---|---|
| sidebarCollapsed | Preferencje interfejsu użytkownika |
| motyw | Motyw wyświetlacza |
| userTimezone | Wyświetlanie czasu |
8.4 Skrypty innych firm
Stripe (js.stripe.com): Przetwarzanie płatności
Czcionki Google: Typografia
Font Awesome: Ikony
Usługi te mogą ustawiać własne pliki cookie. Należy zapoznać się z ich polityką prywatności.
9. Bezpieczeństwo
9.1 Środki techniczne
Szyfrowanie: TLS 1.2+ w tranzycie, AES-256 w spoczynku
Bezpieczeństwo haseł: Hashowanie PBKDF2-SHA256
Bezpieczeństwo sesji: HttpOnly, Secure, SameSite cookies
Kontrola dostępu: Oparta na rolach, odizolowana od organizacji
9.2 Środki organizacyjne
Zobowiązania pracowników do zachowania poufności
Szkolenie w zakresie bezpieczeństwa
Procedury reagowania na incydenty
Regularne oceny bezpieczeństwa
9.3 Obowiązki użytkownika
Zabezpiecz swoje hasło
Używaj silnego, unikalnego hasła
Natychmiast zgłaszaj podejrzane działania
Wylogowanie na udostępnionych urządzeniach
10. Prywatność dzieci
Suunta.ai to usługa biznesowa przeznaczona dla profesjonalistów. Nie jest on skierowany do osób poniżej 18 roku życia. Nie zbieramy świadomie danych osobowych od dzieci.
11. Zmiany w niniejszej Polityce
Od czasu do czasu możemy aktualizować niniejszą Politykę prywatności. Powiadomimy użytkownika o istotnych zmianach za pośrednictwem wiadomości e-mail co najmniej 30 dni przed ich wejściem w życie oraz w widocznym miejscu na naszej stronie internetowej. Dalsze korzystanie z usług po wprowadzeniu zmian oznacza ich akceptację.
12. Kontakt
W przypadku pytań dotyczących prywatności lub w celu skorzystania z przysługujących praw:
Y4 Works Oy (Suunta.ai)
Email: privacy@suunta.ai
Pytania ogólne: team@suunta.ai
13. Dodatkowe informacje dla użytkowników z EOG
13.1 Podsumowanie podstawy prawnej
| Czynność przetwarzania | Podstawa prawna |
|---|---|
| Zarządzanie kontem | Umowa |
| Świadczenie usług | Umowa |
| Przetwarzanie płatności | Umowa |
| Transakcyjne wiadomości e-mail | Umowa |
| Środki bezpieczeństwa | Uzasadniony interes |
| Rejestrowanie audytów | Uzasadniony interes / obowiązek prawny |
| Marketing (jeśli udzielono zgody) | Zgoda |
13.2 Inspektor ochrony danych
Jako mała firma nie wyznaczyliśmy formalnego inspektora ochrony danych. Zapytania dotyczące ochrony danych można kierować na adres: privacy@suunta.ai.
13.3 Zautomatyzowane podejmowanie decyzji
Nie podejmujemy zautomatyzowanych decyzji, które wywołują skutki prawne lub mają podobny znaczący wpływ na użytkownika. Funkcje AI dostarczają rekomendacji i analiz, ale ostateczne decyzje podejmowane są przez użytkownika.