Rakomi

Polityka Prywatności

Podsumowanie

Data wejścia w życie: 2026-04-22 Wersja: 6

1. Kim jesteśmy

Rakomi to platforma uwierzytelniania jako usługa (Auth-as-a-Service) prowadzona przez:

CRE8EVE Sp. z o.o. Tulipanowa 4, 72-003 Dobra KRS: 0000912669 (Sąd Rejonowy Szczecin-Centrum w Szczecinie, XIII Wydział Gospodarczy KRS) NIP: 8513262229 | REGON: 389506637 Kapitał zakładowy: 5 000,00 zł

Kontakt w sprawie ochrony danych: dpo@rakomi.com Kontakt ogólny: info@rakomi.com Kontakt w sprawie bezpieczeństwa: security@rakomi.com

CRE8EVE nie wyznaczyło Inspektora Ochrony Danych (IOD) w rozumieniu art. 37 RODO, ponieważ nie spełnia kryteriów obowiązkowego wyznaczenia. Ocena ta będzie weryfikowana corocznie lub w przypadku istotnej zmiany czynności przetwarzania. Wszelkie zapytania dotyczące ochrony danych należy kierować na adres dpo@rakomi.com.

Nasze trzy role na gruncie RODO

CRE8EVE pełni trzy odrębne role w zakresie przetwarzania danych:

Czynność przetwarzania Rola CRE8EVE Podstawa prawna Osoby, których dane dotyczą
Konta członków panelu (imię, e-mail, hasło, sesje) Administrator danych Art. 6 ust. 1 lit. b — wykonanie umowy Deweloperzy tenantów
Dane uwierzytelniające użytkowników końcowych (w imieniu tenantów) Podmiot przetwarzający Art. 28 — Umowa Powierzenia Danych Użytkownicy końcowi aplikacji tenantów
Operacje bezpieczeństwa platformy (wykrywanie credential stuffing, korelacja IP między tenantami) Niezależny administrator Art. 6 ust. 1 lit. f — prawnie uzasadniony interes Wszyscy użytkownicy (użytkownicy końcowi i członkowie panelu)

2. Zakres niniejszej polityki

Niniejsza Polityka Prywatności reguluje:

Niniejsza Polityka Prywatności NIE reguluje:

Danych użytkowników końcowych przetwarzanych za pośrednictwem platformy Rakomi w imieniu deweloperów tenantów. Gdy tenant integruje Rakomi ze swoją aplikacją, tenant jest Administratorem danych osobowych swoich użytkowników końcowych. CRE8EVE przetwarza te dane wyłącznie jako Podmiot przetwarzający na podstawie Umowy Powierzenia Danych. Użytkownicy końcowi powinni zapoznać się z polityką prywatności aplikacji tenanta, aby uzyskać informacje o sposobie przetwarzania ich danych.

Innymi słowy: jeśli zarejestrowałeś się bezpośrednio na rakomi.com, ta polityka dotyczy Ciebie. Jeśli logujesz się do aplikacji innej firmy, która używa Rakomi do uwierzytelniania, obowiązuje polityka prywatności tej aplikacji — nie nasza. My przetwarzamy Twoje dane wyłącznie na polecenie tej aplikacji.

3. Dane, które zbieramy

3.1 Członkowie panelu (relacja administratora)

Gdy tworzysz konto w panelu Rakomi, zbieramy i przetwarzamy:

Kategoria Dane Wymagane Cel
Tożsamość Imię i nazwisko, adres e-mail Tak Obsługa konta, komunikacja
Bezpieczeństwo Hash hasła (algorytm zgodny ze standardem branżowym) Tak (chyba że użytkownik magic-link) Uwierzytelnianie
Bezpieczeństwo Tokeny magic link Tymczasowe Uwierzytelnianie bez hasła
Bezpieczeństwo Publiczny identyfikator kryptograficzny oraz minimalne metadane typu urządzenia dla zarejestrowanych poświadczeń bezpieczeństwa (passkey) Opcjonalnie Logowanie odporne na phishing
Sesja ID sesji, token, hash IP, hash user agent Tak Zarządzanie sesjami, monitorowanie bezpieczeństwa
Audyt Zdarzenia uwierzytelniania, akcje, znaczniki czasu Tak Ścieżka audytu bezpieczeństwa, zgodność
Federacja Dostawca OAuth, identyfikator podmiotu, e-mail (przy logowaniu przez Google, GitHub, Microsoft, Apple, Discord, Facebook, Slack, Twitter/X, GitLab lub LinkedIn) Warunkowo Uwierzytelnianie sfederowane
Rozliczenia Plan subskrypcyjny, interwał rozliczeniowy, status płatności, identyfikatory subskrypcji Warunkowo (plany płatne) Zarządzanie subskrypcjami, przetwarzanie płatności

Dane, których NIE zbieramy: adresy fizyczne, numery telefonów, analityka behawioralna, identyfikatory reklamowe ani dane szczególnych kategorii z art. 9 RODO (dane dotyczące zdrowia, biometryczne, pochodzenia rasowego/etnicznego, poglądów politycznych, przekonań religijnych, przynależności do związków zawodowych, danych genetycznych, życia seksualnego/orientacji seksualnej, wyroków skazujących).

Poświadczenia bezpieczeństwa (passkey): Aby umożliwić logowanie odporne na phishing, przechowujemy publiczny identyfikator kryptograficzny oraz minimalne metadane typu urządzenia dla każdego zarejestrowanego poświadczenia bezpieczeństwa. Nie przechowujemy materiału klucza prywatnego ani surowych identyfikatorów urządzeń. W dowolnym momencie możesz usunąć każde poświadczenie z ustawień swojego konta. Zarejestrowane poświadczenia są usuwane automatycznie po usunięciu konta.

3.2 Bezpieczeństwo platformy (Niezależny Administrator)

W celu wykrywania credential stuffing przetwarzamy:

Kategoria Dane Przechowywanie Retencja
Adres IP Surowy adres IP Wyłącznie w pamięci operacyjnej 1-godzinne okno kroczące
Agregat Liczba tenantów na IP Wyłącznie w pamięci operacyjnej 1-godzinne okno kroczące

Dane te nigdy nie są zapisywane na dysku ani w bazie danych. Służą wyłącznie do zliczania, do ilu różnych aplikacji tenantów pojedynczy adres IP próbuje się uwierzytelnić w ciągu jednej godziny.

Innymi słowy: analizujemy wzorce logowania w aplikacjach tenantów, aby wykrywać ataki credential stuffing. Nie profilujemy poszczególnych użytkowników — liczymy jedynie, do ilu różnych aplikacji ten sam adres IP próbuje uzyskać dostęp w ciągu jednej godziny. Jeśli liczba jest niezwykle wysoka, tymczasowo blokujemy ten IP na jedną godzinę. To chroni Ciebie i wszystkich innych użytkowników platformy.

3.3 Pseudonimizacja

Adresy IP i ciągi user agent przechowywane w logach audytowych są pseudonimizowane za pomocą hashowania kluczowanego HMAC-SHA256. Zgodnie z Wytycznymi EDPB 01/2025 dotyczącymi pseudonimizacji, dane pseudonimizowane pozostają danymi osobowymi w rozumieniu RODO — nie są danymi zanonimizowanymi. Hashowanie kluczowane oznacza, że bez dostępu do klucza HMAC nie można odtworzyć oryginalnego adresu IP ani user agent na podstawie samego hasha.

3.4 Identyfikatory gości (anonimowe)

Jeżeli aplikacja klienta (tenantu) udostępni taką funkcję, możemy utworzyć krótkotrwały nieprzejrzysty identyfikator dla użytkowników, którzy nie zarejestrowali konta, aby mogli wypróbować aplikację przed założeniem konta. Identyfikator ten jest automatycznie usuwany po okresie bezczynności skonfigurowanym przez tenanta (od 1 do 90 dni, domyślnie 30). Na rekordzie gościa nie są przechowywane adres e-mail, imię i nazwisko, numer telefonu ani inne dane bezpośrednio identyfikujące. Pseudonimiczne identyfikatory pozbawione danych kontaktowych nie pozwalają na powiązanie z osobą fizyczną w celu realizacji żądań dostępu; aby skorzystać z praw osoby, której dane dotyczą, użytkownik powinien założyć konto (proces claim), po czym zaczyna obowiązywać standardowy zakres tych praw.

Przekształcenie konta gościa w konto zarejestrowane (claim) można przeprowadzić zarówno poprzez rejestrację z adresem e-mail i hasłem, jak i poprzez zalogowanie się przy użyciu obsługiwanego dostawcy logowania społecznościowego. W obu przypadkach rekord gościa jest aktualizowany w miejscu — nie powstaje zduplikowane konto, a dane powiązane dotychczas z identyfikatorem gościa (np. stan sesji, preferencje specyficzne dla aplikacji) przechodzą na konto zidentyfikowanej osoby.

4. Jak wykorzystujemy Twoje dane (cele i podstawy prawne)

CRE8EVE nie opiera się na art. 6 ust. 1 lit. a RODO (zgoda) jako podstawie prawnej jakiejkolwiek czynności przetwarzania. Całe przetwarzanie odbywa się na podstawie wykonania umowy, obowiązku prawnego lub prawnie uzasadnionego interesu. Ponieważ nie wykorzystujemy zgody, prawo do wycofania zgody (art. 7 ust. 3) nie ma zastosowania.

4.1 Wykonanie umowy — art. 6 ust. 1 lit. b

Czynność przetwarzania Cel
Tworzenie i zarządzanie kontem Świadczenie usługi uwierzytelniania Rakomi
Zarządzanie sesjami i wydawanie JWT Uwierzytelnianie użytkowników i utrzymywanie sesji
Weryfikacja e-mail i resetowanie hasła Zabezpieczanie dostępu do konta
Wysyłka e-maili transakcyjnych (przez Brevo) Powiadomienia o koncie, alerty bezpieczeństwa
Federacja OAuth (przez Google, GitHub, Microsoft, Apple, Discord, Facebook, Slack, Twitter/X, GitLab lub LinkedIn — gdy włączone) Umożliwienie sfederowanego logowania
Zarządzanie subskrypcjami i przetwarzanie płatności (przez procesora płatności) Zarządzanie ulepszeniami planów, obniżeniami i cyklami rozliczeniowymi
Rejestrowanie zgody na zrzeczenie się prawa odstąpienia (art. 16 lit. m) Udokumentowanie zgody na natychmiastowy dostęp do usługi

4.2 Obowiązek prawny — art. 6 ust. 1 lit. c

Czynność przetwarzania Podstawa prawna
Ścieżki audytu zgodności Zasada rozliczalności z art. 5 ust. 2 RODO, art. 30 — rejestry czynności przetwarzania

4.3 Prawnie uzasadniony interes — art. 6 ust. 1 lit. f

Dla każdej czynności opartej na prawnie uzasadnionym interesie stosujemy trzyczęściowy test kumulatywny wymagany przez Wytyczne EDPB 1/2024:

Czynność 1: Rejestrowanie zdarzeń bezpieczeństwa

  1. Zidentyfikowany interes: Ochrona platformy i jej użytkowników przed nieautoryzowanym dostępem, wykrywanie anomalii oraz prowadzenie ścieżek audytu na potrzeby reagowania na incydenty.
  2. Konieczność: Rejestrowanie zdarzeń bezpieczeństwa jest niezbędne do wykrywania zagrożeń i reagowania na nie. Nie istnieje mniej inwazyjna alternatywa zapewniająca ten sam rezultat w zakresie bezpieczeństwa.
  3. Test równowagi: Dane IP i user agent są pseudonimizowane (HMAC-SHA256). Retencja hashów IP/UA jest ograniczona do 90 dni. Przetwarzanie bezpośrednio chroni osoby, których dane dotyczą, zabezpieczając ich konta. Wpływ na osoby jest minimalny ze względu na pseudonimizację.

Czynność 2: Wykrywanie credential stuffing

  1. Zidentyfikowany interes: Ochrona wszystkich użytkowników platformy przed atakami credential stuffing — powszechnym zagrożeniem, w którym atakujący wykorzystują wyciekłe dane logowania z innych serwisów do kompromitacji kont.
  2. Konieczność: Korelacja IP między tenantami jest jedyną skuteczną metodą wykrywania skoordynowanych ataków wymierzonych jednocześnie w wiele aplikacji tenantów. Wykrywanie w obrębie pojedynczego tenanta nie pozwala zidentyfikować tego wzorca.
  3. Test równowagi: Przetwarzane są wyłącznie surowe adresy IP, wyłącznie w pamięci operacyjnej, przez maksymalnie 1 godzinę. Nie dochodzi do profilowania indywidualnego — obliczany jest jedynie agregat IP-do-liczby-tenantów. Maksymalnym negatywnym skutkiem jest tymczasowe 1-godzinne opóźnienie uwierzytelniania z dotkniętego adresu IP, z prawem do zakwestionowania (zob. Sekcja 11). Przetwarzanie chroni osoby, których dane dotyczą, zapobiegając przejęciu kont.

Innymi słowy: musimy widzieć wzorce logowania w całej platformie, aby wychwycić atakujących, którzy próbują tych samych skradzionych haseł wszędzie. Zapamiętujemy adres IP tylko na jedną godzinę i liczymy jedynie, do ilu aplikacji próbował uzyskać dostęp — nic więcej.

Czynność 3: Zapobieganie nadużyciom

  1. Zidentyfikowany interes: Zapobieganie nadużyciom platformy, w tym phishingowi, nielegalnemu zbieraniu danych i nadużywaniu usługi.
  2. Konieczność: Ograniczanie szybkości zapytań i wykrywanie nadużyć wymagają przetwarzania metadanych żądań w celu identyfikacji wzorców.
  3. Test równowagi: Przetwarzanie jest ograniczone do metadanych niezbędnych do wykrywania nadużyć. Okresy retencji są proporcjonalne do krajobrazu zagrożeń.

4.4 Art. 5 ust. 1 lit. a — rzetelność — korelacja IP między tenantami

Korelacja IP między tenantami nie stawia osób, których dane dotyczą, w niekorzystnej sytuacji, ponieważ: (a) przetwarzanie chroni je przed atakami credential stuffing, (b) nie dochodzi do profilowania indywidualnego — obliczany jest jedynie agregat IP-do-liczby-tenantów, (c) maksymalnym negatywnym skutkiem jest tymczasowe 1-godzinne opóźnienie uwierzytelniania z prawem do zakwestionowania, (d) niniejsza Polityka Prywatności zapewnia pełną przejrzystość poprzez ujawnienia z art. 14 (zob. Sekcja 8).

4.5 Art. 5 ust. 1 lit. b — ograniczenie celu

5. Automatyczne podejmowanie decyzji (art. 22)

5.1 Wykrywanie credential stuffing

Rakomi stosuje automatyczne wykrywanie credential stuffing, które może tymczasowo blokować żądania uwierzytelniania z określonych adresów IP. Jest to decyzja podejmowana wyłącznie w sposób zautomatyzowany w rozumieniu art. 22 ust. 1 RODO.

Jak to działa:

Podstawa prawna automatycznego przetwarzania: CRE8EVE powołuje się na art. 22 ust. 2 lit. b — przetwarzanie dozwolone przez prawo UE. W szczególności art. 32 ust. 1 lit. b RODO nakłada obowiązek bezpieczeństwa wymagający zastosowania odpowiednich środków technicznych zapewniających stopień bezpieczeństwa odpowiadający ryzyku. Automatyczne wykrywanie credential stuffing jest standardowym technicznym środkiem bezpieczeństwa realizującym ten obowiązek.

Decyzja ta NIE opiera się na danych szczególnych kategorii z art. 9. Adresy IP nie są danymi szczególnych kategorii.

Gwarancje z art. 22 ust. 3 są zapewnione niezależnie od tego, czy art. 22 ust. 1 ma zastosowanie:

Innymi słowy: jeśli Twój IP zostanie zablokowany, ponieważ nasz system uzna, że wygląda to na atak, możesz do nas napisać, a człowiek to zweryfikuje. Jeśli to pomyłka, odblokujemy Cię.

5.2 Automatyczne decyzje rozliczeniowe

Rakomi stosuje automatyczne decyzje rozliczeniowe, które mogą wpływać na dostępność usługi:

Egzekwowanie limitu MAU (miesięcznie aktywnych użytkowników):

Ograniczenia przy przeterminowanej subskrypcji:

Wygaśnięcie okresu próbnego:

Gwarancje z art. 22 ust. 3 mają zastosowanie do wszystkich automatycznych decyzji rozliczeniowych:

6. Udostępnianie danych i podwykonawcy przetwarzania

Udostępniamy dane osobowe wyłącznie następującym dostawcom usług, z których każdym mamy zawarte umowy powierzenia przetwarzania:

Podwykonawca Usługa Kategorie danych Lokalizacja UE/Poza UE UPD
Hetzner Online GmbH Hosting infrastruktury i bazy danych Wszystkie dane osobowe Niemcy UE UPD Hetzner
Brevo (Sendinblue SAS) Wysyłka e-maili transakcyjnych Adresy e-mail, adresy IP, ciągi user agent, nazwy tenantów (w treści HTML e-maili transakcyjnych) Francja UE UPD Brevo
Google LLC Federacja OAuth (warunkowo — tylko gdy tenant włączy logowanie przez Google) Adres e-mail, identyfikator podmiotu USA Poza UE (DPF) UPD Google
GitHub, Inc. (spółka zależna Microsoft Corporation) Federacja OAuth (warunkowo — tylko gdy tenant włączy logowanie przez GitHub) Adres e-mail, identyfikator podmiotu, opcjonalna nazwa wyświetlana USA Poza UE (DPF) UPD GitHub
Microsoft Corporation Federacja OAuth (warunkowo — tylko gdy tenant włączy logowanie przez Microsoft lub LinkedIn) Adres e-mail, identyfikator uwierzytelniania (identyfikator obiektu), identyfikator tenanta (do celów audytu forensycznego) USA Poza UE (DPF) UPD Microsoft
Apple Inc. Federacja OAuth (warunkowo — tylko gdy tenant włączy Apple Sign In) Adres e-mail (może być zanonimizowany przez Apple Private Email Relay), identyfikator podmiotu USA Poza UE (DPF) UPD Apple
Discord, Inc. Federacja OAuth (warunkowo — tylko gdy tenant włączy logowanie przez Discord) Adres e-mail, identyfikator podmiotu USA Poza UE (DPF) Brak publicznego UPD
Meta Platforms, Inc. Federacja OAuth (warunkowo — tylko gdy tenant włączy logowanie przez Facebook) Adres e-mail (gdy podany), identyfikator podmiotu USA Poza UE (DPF + SKU) UPD Meta
Salesforce, Inc. / Slack Technologies Federacja OAuth (warunkowo — tylko gdy tenant włączy logowanie przez Slack) Adres e-mail, identyfikator podmiotu, identyfikator przestrzeni roboczej USA Poza UE (DPF) UPD Slack
X Corp. Federacja OAuth (warunkowo — tylko gdy tenant włączy logowanie przez Twitter/X) Adres e-mail, identyfikator podmiotu USA Poza UE (DPF) Brak publicznego UPD
GitLab Inc. Federacja OAuth (warunkowo — tylko gdy tenant włączy logowanie przez GitLab, obsługuje instancje self-hosted) Adres e-mail, identyfikator podmiotu USA Poza UE (DPF) UPD GitLab
Cloudflare, Inc. Ochrona przed botami / alternatywa CAPTCHA (Turnstile) — wyłącznie formularz rejestracji publicznej Adresy IP (weryfikacja tokenu po stronie serwera; brak ciasteczek, brak trwałych identyfikatorów) USA Poza UE (DPF) UPD Cloudflare
Stripe, Inc. Przetwarzanie płatności Identyfikatory subskrypcji, status płatności, metadane rozliczeniowe USA + Irlandia Poza UE (DPF + SKU) UPD Stripe

Certyfikaty podwykonawców:

Nie sprzedajemy, nie wynajmujemy ani nie udostępniamy danych osobowych reklamodawcom, brokerom danych ani żadnym innym podmiotom trzecim poza wymienionymi powyżej.

7. Przekazywanie danych do państw trzecich

Zasadnicze przetwarzanie danych odbywa się na terenie Unii Europejskiej:

Przekazywanie do Google LLC (USA): Gdy tenant włączy federację OAuth Google, adresy e-mail i identyfikatory podmiotów są udostępniane Google LLC w Stanach Zjednoczonych. Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony w ramach EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie przekazywania.

Jako środek awaryjny: w przypadku unieważnienia decyzji o adekwatności DPF, przekazywanie do Google LLC będzie kontynuowane na podstawie Standardowych Klauzul Umownych (SKU) Moduł 3 (podmiot przetwarzający — podmiot przetwarzający) zgodnie z Decyzją Wykonawczą Komisji (UE) 2021/914, już obowiązujących jako mechanizm uzupełniający.

Przekazywanie do GitHub, Inc. (USA): Gdy tenant włączy federację OAuth GitHub, adresy e-mail, identyfikatory podmiotów i opcjonalne nazwy wyświetlane są udostępniane GitHub, Inc. — spółce zależnej Microsoft Corporation — w Stanach Zjednoczonych. GitHub, Inc. uczestniczy w EU-US Data Privacy Framework jako spółka zależna Microsoft Corporation. Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony w ramach EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie przekazywania.

Przekazywanie do Microsoft Corporation (USA): Gdy tenant włączy federację OAuth Microsoft lub LinkedIn, adresy e-mail, identyfikatory uwierzytelniania (identyfikatory obiektów) i identyfikatory tenantów są udostępniane Microsoft Corporation w Stanach Zjednoczonych. Microsoft Corporation jest bezpośrednim uczestnikiem EU-US Data Privacy Framework (certyfikacja zweryfikowana na dataprivacyframework.gov). Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony w ramach EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie przekazywania. Wywołania Microsoft Graph API (przy resolwowaniu adresu e-mail) są objęte tym samym mechanizmem. Federacja OAuth LinkedIn jest obsługiwana przez Microsoft Corporation jako podmiot prawny.

Jako środek awaryjny: w przypadku unieważnienia decyzji o adekwatności DPF, przekazywanie do Microsoft Corporation będzie kontynuowane na podstawie Standardowych Klauzul Umownych (SKU) Moduł 3 (podmiot przetwarzający — podmiot przetwarzający) zgodnie z Decyzją Wykonawczą Komisji (UE) 2021/914.

Przekazywanie do Apple Inc. (USA): Gdy tenant włączy Apple Sign In, adresy e-mail (które mogą być zanonimizowane przez usługę Apple Private Email Relay) i identyfikatory podmiotów są udostępniane Apple Inc. w Stanach Zjednoczonych podczas procesu uwierzytelniania. Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony w ramach EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie przekazywania.

Jako środek awaryjny: w przypadku unieważnienia decyzji o adekwatności DPF, przekazywanie do Apple Inc. będzie kontynuowane na podstawie Standardowych Klauzul Umownych (SKU) Moduł 3 (podmiot przetwarzający — podmiot przetwarzający) zgodnie z Decyzją Wykonawczą Komisji (UE) 2021/914.

Przekazywanie do Discord, Inc. (USA): Gdy tenant włączy logowanie przez Discord, adresy e-mail i identyfikatory podmiotów są udostępniane Discord, Inc. w Stanach Zjednoczonych podczas procesu uwierzytelniania. Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony w ramach EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie przekazywania, z zastrzeżeniem weryfikacji statusu uczestnictwa Discord w DPF.

Jako środek awaryjny: w przypadku unieważnienia decyzji o adekwatności DPF lub braku możliwości zweryfikowania uczestnictwa Discord, przekazywanie do Discord, Inc. będzie kontynuowane na podstawie Standardowych Klauzul Umownych (SKU) Moduł 3 (podmiot przetwarzający — podmiot przetwarzający) zgodnie z Decyzją Wykonawczą Komisji (UE) 2021/914.

Przekazywanie do Meta Platforms, Inc. (USA): Gdy tenant włączy logowanie przez Facebook, adresy e-mail (gdy podane przez użytkownika) i identyfikatory podmiotów są udostępniane Meta Platforms, Inc. w Stanach Zjednoczonych podczas procesu uwierzytelniania. Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony w ramach EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie przekazywania, ze Standardowymi Klauzulami Umownymi (SKU) jako mechanizmem uzupełniającym.

Jako środek awaryjny: w przypadku unieważnienia decyzji o adekwatności DPF, przekazywanie do Meta Platforms, Inc. będzie kontynuowane na podstawie Standardowych Klauzul Umownych (SKU) Moduł 3 (podmiot przetwarzający — podmiot przetwarzający) zgodnie z Decyzją Wykonawczą Komisji (UE) 2021/914.

Przekazywanie do Salesforce, Inc. / Slack Technologies (USA): Gdy tenant włączy logowanie przez Slack, adresy e-mail, identyfikatory podmiotów i identyfikatory przestrzeni roboczej są udostępniane Salesforce, Inc. (Slack Technologies) w Stanach Zjednoczonych podczas procesu uwierzytelniania. Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony w ramach EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie przekazywania.

Jako środek awaryjny: w przypadku unieważnienia decyzji o adekwatności DPF, przekazywanie do Salesforce, Inc. będzie kontynuowane na podstawie Standardowych Klauzul Umownych (SKU) Moduł 3 (podmiot przetwarzający — podmiot przetwarzający) zgodnie z Decyzją Wykonawczą Komisji (UE) 2021/914.

Przekazywanie do X Corp. (USA): Gdy tenant włączy logowanie przez Twitter/X, adresy e-mail i identyfikatory podmiotów są udostępniane X Corp. w Stanach Zjednoczonych podczas procesu uwierzytelniania. Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony w ramach EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie przekazywania, z zastrzeżeniem weryfikacji statusu uczestnictwa X Corp. w DPF.

Jako środek awaryjny: w przypadku unieważnienia decyzji o adekwatności DPF lub braku możliwości zweryfikowania uczestnictwa X Corp., przekazywanie do X Corp. będzie kontynuowane na podstawie Standardowych Klauzul Umownych (SKU) Moduł 3 (podmiot przetwarzający — podmiot przetwarzający) zgodnie z Decyzją Wykonawczą Komisji (UE) 2021/914.

Przekazywanie do GitLab Inc. (USA): Gdy tenant włączy logowanie przez GitLab, adresy e-mail i identyfikatory podmiotów są udostępniane GitLab Inc. w Stanach Zjednoczonych podczas procesu uwierzytelniania. W przypadku instancji self-hosted GitLab dane są udostępniane serwerowi self-hosted w lokalizacji określonej przez tenanta. Przekazanie to (dla GitLab.com) opiera się na decyzji stwierdzającej odpowiedni stopień ochrony w ramach EU-US Data Privacy Framework (DPF) (Decyzja Wykonawcza Komisji C(2023) 4745) jako głównym mechanizmie przekazywania.

Jako środek awaryjny: w przypadku unieważnienia decyzji o adekwatności DPF, przekazywanie do GitLab Inc. będzie kontynuowane na podstawie Standardowych Klauzul Umownych (SKU) Moduł 3 (podmiot przetwarzający — podmiot przetwarzający) zgodnie z Decyzją Wykonawczą Komisji (UE) 2021/914.

Przekazywanie do Cloudflare, Inc. (USA): Gdy odwiedzający wysyła formularz rejestracji publicznej, adres IP odwiedzającego jest przekazywany do serwera weryfikacji Cloudflare (challenges.cloudflare.com) w celu walidacji tokenu ochrony przed botami Turnstile. Przekazanie to opiera się na decyzji stwierdzającej odpowiedni stopień ochrony EU-US Data Privacy Framework (DPF) jako głównym mechanizmie. Cloudflare nie ustawia ciasteczek ani nie tworzy trwałych identyfikatorów za pośrednictwem usługi Turnstile.

Przekazywanie do Stripe, Inc. (USA + Irlandia): Gdy tenant aktywuje płatną subskrypcję, dane zarządzania subskrypcją (identyfikatory planów, status rozliczeniowy, metadane płatności) są przetwarzane przez Stripe, Inc. Przepływy płatności UE są kierowane przez podmiot Stripe w Irlandii. Przekazywanie danych do USA opiera się na decyzji stwierdzającej odpowiedni stopień ochrony EU-US Data Privacy Framework (DPF) jako głównym mechanizmie, z Standardowymi Klauzulami Umownymi (SKU) Moduł 2 (Administrator-Podmiot przetwarzający) jako zabezpieczeniem awaryjnym.

Żadne inne międzynarodowe przekazywanie danych osobowych nie ma miejsca.

8. Informacje dla użytkowników końcowych aplikacji tenantów (ujawnienia z art. 14)

Gdy CRE8EVE przetwarza dane osobowe niepozyskane bezpośrednio od osoby, której dane dotyczą, art. 14 RODO wymaga szczegółowych ujawnień. Dane mogą być pozyskiwane od zewnętrznych dostawców OAuth (Google, GitHub, Microsoft, Apple, Discord, Facebook/Meta, Slack, Twitter/X, GitLab, LinkedIn), gdy tenant włączy odpowiednią metodę sfederowanego logowania. Mają zastosowanie następujące scenariusze:

8.1 Sfederowane logowanie Google OAuth

Gdy użytkownik końcowy uwierzytelnia się przez Google za pośrednictwem aplikacji tenanta:

8.1b Sfederowane logowanie GitHub OAuth

Gdy użytkownik końcowy uwierzytelnia się przez GitHub za pośrednictwem aplikacji tenanta:

8.1c Sfederowane logowanie Microsoft OAuth

Gdy użytkownik końcowy uwierzytelnia się przez Microsoft za pośrednictwem aplikacji tenanta:

8.1d Sfederowane logowanie Apple Sign In

Gdy użytkownik końcowy uwierzytelnia się przez Apple za pośrednictwem aplikacji tenanta:

8.1e Sfederowane logowanie Discord OAuth

Gdy użytkownik końcowy uwierzytelnia się przez Discord za pośrednictwem aplikacji tenanta:

8.1f Sfederowane logowanie Facebook OAuth

Gdy użytkownik końcowy uwierzytelnia się przez Facebook za pośrednictwem aplikacji tenanta:

8.1g Sfederowane logowanie Slack OAuth

Gdy użytkownik końcowy uwierzytelnia się przez Slack za pośrednictwem aplikacji tenanta:

8.1h Sfederowane logowanie Twitter/X OAuth

Gdy użytkownik końcowy uwierzytelnia się przez Twitter/X za pośrednictwem aplikacji tenanta:

8.1i Sfederowane logowanie GitLab OAuth

Gdy użytkownik końcowy uwierzytelnia się przez GitLab za pośrednictwem aplikacji tenanta:

8.1j Sfederowane logowanie LinkedIn OAuth

Gdy użytkownik końcowy uwierzytelnia się przez LinkedIn za pośrednictwem aplikacji tenanta:

8.2 Przetwarzanie IP przez Niezależnego Administratora (wykrywanie credential stuffing)

Gdy CRE8EVE przetwarza adresy IP użytkowników końcowych, którzy nigdy nie wchodzą w bezpośrednią interakcję z Rakomi:

Przetwarzanie to nie stanowi „dalszego przetwarzania" w rozumieniu art. 6 ust. 4. CRE8EVE przetwarza adresy IP jako Niezależny Administrator na własnej podstawie prawnej z art. 6 ust. 1 lit. f, odrębnej od podstawy art. 6 ust. 1 lit. b tenanta. Trzyczęściowy test prawnie uzasadnionego interesu stanowi niezależne uzasadnienie.

9. Retencja danych

Rodzaj danych Okres retencji Podstawa prawna Szczegóły
Hash IP / hash UA w logach audytu 90 dni Prawnie uzasadniony interes (bezpieczeństwo) Pseudonimizowane, następnie usuwane
Zdarzenia uwierzytelniania (plan Free) 30 dni Wykonanie umowy Konfigurowalne per plan
Zdarzenia uwierzytelniania (plan Pro) 365 dni Wykonanie umowy Konfigurowalne per plan
Zdarzenia uwierzytelniania (plan Enterprise) 730 dni Wykonanie umowy Konfigurowalne per plan
Zdarzenia zgodności Minimum 3 lata; mogą być przechowywane dłużej Obowiązek prawny (art. 5 ust. 2, art. 30) Na potrzeby rozliczalności RODO
Tożsamości sfederowane (Google, GitHub, Microsoft, Apple, Discord, Facebook, Slack, Twitter/X, GitLab lub LinkedIn OAuth) Okres aktywności konta Wykonanie umowy Usuwane przy usunięciu użytkownika
Aktywne sesje 30 dni po wygaśnięciu Wykonanie umowy Automatyczne czyszczenie
Odwołane sesje 90 dni Bezpieczeństwo (wykrywanie ponownego użycia) Następnie usuwane
Kody autoryzacyjne 10 minut (funkcjonalny czas życia) Bezpieczeństwo Wygasłe kody czyszczone w trybie wsadowym
Dostawy webhooków (dostarczone) 30 dni Wykonanie umowy Następnie usuwane
Dostawy webhooków (nieudane) 90 dni Prawnie uzasadniony interes (debugowanie) Następnie usuwane
Dane IP credential stuffing 1 godzina (w pamięci operacyjnej) Prawnie uzasadniony interes Nigdy nie zapisywane trwale
Dane konta użytkownika Do żądania usunięcia + 7-dniowy okres karencji Umowa + obowiązek prawny Zob. art. 17 poniżej
Ścieżka audytu rozliczeniowego 5 lat od końca roku kalendarzowego Obowiązek prawny (Ordynacja podatkowa Art. 86 §1) Retencja dokumentacji podatkowej
Metadane subskrypcji Aktywna subskrypcja + 90 dni Wykonanie umowy Czyszczenie po anulowaniu

Środowiska testowe (Sandbox): Rakomi udostępnia logicznie odizolowane środowiska testowe umożliwiające deweloperom testowanie integracji uwierzytelniania. Dane w środowiskach testowych są odizolowane od danych produkcyjnych za pomocą wielu środków technicznych, w tym kryptograficznej izolacji tokenów. E-maile testowe są wstrzymywane i nigdy nie opuszczają infrastruktury Rakomi. Dane testowe są automatycznie usuwane po 90 dniach lub na żądanie. Deweloperzy są zachęcani do stosowania danych syntetycznych w środowiskach testowych.

Retencja po usunięciu (art. 17 ust. 3): Po zażądaniu usunięcia konta (art. 17 ust. 1) CRE8EVE usuwa dane konta, ale zachowuje zanonimizowane metadane logów audytu zgodności na podstawie: art. 17 ust. 3 lit. b — obowiązek prawny (zasada rozliczalności z art. 5 ust. 2/art. 30 RODO), oraz art. 17 ust. 3 lit. e — ustalenie, dochodzenie lub obrona roszczeń. Dane zachowane po usunięciu obejmują: typ zdarzenia, znacznik czasu, ID tenanta, kategorię akcji — bez adresu e-mail, bez hasha IP/UA (usuwane przez automatyczne zadania cron). Minimalna retencja: 3 lata; nieokreślona dla bieżących obowiązków rozliczalności.

10. Twoje prawa

10.1 Członkowie panelu (bezpośrednia relacja administratora)

Jako członek panelu możesz realizować następujące prawa bezpośrednio wobec CRE8EVE:

Prawo Artykuł Sposób realizacji
Dostęp Art. 15 E-mail dpo@rakomi.com
Sprostowanie Art. 16 Przez ustawienia panelu lub e-mail dpo@rakomi.com
Usunięcie („prawo do bycia zapomnianym") Art. 17 Przez usunięcie konta w panelu lub e-mail dpo@rakomi.com
Ograniczenie przetwarzania Art. 18 E-mail dpo@rakomi.com
Przenoszenie danych Art. 20 Przez eksport danych z panelu (format JSON) lub e-mail dpo@rakomi.com
Sprzeciw wobec przetwarzania Art. 21 Zob. Sekcja 11 poniżej

Zakres przenoszenia danych z art. 20: Przenoszenie danych dotyczy wyłącznie danych przetwarzanych na podstawie art. 6 ust. 1 lit. b (umowa). Dane przenośne obejmują: imię, adres e-mail, historię sesji, logi audytowe. Dane przetwarzane na podstawie art. 6 ust. 1 lit. f (prawnie uzasadniony interes) — takie jak hashe IP/UA — nie podlegają przenoszeniu na podstawie art. 20.

Ograniczenia prawa do usunięcia z art. 17 ust. 3: Metadane logów audytu zgodności są zachowywane po usunięciu na podstawie art. 17 ust. 3 lit. b (obowiązek prawny) i art. 17 ust. 3 lit. e (obrona roszczeń). Zob. Sekcja 9.

Ograniczenie przetwarzania z art. 18 ust. 1 lit. d podczas sprzeciwu: Jeśli skorzystasz z prawa do sprzeciwu na podstawie art. 21, przysługuje Ci prawo do żądania ograniczenia przetwarzania na podstawie art. 18 ust. 1 lit. d w okresie rozpatrywania. Dane objęte ograniczeniem są zamrożone (nie są dalej przetwarzane ani usuwane) do czasu zakończenia oceny.

Odpowiadamy na wszystkie żądania osoby, której dane dotyczą, w ciągu 30 dni (art. 12 ust. 3). Jeśli żądanie jest złożone, termin może zostać przedłużony o kolejne 60 dni z uprzednim powiadomieniem.

10.2 Użytkownicy końcowi aplikacji tenantów (relacja podmiotu przetwarzającego)

Jeśli jesteś użytkownikiem końcowym uwierzytelniającym się przez aplikację tenanta, tenant jest Administratorem Twoich danych osobowych. Aby skorzystać ze swoich praw na gruncie RODO (dostęp, sprostowanie, usunięcie, przenoszenie), skontaktuj się bezpośrednio z tenantem.

CRE8EVE, jako Podmiot przetwarzający, pomoże Administratorowi-tenantowi w realizacji Twoich żądań zgodnie z Umową Powierzenia Danych.

10.3 Czy podanie danych jest wymagane

Dla członków panelu: podanie imienia i adresu e-mail jest wymogiem umownym niezbędnym do utworzenia konta. Jeśli nie podasz tych danych, nie będziemy mogli utworzyć Twojego konta ani świadczyć usługi. Podanie hasła jest wymagane, chyba że korzystasz z uwierzytelniania magic-link.

11. Prawo do sprzeciwu (art. 21)

Masz prawo w dowolnym momencie wnieść sprzeciw — z przyczyn związanych z Twoją szczególną sytuacją — wobec przetwarzania Twoich danych osobowych opartego na art. 6 ust. 1 lit. f (prawnie uzasadniony interes).

Sposób realizacji: Wyślij e-mail na adres dpo@rakomi.com z tematem „Sprzeciw wobec przetwarzania" i opisz podstawy swojego sprzeciwu.

Ocena: CRE8EVE oceni Twój sprzeciw w ciągu 30 dni. W przypadku przetwarzania związanego z bezpieczeństwem (rejestrowanie zdarzeń bezpieczeństwa, wykrywanie credential stuffing) zazwyczaj istnieją ważne prawnie uzasadnione podstawy do kontynuowania przetwarzania — integralność platformy i ochrona wszystkich użytkowników z reguły przeważają nad indywidualnym sprzeciwem. Każdy sprzeciw jest jednak rozpatrywany indywidualnie.

Jeśli Twój sprzeciw zostanie uwzględniony: Przetwarzanie Twoich danych osobowych w zakwestionowanym celu ustaje, a usunięcie następuje na podstawie art. 17 ust. 1 lit. c.

W okresie rozpatrywania: Przysługuje Ci prawo do ograniczenia przetwarzania na podstawie art. 18 ust. 1 lit. d. Twoje dane są zamrożone — nie są dalej przetwarzane ani usuwane — do czasu zakończenia oceny.

Marketing bezpośredni: CRE8EVE nie przetwarza danych osobowych w celach marketingu bezpośredniego. Art. 21 ust. 2-3 RODO (bezwzględne prawo do sprzeciwu wobec marketingu bezpośredniego) nie ma zatem zastosowania.

12. Dane dzieci

CRE8EVE nie gromadzi ani nie przetwarza świadomie danych osobowych dzieci poniżej 16 roku życia. Weryfikacja wieku użytkowników końcowych jest obowiązkiem Administratorów-tenantów (Administratorów danych swoich użytkowników końcowych).

Jeśli dowiemy się, że zebraliśmy dane osobowe dziecka poniżej 16 roku życia bez odpowiedniej zgody lub upoważnienia, niezwłocznie usuniemy te dane.

13. NIE robimy tego...

14. Powiadomienie o naruszeniu

W przypadku naruszenia ochrony danych osobowych:

15. Organ nadzorczy

Przysługuje Ci prawo do wniesienia skargi do organu nadzorczego:

Prezes Urzędu Ochrony Danych Osobowych (UODO) ul. Stawki 2, 00-193 Warszawa Strona internetowa: https://uodo.gov.pl

16. Zmiany w niniejszej polityce

O zmianach w niniejszej Polityce Prywatności powiadomimy:

Istotne zmiany dotyczące celów przetwarzania, podstaw prawnych lub kategorii danych wchodzą w życie nie wcześniej niż 30 dni od powiadomienia. Możesz usunąć swoje konto, jeśli nie zgadzasz się ze zmianami.

Poprzednie wersje niniejszej polityki są dostępne na życzenie pod adresem dpo@rakomi.com.

17. Kontakt

W przypadku pytań dotyczących niniejszej Polityki Prywatności lub w celu realizacji praw ochrony danych:

Ochrona danych: dpo@rakomi.com Zapytania ogólne: info@rakomi.com Bezpieczeństwo: security@rakomi.com

W sprawach reklamacji zob. Procedura Reklamacyjna. Pełne dane podmiotu: Identyfikacja Usługodawcy. Informacje o ciasteczkach i pamięci przeglądarki: Polityka Cookies. Warunki przetwarzania danych: Umowa Powierzenia Danych.