L
Lemify

Dokument prawny

Polityka prywatności

Opisujemy tu, jakie dane o Tobie przetwarzamy w Lemify, dlaczego, komu je udostępniamy i jak długo je trzymamy. Jeśli coś jest niejasne, napisz na kontakt@lemify.pl.

scheduleOstatnia aktualizacja: 22 kwietnia 2026 r.

W skrócie (TL;DR)

  • check_circleAdministratorem Twoich danych jest MB Soft Martin Brzeziński (NIP 9671299427), z siedzibą w Poznaniu.
  • check_circlePrzetwarzamy tylko to, co potrzebne, żeby Lemify działał: konto, projekty, treści, płatności, podstawowe dane techniczne. Nigdy nie sprzedajemy Twoich danych.
  • check_circleNie używamy Twoich danych ani treści do trenowania modeli AI — ani własnych, ani zewnętrznych (OpenAI, Anthropic, Google działają w trybie „no training on data" dla API, z którego korzystamy).
  • check_circleSerwery stoją w Polsce (Cyberfolks VPS). Część podwykonawców (AI, płatności, analityka) znajduje się w USA — stosujemy wtedy Standardowe Klauzule Umowne RODO.
  • check_circleMasz pełne prawa RODO: dostęp, sprostowanie, usunięcie, sprzeciw, przeniesienie danych oraz skargę do PUODO. Piszesz na kontakt@lemify.pl — odpowiadamy w ciągu miesiąca.
  • check_circleAnalityka wymagająca zgody (Microsoft Clarity, Google Analytics 4) zostanie uruchomiona dopiero po wdrożeniu banera zgody. Do tego czasu jej nie ładujemy.

1. Administrator danych

Administratorem Twoich danych osobowych w rozumieniu RODO (rozporządzenie 2016/679) jest:

MB Soft Martin Brzeziński
siedziba: Poznań
NIP: 9671299427
REGON: 542583967
e-mail kontaktowy: kontakt@lemify.pl

Nie powołaliśmy Inspektora Ochrony Danych — we wszystkich sprawach dotyczących Twoich danych osobowych piszesz wprost na adres wskazany wyżej.

2. Jakie dane zbieramy

2.1. Dane konta

  • adres e-mail (login),
  • hasło — przechowywane wyłącznie jako hash bcrypt, my go nie widzimy,
  • opcjonalnie: imię i nazwisko / nazwa wyświetlana,
  • rola (user lub admin), status aktywności, status weryfikacji.

2.2. Dane projektów i treści

  • dane wprowadzone przez Ciebie: nazwa projektu, URL strony klienta, język, lokalizacja, cele treściowe, sitemap, linki wewnętrzne, case studies, profile Brand Voice;
  • wynik naszej analizy AI: ai_context, słowa kluczowe, archetyp strony, luki w treści;
  • tematy (propozycje AI oraz tworzone ręcznie), statusy, priorytet, zaplanowane daty publikacji;
  • artykuły wygenerowane przez pipeline AI — treść, metadane SEO, sloug, liczba słów, liczba tokenów, użyty model;
  • integracyjne dane publikacyjne: adres i klucz API do Twojego WordPress (wtyczka lemify-wp) lub PrestaShop (moduł lemify-prestashop) — używamy ich wyłącznie do publikacji treści, które sam zatwierdzisz;
  • harmonogramy cron — kiedy i jak często ma działać automatyczne generowanie.

2.3. Dane rozliczeniowe

  • identyfikatory Stripe: stripe_customer_id, stripe_subscription_id, identyfikatory płatności (payment intent);
  • status subskrypcji, okres rozliczeniowy, daty odnowienia;
  • saldo kredytów i historia transakcji (append-only, bez modyfikacji);
  • dane do faktury, które sam podasz w portalu Stripe (nazwa firmy, NIP, adres).

Danych samej karty płatniczej nigdy nie widzimy ani nie przechowujemy — obsługuje je w całości Stripe.

2.4. Dane techniczne i logi

  • adres IP, User-Agent, znaczniki czasu zapytań — standardowe dane serwera używane do zapewnienia bezpieczeństwa i diagnostyki;
  • request_id (correlation ID) — identyfikator pojedynczego żądania dla celów śledzenia logów;
  • logi generacji AI (generation_logs) — krok pipeline'u, status, czas trwania, liczba zużytych tokenów, użyty model, skróty promptów. Nie przechowujemy pełnych promptów i odpowiedzi — tylko metadane konieczne do rozliczeń i diagnostyki.

2.5. Komunikacja

  • treść korespondencji, którą do nas wysyłasz (e-mail, reklamacje, zgłoszenia wsparcia).

3. Skąd mamy Twoje dane

  • Od Ciebie — podczas rejestracji, zakupu planu, tworzenia projektu, konfiguracji integracji i korzystania z panelu.
  • Od Stripe — gdy opłacasz subskrypcję lub pakiet kredytów, otrzymujemy status płatności i identyfikatory klienta/subskrypcji (nigdy danych karty).
  • Ze stron, które analizujemy na Twoje zlecenie — gdy podajesz URL swojej strony, pobieramy jej sitemap i wybrane podstrony, żeby zbudować ai_context. To są dane publicznie dostępne w internecie.
  • Z publicznego internetu (Tavily) — podczas research'u słów kluczowych i sekcji artykułu. Tavily zwraca nam fragmenty publicznych treści, nie profile użytkowników.
  • Z narzędzi, z których korzystasz u siebie — Google Search Console, jeśli samodzielnie podłączysz ją do swojej strony, daje Ci statystyki; Lemify nie ma do nich dostępu, chyba że sam zdecydujesz się ich użyć poza naszym panelem.

4. W jakim celu i na jakiej podstawie prawnej

CelPodstawa prawna (art. 6 RODO)
Założenie i prowadzenie konta, udostępnianie funkcji Lemify (generowanie tematów, artykułów, publikacja WP/PS, harmonogramy, profile Brand Voice, kredyty).lit. b — wykonanie umowy.
Obsługa płatności, fakturowanie, księgowość, rozliczenia VAT.lit. c — obowiązek prawny (ustawa o rachunkowości, przepisy podatkowe).
Zapewnienie bezpieczeństwa, wykrywanie nadużyć, monitorowanie limitów, logi błędów (Sentry).lit. f — nasz uzasadniony interes (utrzymanie Usługi w ruchu, ochrona przed atakami i nadużyciami limitów).
Rozwój produktu — analiza zachowań w panelu w celu poprawy UX i naprawy błędów.lit. f — uzasadniony interes (w zakresie logów technicznych) oraz lit. a — zgoda (dla Microsoft Clarity i Google Analytics 4, po wdrożeniu banera zgody).
Obsługa reklamacji, zgłoszeń wsparcia, dochodzenie i obrona roszczeń.lit. b i lit. f.
Wysyłka informacji o istotnych zmianach regulaminu, planu, polityki.lit. b i lit. c.
Newsletter marketingowy (planowany — obecnie nie wysyłamy żadnych marketingowych maili poza Stripe).lit. a — zgoda, którą możesz w każdej chwili wycofać.

5. Komu udostępniamy dane (podwykonawcy)

Korzystamy z wybranych zaufanych dostawców. Każdy z nich podpisał z nami umowę powierzenia (lub ma równoważny mechanizm w swoim regulaminie), a w przypadku transferów poza EOG — Standardowe Klauzule Umowne RODO.

PodmiotRolaLokalizacja
Cyberfolks sp. z o.o.Hosting VPS (serwer aplikacji, baza PostgreSQL, Redis, backupy).Polska (UE)
Stripe Payments Europe, Ltd.Obsługa płatności, subskrypcji, faktur i billing portalu.Irlandia (UE) + USA (grupa Stripe Inc., SCC)
OpenAI, L.L.C.Generowanie treści (modele językowe).USA (SCC)
Anthropic, PBCGenerowanie treści (modele Claude).USA (SCC)
Google LLC / Google Ireland Ltd.Generowanie treści (modele Gemini) oraz — po wdrożeniu banera zgody — Google Analytics 4.Irlandia (UE) + USA (SCC)
Tavily Inc.Wyszukiwanie w publicznym internecie (research słów kluczowych i sekcji artykułu).USA (SCC)
Functional Software, Inc. (Sentry)Monitoring błędów i wyjątków aplikacji (API + Celery). Zawiera fragmenty logów, adres IP i request_id.USA lub UE — zależnie od wybranego regionu instancji (SCC dla USA)
Microsoft Corporation (Clarity)Heatmapy i nagrania sesji w panelu marketingowym — włączone dopiero po wyrażeniu zgody w banerze cookies.USA (SCC)

Dodatkowo, gdy włączysz integrację z WordPress lub PrestaShop, wysyłamy wygenerowane treści do Twojego własnego serwera pod adres i z kluczem, które sam wskazujesz. Nie jest to „udostępnienie danych osobnemu podmiotowi" w rozumieniu RODO — to Twoja infrastruktura.

Z organów państwowych udostępnimy dane wyłącznie na podstawie legalnego, pisemnego żądania (np. postanowienia sądu, uzasadnionego wezwania prokuratury).

Google Search Console — używamy jej jedynie do monitorowania obecności strony lemify.pl w indeksie Google. GSC nie zbiera danych osobowych naszych użytkowników; udostępnia nam agregowane statystyki wyszukiwań dotyczących samej strony Lemify. Nie jest więc procesorem Twoich danych.

6. Transfery poza EOG

Dane mogą być przekazywane do państw spoza Europejskiego Obszaru Gospodarczego (głównie USA) w związku z korzystaniem z usług dostawców wskazanych w poprzedniej sekcji. W każdym takim przypadku podstawą transferu są Standardowe Klauzule Umowne (SCC) zatwierdzone decyzją Komisji Europejskiej 2021/914, a tam gdzie to możliwe — dodatkowe zabezpieczenia (np. szyfrowanie w tranzycie i w spoczynku, pseudonimizacja).

W odniesieniu do dostawców modeli AI (OpenAI, Anthropic, Google) korzystamy z trybów API, w których Twoje dane i treści nie są wykorzystywane do trenowania modeli. Okresy retencji po stronie tych dostawców określają ich własne regulaminy — zwykle trwają one od kilku dni do kilkudziesięciu dni na potrzeby wykrywania nadużyć, po czym dane są usuwane.

7. Jak długo trzymamy dane

  • Dane konta i projektów — przez cały okres korzystania z Usługi. Po usunięciu konta dane są przechowywane jeszcze przez 30 dni (bufor na przywrócenie konta na Twoje żądanie), po czym są usuwane z bazy produkcyjnej.
  • Backupy bazy danych — rotowane w cyklu do 35 dni. Po tym czasie usunięte dane znikają również z kopii zapasowych.
  • Logi generacji AI (generation_logs) 90 dni (konfigurowalnie przez GENERATION_LOG_RETENTION_DAYS). Po tym czasie są automatycznie czyszczone przez zadanie Celery Beat.
  • Dane rozliczeniowe, faktury i dokumentacja księgowa 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku (ustawa o rachunkowości, Ordynacja podatkowa).
  • Reklamacje, zgłoszenia wsparcia, korespondencja — do 6 lat (okres przedawnienia roszczeń cywilnych, art. 118 k.c.).
  • Logi techniczne serwera (access / error logs, Sentry) — do 12 miesięcy, zazwyczaj krócej.
  • Pamięć przeglądarki (localStorage) — do momentu wylogowania (token) lub ręcznego wyczyszczenia pamięci przez Ciebie.
  • Zgody marketingowe — do czasu ich wycofania. Wycofanie zgody nie wpływa na zgodność przetwarzania sprzed wycofania.

8. Twoje prawa (RODO)

W związku z przetwarzaniem Twoich danych przysługują Ci następujące prawa:

  • prawo dostępu — możesz poprosić nas o kopię swoich danych (art. 15);
  • prawo sprostowania — poprawimy nieprawidłowe lub uzupełnimy niekompletne dane (art. 16);
  • prawo do usunięcia (tzw. „prawo do bycia zapomnianym") — art. 17, z zastrzeżeniem obowiązków archiwizacyjnych (np. księgowych);
  • prawo ograniczenia przetwarzania (art. 18);
  • prawo sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie — art. 21;
  • prawo przenoszenia danych — udostępnimy Twoje dane w powszechnie używanym formacie (JSON) — art. 20;
  • prawo wycofania zgody w każdej chwili, tam gdzie przetwarzanie odbywa się na jej podstawie (nie wpływa to na zgodność przetwarzania sprzed wycofania);
  • prawo wniesienia skargi do organu nadzorczego — w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych (uodo.gov.pl).

Żeby skorzystać z któregokolwiek z tych praw, napisz na kontakt@lemify.pl. Odpowiadamy w terminie do 1 miesiąca (art. 12 ust. 3 RODO). W skomplikowanych sprawach termin ten może zostać przedłużony maks. o kolejne 2 miesiące, o czym Cię poinformujemy.

9. Cookies i pamięć przeglądarki

Lemify nie ustawia klasycznych cookies po stronie serwera (nasz backend nie wysyła żadnego nagłówka Set-Cookie). Używamy natomiast mechanizmu pamięci lokalnej przeglądarki (localStorage) do przechowania danych koniecznych do działania panelu. Ponieważ skutek dla Twojej prywatności jest analogiczny do cookies, opisujemy te elementy razem z cookies od dostawców zewnętrznych.

9.1. Niezbędne (bez zgody — wymagane do działania Usługi)

  • auth_token (localStorage) — token JWT po zalogowaniu. Trzymany jest wyłącznie po Twojej stronie (nie wysyłamy go cookie-m), aż do wylogowania lub wygaśnięcia sesji.
  • theme (localStorage) — zapamiętany wybór motywu (jasny / ciemny).

9.2. Operacyjne (uzasadniony interes — bez zgody)

  • Sentry — zbiera fragmenty zrzutów stosu błędów, adres IP, request_id i ogólne metadane przeglądarki, wyłącznie gdy wystąpi wyjątek w aplikacji. Dane służą wyłącznie do debugowania i zapewnienia stabilności produktu.

9.3. Analityczne i marketingowe (wymagają zgody)

Poniższe narzędzia zostaną uruchomione dopiero po wdrożeniu banera zgody. Do tego momentu nie ładujemy ich skryptów:

  • Microsoft Clarity — heatmapy i nagrania sesji w panelu marketingowym, pomagają nam zrozumieć, co w Lemify jest niezrozumiałe i gdzie ludzie się gubią.
  • Google Analytics 4 — zagregowane statystyki odwiedzin strony marketingowej (nie panelu zalogowanego użytkownika).

Po wdrożeniu banera zgody będziesz mógł/mogła w każdej chwili wycofać zgodę (te same preferencje przechowamy w Twoim localStorage).

9.4. Stripe

Na stronie głównej i w regulaminie nie osadzamy widgetów Stripe. Z cookies Stripe spotkasz się dopiero, gdy klikniesz „kup plan" i zostaniesz przekierowany/a na stronę checkout.stripe.com — wtedy obowiązuje polityka cookies Stripe.

10. Bezpieczeństwo danych

  • Hasła są hashowane bcryptem. Nie przechowujemy wersji jawnej — nie odzyskamy Ci zapomnianego hasła, możemy tylko pomóc ustawić nowe.
  • Komunikacja z panelem i API odbywa się wyłącznie przez HTTPS (TLS).
  • Autoryzacja API jest oparta o JWT z krótkim czasem życia oraz mechanizmem odświeżania tokenu.
  • Dostęp do bazy produkcyjnej ma wyłącznie administrator systemu. W logach generacji AI trzymamy skróty, nie pełne prompty.
  • Stosujemy rate limiting, monitoring (Sentry) oraz zautomatyzowane usuwanie starych logów.
  • Dokładamy starań, żeby podwykonawców wybierać spośród firm o uznanym poziomie bezpieczeństwa (SOC 2, ISO 27001, DPA dostępne publicznie).

Uwaga: klucze API do Twojego WordPress/PrestaShop zapisujemy obecnie w bazie w formie jawnej. Ich szyfrowanie at rest jest na roadmapie — w międzyczasie zadbaj o to, by klucz miał ograniczone uprawnienia (tylko publikowanie artykułów) i żeby nie był tym samym kluczem, co admin WP.

11. Profilowanie i decyzje automatyczne

Lemify nie podejmuje wobec Ciebie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu ani nie stosuje profilowania w rozumieniu art. 22 RODO. Generowanie treści AI jest czynnością, którą sam inicjujesz — nie jest decyzją podejmowaną wobec Ciebie.

12. Dane dzieci

Lemify nie jest kierowany do osób poniżej 18. roku życia. Świadomie nie zbieramy danych dzieci. Jeśli dowiemy się, że dane dziecka trafiły do nas mimo wszystko — usuwamy je bez zbędnej zwłoki.

13. Zmiany polityki

Politykę możemy aktualizować, gdy zmienimy zakres Usługi, dodamy nowe narzędzia albo gdy zmienią się przepisy. O istotnych zmianach poinformujemy Cię mailem z co najmniej 14-dniowym wyprzedzeniem. Drobne korekty (literówki, linki, dane teleadresowe) publikujemy bez odrębnego powiadomienia — datę aktualizacji zawsze widać w nagłówku dokumentu.

14. Kontakt

W każdej sprawie dotyczącej Twoich danych piszesz na kontakt@lemify.pl. Jeśli uznasz, że przetwarzamy Twoje dane niezgodnie z prawem, zawsze możesz złożyć skargę do Prezesa UODO: uodo.gov.pl (ul. Stawki 2, 00-193 Warszawa).

Polityka wchodzi w życie z dniem 22 kwietnia 2026 r..

arrow_backWróć na stronę głównąZobacz Regulaminarrow_forward