Polityka Prywatności

Ostatnia aktualizacja: 20 stycznia 2026 r.

1. Administrator danych osobowych

Administratorem Twoich danych osobowych w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: RODO) jest:

WGM Michał Gałecki
NIP: 5223233991
Adres e-mail: contact@vaulito.com

Administrator nie wyznaczył Inspektora Ochrony Danych. W sprawach dotyczących przetwarzania danych osobowych prosimy o kontakt na powyższy adres e-mail.

2. Zakres zbieranych danych

W związku z korzystaniem z Vaulito przetwarzamy następujące kategorie danych osobowych:

  • Dane konta: adres e-mail, imię, nazwisko, zaszyfrowane hasło (bcrypt) lub identyfikator Google (w przypadku logowania przez Google OAuth).
  • Dane finansowe: wydatki, przychody, budżety, kredyty, cele oszczędnościowe, wydatki cykliczne, kategorie oraz tagi tworzone w aplikacji.
  • Dane gospodarstwa domowego: nazwy gospodarstw, członkowie, role i zaproszenia.
  • Dane planera: wydarzenia, harmonogramy i przypomnienia.
  • Dokumenty: pliki przesyłane do Skarbca Dokumentów (gwarancje, umowy, paragony itp.).
  • Dane z importu bankowego: wyciągi bankowe (CSV, XLSX, PDF) przesyłane w celu importu transakcji.
  • Dane skanowania: zdjęcia paragonów i faktur przetwarzane przez OCR i AI.
  • Dane subskrypcji: plan subskrypcji, historia płatności, identyfikator transakcji Paddle.
  • Dane techniczne: adres IP, typ przeglądarki, znaczniki czasu dostępu, identyfikator sesji.
  • Dane komunikacji: treść wiadomości z formularzy kontaktowych i sugestii.

3. Cele i podstawy prawne przetwarzania

Przetwarzamy Twoje dane osobowe w następujących celach i na następujących podstawach prawnych:

  • Świadczenie usługi (art. 6 ust. 1 lit. b RODO — wykonanie umowy): utworzenie i prowadzenie konta, przechowywanie danych finansowych, udostępnianie funkcji aplikacji, obsługa subskrypcji i płatności.
  • Bezpieczeństwo (art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes): uwierzytelnianie tożsamości, ochrona przed nieautoryzowanym dostępem, wykrywanie nadużyć, ograniczanie szybkości zapytań (rate limiting).
  • Komunikacja (art. 6 ust. 1 lit. f RODO): odpowiadanie na wiadomości z formularzy kontaktowych, wysyłanie zaproszeń do gospodarstw domowych, cotygodniowe podsumowania (jeśli włączone).
  • Funkcje AI (art. 6 ust. 1 lit. b RODO — wykonanie umowy): przetwarzanie danych przez Azure OpenAI (Microsoft) w celu kategoryzacji transakcji, parsowania wyciągów bankowych, skanowania paragonów oraz obsługi czatu AI (Vaultie). Funkcje AI stanowią integralną część Usługi, z której Użytkownik korzysta na podstawie Regulaminu.
  • Analityka (art. 6 ust. 1 lit. a RODO — zgoda wyrażona przez akceptację plików cookie): Google Analytics 4 do analizy zagregowanego, zanonimizowanego ruchu na stronie docelowej. Analityka jest uruchamiana wyłącznie po wyrażeniu zgody na pliki cookie.
  • Obowiązki prawne (art. 6 ust. 1 lit. c RODO): wypełnianie obowiązków wynikających z przepisów prawa, w tym prawa podatkowego i rachunkowego.

4. Przetwarzanie danych przez sztuczną inteligencję (AI)

Vaulito wykorzystuje usługę Azure OpenAI Service (Microsoft) do zasilania następujących funkcji:

  • Smart Scan: rozpoznawanie tekstu z paragonów i dokumentów (OCR) oraz automatyczna kategoryzacja.
  • Vaultie (czat AI): asystent konwersacyjny umożliwiający wyszukiwanie, tworzenie i modyfikację danych przez rozmowę.
  • Import bankowy: automatyczne wykrywanie formatu wyciągu, parsowanie transakcji i kategoryzacja.
  • Raporty AI: generowanie sugestii i analiz na podstawie danych finansowych (dla subskrybentów Premium).

Ważne informacje dotyczące AI:

  • Dane przesyłane do funkcji AI są przetwarzane przez Microsoft Azure OpenAI Service w ramach europejskiej granicy danych (EU Data Boundary).
  • Twoje dane nie są wykorzystywane do trenowania ani ulepszania modeli AI. Patrz: Polityka prywatności danych Azure OpenAI.
  • Microsoft działa jako podmiot przetwarzający (sub-procesor) na podstawie umowy o przetwarzanie danych zgodnej z RODO (Microsoft Data Processing Agreement).
  • Treści generowane przez AI mogą zawierać błędy, nieścisłości lub pominięcia. Użytkownik jest odpowiedzialny za weryfikację wszelkich danych przetworzonych przez funkcje AI.
  • Wszystkie akcje zainicjowane przez AI (np. tworzenie lub modyfikacja transakcji) wymagają jawnego potwierdzenia użytkownika przed wykonaniem.

5. Odbiorcy danych (podmioty przetwarzające)

Nie sprzedajemy, nie handlujemy ani nie udostępniamy Twoich danych osobowych stronom trzecim w celach marketingowych. Dane mogą być przekazywane następującym kategoriom odbiorców:

  • Microsoft Azure (hosting, baza danych, przechowywanie plików, Application Insights) — podmiot przetwarzający na podstawie standardowych klauzul umownych i Microsoft Products DPA. Dane przechowywane w centrach danych w Unii Europejskiej (region: West Europe).
  • Microsoft Azure OpenAI Service — sub-procesor przetwarzający dane przesyłane do funkcji AI. Przetwarzanie w ramach EU Data Boundary. Dane nie są wykorzystywane do trenowania modeli.
  • Microsoft Azure Document Intelligence — sub-procesor przetwarzający obrazy paragonów i dokumentów (OCR). Przetwarzanie w UE.
  • Microsoft Azure Communication Services — sub-procesor wysyłający wiadomości e-mail (potwierdzenia, zaproszenia, podsumowania tygodniowe).
  • Paddle.com Market Limited (Judd House, 18–29 Mora Street, London, EC1V 8BT, Wielka Brytania) — oficjalny sprzedawca (Merchant of Record) obsługujący płatności subskrypcyjne, fakturowanie, pobieranie podatków i zwroty. Paddle przetwarza dane niezbędne do realizacji płatności zgodnie z własną polityką prywatności: https://www.paddle.com/legal/privacy.
  • Google LLC (Google Analytics 4) — wyłącznie po wyrażeniu zgody na analityczne pliki cookie. Dane zanonimizowane (anonimizacja IP). Patrz: Polityka prywatności Google.
  • Organy publiczne — gdy jest to wymagane obowiązującymi przepisami prawa lub na podstawie prawomocnego nakazu sądowego.

6. Przekazywanie danych do państw trzecich

Dane osobowe przetwarzane w ramach Vaulito są przechowywane na serwerach Microsoft Azure w Unii Europejskiej (region: West Europe, Holandia).

W przypadku korzystania z Google Analytics 4 (po wyrażeniu zgody na pliki cookie), dane mogą być przekazywane do Stanów Zjednoczonych. Przekazywanie odbywa się na podstawie decyzji Komisji Europejskiej w sprawie adekwatności ochrony (EU-U.S. Data Privacy Framework) oraz standardowych klauzul umownych.

W przypadku logowania przez Google OAuth, token identyfikacyjny Google jest przesyłany do serwerów Google w celu weryfikacji tożsamości. Przekazywanie odbywa się na tej samej podstawie prawnej (EU-U.S. Data Privacy Framework).

W przypadku Azure OpenAI i Azure Document Intelligence, przetwarzanie odbywa się w ramach europejskiej granicy danych Microsoft (EU Data Boundary).

7. Przechowywanie i bezpieczeństwo danych

Twoje dane są przechowywane na infrastrukturze Microsoft Azure w Unii Europejskiej. Stosujemy następujące środki bezpieczeństwa:

  • Szyfrowana transmisja danych (TLS 1.2+ / HTTPS).
  • Szyfrowanie bazy danych w spoczynku (Azure SQL Transparent Data Encryption).
  • Bezpieczne haszowanie haseł (bcrypt).
  • Uwierzytelnianie oparte na tokenach JWT z krótkim czasem życia oraz rotacją tokenów odświeżających.
  • Szyfrowanie plików w Azure Blob Storage (SSE).
  • Ograniczanie szybkości zapytań (rate limiting) i ochrona kluczem API.
  • Nagłówki bezpieczeństwa HTTP (CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy).

8. Okres przechowywania danych

  • Dane konta i dane finansowe: przechowywane przez cały okres aktywności konta. Po usunięciu konta przez użytkownika wszystkie powiązane dane są trwale usuwane.
  • Elementy w koszu: automatycznie trwale usuwane po 30 dniach od przeniesienia do kosza.
  • Wiadomości z formularzy kontaktowych: przechowywane do 12 miesięcy.
  • Dane płatności: przechowywane przez okres wymagany przepisami prawa podatkowego (5 lat od końca roku podatkowego, w którym dokonano płatności).
  • Logi techniczne: Application Insights — 90 dni (prod), 30 dni (test).
  • Konta demo: automatycznie czyszczone co 10 minut.

9. Twoje prawa (RODO)

Na mocy Rozporządzenia RODO przysługują Ci następujące prawa:

  • Prawo dostępu (art. 15 RODO): możesz żądać kopii swoich danych osobowych.
  • Prawo do przenoszenia danych (art. 20 RODO): możesz wyeksportować swoje dane w formacie JSON za pomocą funkcji „Eksportuj moje dane" w Ustawieniach.
  • Prawo do sprostowania (art. 16 RODO): możesz zaktualizować swoje dane osobowe przez aplikację.
  • Prawo do usunięcia (art. 17 RODO — „prawo do bycia zapomnianym"): możesz trwale usunąć swoje konto i wszystkie powiązane dane za pomocą funkcji „Usuń konto" w Ustawieniach.
  • Prawo do ograniczenia przetwarzania (art. 18 RODO): możesz żądać ograniczenia przetwarzania w określonych okolicznościach.
  • Prawo do sprzeciwu (art. 21 RODO): możesz wnieść sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie.
  • Prawo do cofnięcia zgody (art. 7 ust. 3 RODO): w przypadku przetwarzania opartego na zgodzie (pliki cookie analityczne) możesz cofnąć zgodę w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem zgody.
  • Prawo do wniesienia skargi: masz prawo wnieść skargę do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, strona: https://uodo.gov.pl.

W celu skorzystania z powyższych praw prosimy o kontakt na adres: contact@vaulito.com. Odpowiadamy na żądania w ciągu 30 dni.

10. Pliki cookie

Vaulito wykorzystuje następujące rodzaje plików cookie:

  • Niezbędne (essential): pliki cookie wymagane do uwierzytelniania, zarządzania sesją i prawidłowego działania aplikacji. Podstawa: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes). Nie wymagają zgody.
  • Analityczne (opcjonalne): Google Analytics 4 — zbieranie zanonimizowanych danych o ruchu na stronie docelowej. Uruchamiane wyłącznie po wyrażeniu zgody za pomocą banera cookie. Podstawa: art. 6 ust. 1 lit. a RODO (zgoda).

Nie stosujemy reklamowych plików cookie ani plików cookie śledzących. Zgodę na analityczne pliki cookie można cofnąć w dowolnym momencie, czyszcząc pliki cookie przeglądarki lub klikając „Tylko niezbędne" na banerze cookie.

11. Zautomatyzowane podejmowanie decyzji i profilowanie

Vaulito nie podejmuje zautomatyzowanych decyzji w rozumieniu art. 22 RODO, które wywoływałyby skutki prawne lub w podobny sposób istotnie wpływały na użytkownika.

Analiza danych finansowych (wykresy, podziały na kategorie, trendy wydatków) jest czysto informacyjna i służy wyłącznie do prezentacji danych. Kategoryzacja AI jest sugestią wymagającą potwierdzenia użytkownika.

Vaulito nie jest doradcą finansowym. Wszelkie prezentowane dane, analizy, wykresy i sugestie AI mają charakter wyłącznie informacyjny i nie stanowią porady finansowej, inwestycyjnej, podatkowej ani prawnej. Użytkownik podejmuje decyzje finansowe na własną odpowiedzialność.

12. Ochrona dzieci

Vaulito nie jest przeznaczone dla osób poniżej 16. roku życia. Nie zbieramy świadomie danych osobowych dzieci. Jeśli uważasz, że dziecko przekazało nam swoje dane osobowe, prosimy o kontakt — niezwłocznie je usuniemy.

13. Powiadomienie o naruszeniu ochrony danych

W przypadku naruszenia ochrony danych osobowych Administrator:

  • Powiadomi właściwy organ nadzorczy (Prezes PUODO) w ciągu 72 godzin od stwierdzenia naruszenia, zgodnie z art. 33 RODO, chyba że naruszenie nie powoduje ryzyka naruszenia praw lub wolności osób fizycznych.
  • Powiadomi dotkniętych Użytkowników bez zbędnej zwłoki, jeżeli naruszenie może skutkować wysokim ryzykiem naruszenia ich praw i wolności, zgodnie z art. 34 RODO.
  • Powiadomienie będzie zawierać: charakter naruszenia, kategorie danych, prawdopodobne konsekwencje oraz podjęte środki zaradcze.

14. Zmiany w Polityce Prywatności

Zastrzegamy sobie prawo do aktualizacji niniejszej Polityki Prywatności. Zmiany zostaną opublikowane na tej stronie ze zaktualizowaną datą „Ostatnia aktualizacja".

W przypadku istotnych zmian powiadomimy Użytkowników za pośrednictwem aplikacji lub wiadomości e-mail z co najmniej 14-dniowym wyprzedzeniem. Jeżeli Użytkownik nie zaakceptuje zmian, może usunąć swoje konto przed wejściem zmian w życie.

15. Kontakt

W sprawach dotyczących ochrony danych osobowych lub w celu skorzystania z przysługujących praw prosimy o kontakt:

WGM Michał Gałecki
NIP: 5223233991
Adres e-mail: contact@vaulito.com