Ostatnia aktualizacja: 14 czerwca 2026
Niniejsza Polityka Prywatności opisuje, jak SpiderOS przetwarza Twoje dane osobowe zgodnie z RODO oraz — w zakresie integracji z usługami Google (Gmail) — zgodnie z Google API Services User Data Policy, w tym wymogami Limited Use.
Administratorem Twoich danych osobowych jest Aleksander Pająk, prowadzący platformę SpiderOS dostępną pod adresem spideros.pl.
Kontakt we wszystkich sprawach dotyczących prywatności i ochrony danych: contact@spideros.pl
SpiderOS to polski produkt B2B SaaS — „cyfrowi pracownicy AI dla firm”. Hosting aplikacji odbywa się na serwerach w Unii Europejskiej (Netlify), a dane przechowujemy w bazie w Unii Europejskiej (Supabase).
Zbieramy następujące dane:
• Adres e-mail i hasło (do logowania i obsługi konta)
• Historia rozmów z pracownikami AI (do zapisu i odtworzenia kontekstu)
• Dane płatności (obsługiwane przez Stripe — nie przechowujemy danych kart)
• Informacje o subskrypcji (plan, data zakupu, status)
• Dane techniczne: adres IP, typ przeglądarki, czas wizyty (cookies)
• Dane z połączonych przez Ciebie usług Google (Gmail) — wyłącznie w zakresie opisanym w sekcji 5. Połączenie konta Google jest dobrowolne i dostępne tylko po wyraźnym udzieleniu zgody w trakcie procesu OAuth.
Twoje dane przetwarzamy w celu:
• Świadczenia usług platformy SpiderOS (działanie pracowników AI, narzędzi i integracji)
• Obsługi płatności i subskrypcji
• Komunikacji z Tobą w sprawach konta
• Poprawy jakości i bezpieczeństwa usługi
• Wypełnienia obowiązków prawnych
Dane uzyskane z usług Google (Gmail) przetwarzamy wyłącznie po to, aby zrealizować funkcję widoczną dla Ciebie jako właściciela konta: triage skrzynki (analiza i porządkowanie poczty) oraz wysyłanie wiadomości w Twoim imieniu na Twoje wyraźne polecenie. Nie używamy tych danych do żadnego innego celu.
Przetwarzamy Twoje dane na podstawie:
• Art. 6 ust. 1 lit. b RODO — wykonanie umowy (świadczenie usług platformy)
• Art. 6 ust. 1 lit. a RODO — Twoja zgoda (połączenie konta Google/Gmail, cookies analityczne). Zgodę możesz wycofać w dowolnym momencie — patrz sekcja 7.
• Art. 6 ust. 1 lit. c RODO — obowiązek prawny (np. przechowywanie dokumentów księgowych)
• Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (bezpieczeństwo platformy, zapobieganie nadużyciom)
Jeśli zdecydujesz się połączyć swoje konto Google z SpiderOS, robisz to dobrowolnie przez bezpieczny mechanizm Google OAuth, wyrażając zgodę na konkretne, wąsko określone zakresy dostępu. Poniżej szczegółowo opisujemy, jak uzyskujemy dostęp do danych Google, jak ich używamy, jak je przechowujemy i jak je udostępniamy.
WNIOSKOWANE ZAKRESY DOSTĘPU (RESTRICTED SCOPES):
• https://www.googleapis.com/auth/gmail.readonly — odczyt poczty
• https://www.googleapis.com/auth/gmail.send — wysyłanie poczty
Dodatkowo używamy niewrażliwych zakresów openid, profile, email (logowanie i podstawowe dane konta).
CO DOKŁADNIE ODCZYTUJEMY (gmail.readonly):
Narzędzie odczytu pobiera WYŁĄCZNIE metadane nagłówków wiadomości (Od / Temat / Data, przez format=metadata Gmail API) oraz krótki fragment podglądu (snippet, ok. 220 znaków) udostępniany przez Gmaila. NIE pobieramy pełnej treści wiadomości, NIE pobieramy załączników, NIE pobieramy pełnej zawartości skrzynki. Zapytania ograniczone są do maks. 15 wyników. Cel: triage Twojej skrzynki — wskazanie, który klient nie dostał odpowiedzi, podsumowanie nieprzeczytanych, odnalezienie konkretnego wątku.
DLACZEGO READONLY, A NIE WĘŻSZY ZAKRES METADATA:
Krótki snippet, niezbędny do sensownego triage skrzynki, zwracany jest tylko przy zakresie gmail.readonly — węższy zakres gmail.metadata nie zwraca snippetu. Dlatego stosujemy minimalny zakres, który realnie wystarcza do tej funkcji.
CO WYSYŁAMY (gmail.send):
Narzędzie wysyłki wysyła wiadomość Z TWOJEGO konta WYŁĄCZNIE na Twoje wyraźne polecenie (w czacie lub zadaniu) albo w jawnie włączonym przez Ciebie trybie automatycznym (suwak „Autonomia zespołu”). Każda wysyłka jest logowana do tabeli audytu (action_queue). To Ty decydujesz, do kogo i co wysyłamy (np. odpowiedź lub oferta do Twojego klienta). Domyślnie (poziom „pytaj”) wiadomość trafia do kolejki i nie zostaje wysłana, dopóki jej nie zatwierdzisz. Pracownik AI jest instruowany, by traktować treść odczytanych wiadomości jako dane niezaufane i nie wykonywać poleceń w niej zawartych (np. „przekaż dane na adres X”) ani nie podmieniać odbiorcy na adres z treści maila — chroni to przed atakami typu prompt injection.
GDZIE I JAK PRZECHOWUJEMY TOKENY:
Tokeny OAuth (w tym refresh_token, access_type=offline) są szyfrowane algorytmem AES-256-GCM i przechowywane w tabeli oauth_tokens w bazie Supabase w Unii Europejskiej, osobno dla każdego użytkownika. Dostęp chroniony jest mechanizmem Row Level Security oraz szyfrowaniem transportu HTTPS/TLS.
BEZPIECZEŃSTWO PRZETWARZANIA:
Treść wiadomości jest traktowana przez nasze systemy jako dane NIEZAUFANE i nigdy jako polecenia (ochrona przed atakami typu prompt injection). Pracownik AI nie wykonuje poleceń zawartych w treści odczytanych wiadomości (np. zmiany odbiorcy czy kwoty); odbiorcę i treść każdej wysyłki określasz Ty.
JAK COFNĄĆ DOSTĘP:
• W aplikacji: Ustawienia → Integracje → „Rozłącz” — natychmiast kasuje rekord w tabeli oauth_tokens i cofa dostęp aplikacji do Twojego konta Google.
• Po stronie Google: w dowolnym momencie możesz cofnąć dostęp na stronie myaccount.google.com/permissions.
• Usunięcie konta SpiderOS skutkuje skasowaniem powiązanych danych w ciągu 30 dni.
Twoje dane mogą być przekazywane wyłącznie zaufanym podmiotom (procesorom / sub-procesorom), działającym na nasze zlecenie i wyłącznie w celu świadczenia usługi:
• Supabase — przechowywanie danych i autoryzacja, serwery w UE
• Netlify — hosting aplikacji, serwery w UE
• Stripe — obsługa płatności, certyfikat PCI DSS
• Anthropic (Claude AI) — model AI, który przetwarza treść rozmów oraz metadane i snippety z Gmaila WYŁĄCZNIE w celu zrealizowania funkcji widocznej dla Ciebie (analiza, triage, redakcja odpowiedzi)
Anthropic występuje jako dostawca usługi (service provider), bez własnych celów przetwarzania. Na mocy umowy API obowiązuje zero-retention oraz brak trenowania jakichkolwiek modeli na danych przekazywanych przez API.
Danych z usług Google NIE sprzedajemy, NIE przekazujemy brokerom danych ani innym osobom trzecim poza wymienionymi procesorami niezbędnymi do działania funkcji, którą włączyłeś. Transfer danych może nastąpić wyłącznie: za Twoją zgodą dla widocznych funkcji, w celach bezpieczeństwa, gdy wymaga tego prawo, lub w ramach fuzji/przejęcia po uprzednim poinformowaniu i uzyskaniu zgody.
Masz prawo do:
• Dostępu do swoich danych
• Sprostowania danych
• Usunięcia danych (prawo do bycia zapomnianym)
• Przeniesienia danych
• Ograniczenia przetwarzania
• Sprzeciwu wobec przetwarzania
• Wycofania zgody w dowolnym momencie (w tym odłączenia konta Google: Ustawienia → Integracje → „Rozłącz” lub myaccount.google.com/permissions) — bez wpływu na zgodność z prawem przetwarzania przed jej wycofaniem
• Wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl)
Aby skorzystać z praw, napisz na: contact@spideros.pl
Stosujemy następujące środki bezpieczeństwa:
• Szyfrowanie transportu HTTPS (TLS)
• Szyfrowanie haseł (bcrypt przez Supabase)
• Szyfrowanie tokenów OAuth algorytmem AES-256-GCM
• Row Level Security w bazie danych (izolacja danych per użytkownik)
• Dostęp do danych tylko dla autoryzowanych osób
• Regularne kopie zapasowe
• Zabezpieczenia anty-prompt-injection — treść wiadomości traktowana jako dane niezaufane, nigdy jako polecenia
Żaden człowiek nie czyta danych z Twojej skrzynki Google poza wyjątkami wymaganymi przepisami prawa lub względami bezpieczeństwa, albo na Twoją wyraźną prośbę.
Korzystanie i przekazywanie przez SpiderOS informacji otrzymanych z interfejsów API Google jest zgodne z Google API Services User Data Policy, w tym z wymaganiami Limited Use (Ograniczonego Wykorzystania).
W praktyce oznacza to, że dane uzyskane z usług Google (Gmail) wykorzystujemy WYŁĄCZNIE do dostarczania i ulepszania funkcji widocznych dla Ciebie jako użytkownika (triage skrzynki, redakcja i wysyłka odpowiedzi w Twoim imieniu). W szczególności:
• NIE wykorzystujemy danych Google do reklamy ani targetowania reklam
• NIE sprzedajemy danych Google ani nie przekazujemy ich brokerom danych
• NIE używamy danych Google do oceny zdolności kredytowej ani podobnych celów
• NIE trenujemy na danych Google żadnych modeli AI/ML (ani naszych, ani Anthropic — API Anthropic działa w trybie zero-retention i no-training)
• Danych Google nie czytają ludzie, z wyjątkiem: wyraźnej zgody użytkownika, danych zanonimizowanych, względów bezpieczeństwa (np. badanie nadużyć) lub obowiązku prawnego
Niniejsze oświadczenie potwierdza, że nasze wykorzystanie danych jest zgodne z ograniczeniami Limited Use. Wymagane przez Google oświadczenie w brzmieniu oryginalnym (EN):
„SpiderOS's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements. The use of information received from Google Workspace APIs will adhere to the Google User Data Policy, including the Limited Use requirements.”
Pełny dokument: https://developers.google.com/terms/api-services-user-data-policy
Używamy plików cookie do:
• Utrzymania sesji logowania (niezbędne)
• Analizy ruchu na stronie (analityczne — za Twoją zgodą)
Możesz zarządzać plikami cookie w ustawieniach przeglądarki. Odrzucenie cookie analitycznych nie wpływa na działanie platformy.
Przechowujemy Twoje dane przez czas trwania konta. Po usunięciu konta dane są kasowane w ciągu 30 dni, z wyjątkiem danych wymaganych przez prawo (np. dokumenty księgowe — przez okres wynikający z przepisów).
Tokeny dostępu do Google są kasowane natychmiast po rozłączeniu integracji (Ustawienia → Integracje → „Rozłącz”) lub po usunięciu konta. Metadane i snippety pobierane z Gmaila służą jedynie do realizacji bieżącej funkcji i nie są przechowywane jako trwała kopia Twojej skrzynki.
O istotnych zmianach niniejszej Polityki Prywatności informujemy z wyprzedzeniem (e-mailem lub w aplikacji). Data ostatniej aktualizacji widnieje na górze dokumentu. Dalsze korzystanie z platformy po wejściu zmian w życie oznacza akceptację zaktualizowanej polityki.
W sprawach prywatności i ochrony danych skontaktuj się:
Email: contact@spideros.pl
Administrator: Aleksander Pająk (SpiderOS, spideros.pl)
Odpowiadamy zwykle w ciągu 72 godzin.