Polityka prywatności serwisu myPBI

Ostatnia aktualizacja: 14.06.2026 · Wersja: 1.1

Niniejszy dokument składa się z dwóch części. Część A opisuje zasady przetwarzania danych, które stosujemy wobec każdego użytkownika, niezależnie od kraju — przyjęliśmy jako wspólny standard unijne rozporządzenie RODO, czyli najwyższy z obowiązujących nas standardów ochrony danych. Część B zawiera uzupełnienia wynikające z przepisów poszczególnych krajów: Polski (B.1), Czech (B.2) i Ukrainy (B.3). W razie różnic stosuje się Część A łącznie z sekcją kraju użytkownika, a rozwiązanie korzystniejsze dla użytkownika ma pierwszeństwo.

CZĘŚĆ A — ZASADY WSPÓLNE (STANDARD RODO)

A.1. Administrator danych

Administratorem Twoich danych osobowych jest Mega City s.r.o. z siedzibą pod adresem Lešetínská 317/12a, 733 01 Karviná – Staré Město, Česká republika, IČO: 29690897, operator serwisu dostępnego pod adresem www.mypbi.eu („Serwis").

Kontakt we wszystkich sprawach, w tym w sprawach ochrony danych: kontakt@mypbi.eu.

A.2. Charakter i przeznaczenie Serwisu

Serwis ma charakter informacyjno-edukacyjny: wspiera codzienne nawyki oraz świadomą suplementację. Serwis nie jest przeznaczony do celów medycznych — nie służy do diagnozowania, leczenia, łagodzenia ani monitorowania chorób i nie wydaje indywidualnych zaleceń medycznych. Treści generowane przez asystenta nie zastępują porady lekarza ani farmaceuty. Jeżeli w rozmowie pojawia się temat stanu chorobowego lub przyjmowanych leków, asystent udziela wyłącznie wiedzy ogólnej i kieruje do odpowiedniego specjalisty.

W ramach konsultacji rozmawiasz z systemem sztucznej inteligencji, a nie z człowiekiem.

Serwis jest przeznaczony wyłącznie dla osób pełnoletnich (18+).

A.3. Jakie dane przetwarzamy, po co i na jakiej podstawie

a) Dane konta — adres e-mail, imię i nazwisko, awatar, język interfejsu, rola w Serwisie. Cel: założenie i obsługa konta. Podstawa: art. 6 ust. 1 lit. b RODO (umowa). Podanie tych danych jest dobrowolne, ale niezbędne do korzystania z Serwisu.

b) Dane programu poleceń — Twój kod polecający; informacja, czyj kod podano przy Twojej rejestracji (jeśli dotyczy); powiązanie Twojego konta z kontem osoby polecającej oraz dane naliczonych prowizji (status, kwota i waluta prowizji, powiązanie z opłaconą sprzedażą). Jeżeli zarejestrowałeś konto przy użyciu cudzego kodu lub linku polecającego, kojarzymy Twoje konto z kontem osoby polecającej wyłącznie w celu prawidłowego naliczenia i rozliczenia prowizji za polecenie. Osobie polecającej nie udostępniamy żadnych Twoich danych identyfikujących — w jej panelu (drzewku poleceń) widoczne są wyłącznie dane całkowicie anonimowe (zanonimizowana etykieta porządkowa oraz wysokość prowizji), nigdy Twojego imienia, nazwiska, adresu e-mail ani jakichkolwiek danych dotyczących zdrowia czy treści konsultacji. Powiązanie kont przechowujemy wyłącznie my, na potrzeby rozliczeń i obowiązków rachunkowych. Gdy wnioskujesz o wypłatę prowizji, przetwarzamy dodatkowo dane niezbędne do jej realizacji: wskazany przez Ciebie rachunek bankowy lub dane konta Stripe Connect oraz Twój status podatkowy (konsument / przedsiębiorca / podatnik VAT). Cel: obsługa, rozliczenie i wypłata prowizji w programie poleceń oraz związane z tym obowiązki rachunkowo-podatkowe. Podstawa: art. 6 ust. 1 lit. b RODO (wykonanie umowy wobec uczestnika programu), art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes: prawidłowe przypisanie i rozliczenie poleceń) oraz — w zakresie wypłat i dokumentacji rozliczeniowej — art. 6 ust. 1 lit. c RODO (obowiązek prawny). Szczegółowe zasady programu określa odrębny Regulamin Programu Poleceń.

c) Dane subskrypcji i płatności — identyfikatory klienta i subskrypcji w systemie Stripe, status i okres subskrypcji, liczniki wykorzystania pakietu (liczba zapytań i dokumentów). Dane karty płatniczej podajesz wyłącznie bezpośrednio operatorowi płatności Stripe — my nigdy nie widzimy i nie przechowujemy numeru Twojej karty. Cel: rozliczenie usługi, obowiązki podatkowe. Podstawa: art. 6 ust. 1 lit. b i c RODO.

d) Treść konsultacji (dane dotyczące zdrowia — art. 9 RODO) — informacje o zdrowiu, stylu życia i przyjmowanych suplementach, które podajesz w trakcie konsultacji z asystentem AI, w tym treść załączanych plików. Przetwarzamy je wyłącznie za Twoją wyraźną, dobrowolną zgodą (art. 9 ust. 2 lit. a RODO), udzielaną przed pierwszą konsultacją. Podanie tych danych jest w pełni dobrowolne — jednak bez nich przeprowadzenie konsultacji nie jest obiektywnie możliwe, dlatego bez zgody funkcja konsultacji pozostaje niedostępna (możesz mimo to posiadać konto i korzystać z pozostałych funkcji).

Konsultacje działają w trybie Zero Memory:

  • treść konsultacji jest usuwana z naszej produkcyjnej bazy danych w momencie wylogowania;
  • sesje porzucone (np. zamknięcie karty bez wylogowania) są usuwane automatycznie po 60 minutach braku aktywności;
  • załączane pliki (tryb Zero Files) nigdy nie są zapisywane w Serwisie — są przekazywane wyłącznie do jednorazowej analizy przez model AI i odrzucane;
  • fragmenty usuniętych danych mogą przejściowo pozostawać w zaszyfrowanych kopiach zapasowych bazy danych, które są automatycznie nadpisywane najpóźniej po 7 dniach; kopie zapasowe służą wyłącznie przywróceniu systemu po awarii i nie są wykorzystywane do odtwarzania treści konsultacji w żadnym innym celu.

Zgodę możesz wycofać w każdej chwili — w Ustawieniach lub pisząc na kontakt@mypbi.eu; wycofanie nie wpływa na zgodność z prawem przetwarzania sprzed wycofania.

e) Rejestr zgód — identyfikator Twojego konta, data i godzina udzielenia lub wycofania zgody oraz oznaczenie wersji zaakceptowanego tekstu (dotyczy zgody na przetwarzanie danych o zdrowiu oraz oświadczeń składanych przy zakupie). Rejestr nie zawiera treści konsultacji i nie podlega usuwaniu w trybie Zero Memory — bez niego nie moglibyśmy wykazać, że przetwarzanie odbywało się zgodnie z prawem. Cel: rozliczalność (art. 5 ust. 2 i art. 7 ust. 1 RODO). Podstawa: art. 6 ust. 1 lit. c i f RODO (ustalenie, dochodzenie lub obrona roszczeń).

f) Metadane rozliczeniowe użycia AI — nazwa modelu, liczba tokenów, koszt, znacznik czy w zapytaniu był dokument. Nie zawierają treści rozmowy. Cel: rozliczenie pakietu, kontrola kosztów. Podstawa: art. 6 ust. 1 lit. b i f RODO.

g) Dane techniczne i bezpieczeństwa — adres IP przetwarzany przejściowo przy operacji płatności w celu ochrony przed nadużyciami (limit zapytań); przechowywany maksymalnie 24 godziny. Liczniki częstotliwości zapytań powiązane z kontem: przechowywane maksymalnie 24 godziny. Niezależnie od powyższego, infrastruktura naszych dostawców (sekcja A.5) może krótkotrwale rejestrować adresy IP w technicznych logach dostępowych — wyłącznie w celu zapewnienia bezpieczeństwa i stabilności usługi. Podstawa: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — bezpieczeństwo usługi).

h) Monitoring błędów — w razie błędu technicznego rejestrowane są techniczne metadane zdarzenia. Zgłoszenia błędów nie zawierają treści konsultacji ani załączanych plików. Narzędzie: Sentry, hosting w Unii Europejskiej (Niemcy). Podstawa: art. 6 ust. 1 lit. f RODO (diagnostyka i stabilność usługi).

A.4. Dane osób trzecich w konsultacjach

Serwis jest zaprojektowany do rozmów o Tobie. Jeżeli w konsultacji opisujesz sytuację innej osoby (np. członka rodziny lub — jako ambasador — swojego podopiecznego), nie podawaj żadnych danych pozwalających ją zidentyfikować: imienia i nazwiska, danych kontaktowych, numerów identyfikacyjnych ani innych unikalnych szczegółów. Opisuj wyłącznie cechy ogólne (np. „kobieta, 45 lat, aktywna fizycznie"). Wprowadzając informacje dotyczące innej osoby, odpowiadasz za to, że robisz to zgodnie z prawem.

Przy oknie konsultacji wyświetlamy przypomnienie o tej zasadzie, a asystent jest skonfigurowany tak, aby nie prosić o dane identyfikujące i przypominać o anonimowym opisie przypadku. Treść każdej konsultacji podlega trybowi Zero Memory opisanemu w sekcji A.3d.

A.5. Odbiorcy danych

Korzystamy wyłącznie z dostawców zapewniających przetwarzanie w UE lub odpowiednie gwarancje:

  • Supabase — baza danych i uwierzytelnianie; region Frankfurt (UE).
  • Vercel — hosting aplikacji; region Frankfurt (fra1, UE).
  • Google Cloud (Vertex AI) — przetwarzanie treści konsultacji przez modele AI; region europe-west4 (UE). Treść nie jest wykorzystywana do trenowania modeli zgodnie z warunkami usług Google Cloud.
  • Stripe — obsługa płatności.
  • Sentry — monitoring błędów; hosting UE (Niemcy).

Ponadto dane rozliczeniowe mogą być udostępniane podmiotom wspierającym nas w obowiązkach księgowych i podatkowych (biuro rachunkowe, doradcy podatkowi), a dane osobowe — uprawnionym organom publicznym, gdy obowiązek ich udostępnienia wynika z przepisów prawa.

A.6. Przekazywanie danych poza EOG

Dane przetwarzamy w Unii Europejskiej. W zakresie obsługi płatności Stripe może przekazywać dane do USA w oparciu o uznane mechanizmy transferu (Data Privacy Framework / standardowe klauzule umowne). Zasady transferu danych użytkowników z Ukrainy do UE opisuje sekcja B.3.

A.7. Pliki cookies

Serwis nie używa cookies analitycznych, marketingowych ani pochodzących od podmiotów trzecich. Jedyne wykorzystywane pliki cookies to niezbędne cookies uwierzytelniające (rodzina sb-*), ustawiane dopiero po zalogowaniu w celu utrzymania Twojej sesji. Przed zalogowaniem Serwis nie zapisuje żadnych cookies. Cookies niezbędne do świadczenia usługi są zwolnione z obowiązku uzyskania zgody — podstawy krajowe wskazujemy w Części B. Z tego powodu Serwis nie wyświetla banera zgody na cookies. Szczegóły znajdziesz w Polityce cookies.

A.8. Jak długo przechowujemy dane

  • Treść konsultacji: do wylogowania (usunięcie natychmiastowe) lub maksymalnie 60 minut braku aktywności przy porzuconej sesji; pozostałości w kopiach zapasowych — maksymalnie 7 dni (sekcja A.3d).
  • Załączane pliki: nie są przechowywane w ogóle.
  • Rejestr zgód: przez czas posiadania konta, a po jego usunięciu — przez okres przedawnienia ewentualnych roszczeń.
  • Dane konta: przez czas posiadania konta. Konto możesz usunąć samodzielnie w każdej chwili (Ustawienia → Konto). Konto bez aktywnej subskrypcji usuwamy automatycznie po 90 dniach braku aktywności. Termin liczymy od najpóźniejszego z następujących zdarzeń: utworzenie konta, ostatnie zalogowanie, koniec ostatniego opłaconego okresu subskrypcji — każde zalogowanie odnawia bieg terminu.
  • Adres IP (ochrona płatności): maksymalnie 24 godziny.
  • Liczniki zapytań: maksymalnie 24 godziny.
  • Dokumenty rozliczeniowe (faktury): 10 lat — zgodnie z czeskimi przepisami podatkowymi (sekcja B.2).
  • Dane rozliczeń programu poleceń (naliczone prowizje, wnioski i potwierdzenia wypłat): w zakresie wymaganym przepisami o rachunkowości i podatkach — wraz z dokumentami rozliczeniowymi (10 lat); w pozostałym zakresie — przez czas posiadania konta oraz okres przedawnienia ewentualnych roszczeń.
  • Logi błędów (Sentry): do 90 dni.

Usunięcie konta nie obejmuje danych, których przechowywanie jest naszym obowiązkiem prawnym (dokumenty rozliczeniowe), ani rejestru zgód niezbędnego do wykazania zgodności z prawem.

A.9. Twoje prawa

Masz prawo do: dostępu do danych, ich sprostowania, usunięcia (samodzielnie w Ustawieniach lub mailowo — realizujemy bez zbędnej zwłoki, najpóźniej w terminach z art. 12 ust. 3 RODO), ograniczenia przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania opartego na art. 6 ust. 1 lit. f RODO, oraz wycofania zgody w każdej chwili.

Prawa te mogą podlegać ograniczeniom przewidzianym w przepisach — przykładowo nie możemy usunąć faktur przed upływem okresów wymaganych prawem podatkowym. Przy wnioskach składanych mailowo możemy poprosić o potwierdzenie tożsamości, aby nie udostępnić danych osobie nieuprawnionej.

Masz prawo wnieść skargę do organu nadzorczego. Organem wiodącym dla administratora jest czeski Úřad pro ochranu osobních údajů (ÚOOÚ). Organ właściwy dla Twojego kraju wskazujemy w Części B — możesz złożyć skargę również tam.

A.10. Profilowanie i zautomatyzowane decyzje

Nie podejmujemy wobec Ciebie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie na Ciebie wpływały (art. 22 RODO).

Asystent AI dostosowuje treść odpowiedzi do informacji, które podajesz w trakcie rozmowy — jest to profilowanie w rozumieniu art. 4 pkt 4 RODO, ograniczone do bieżącej sesji (tryb Zero Memory) i pozbawione skutków, o których mowa w art. 22. Treści asystenta mają charakter wyłącznie informacyjny — decyzje podejmujesz Ty, w sprawach zdrowotnych najlepiej po konsultacji z lekarzem lub farmaceutą.

A.11. Bezpieczeństwo danych

Stosujemy środki techniczne i organizacyjne odpowiednie do ryzyka (art. 32 RODO): szyfrowanie transmisji (TLS), szyfrowanie danych w spoczynku u naszych dostawców, kontrolę dostępu opartą na rolach oraz zasadę minimalizacji danych. Tryby Zero Memory i Zero Files oraz zasada anonimowego opisu osób trzecich są elementem ochrony prywatności w fazie projektowania (art. 25 RODO): danych, których nie przechowujemy, nie można wykraść ani wykorzystać niezgodnie z celem.

A.12. Zmiany polityki

O istotnych zmianach poinformujemy w Serwisie, a posiadaczy kont — e-mailem. Każda wersja ma datę i numer u góry dokumentu.

CZĘŚĆ B — UZUPEŁNIENIA KRAJOWE

Sekcje krajowe nie ograniczają zasad z Części A — uzupełniają je o podstawy prawne i instytucje właściwe dla Twojego kraju.

B.1. Polska

Ramy prawne. Do użytkowników z Polski stosuje się bezpośrednio RODO (te same artykuły, które wskazujemy w Części A) oraz uzupełniająco ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.

Organ nadzorczy. Niezależnie od organu wiodącego (ÚOOÚ) możesz wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa (uodo.gov.pl) — organ ten może działać w Twojej sprawie we współpracy z organem wiodącym (art. 77 RODO).

Wiek użytkownika. Polskie przepisy przewidują próg 16 lat dla zgody dziecka w usługach społeczeństwa informacyjnego — nie ma on praktycznego znaczenia w Serwisie, ponieważ Serwis jest przeznaczony wyłącznie dla osób pełnoletnich (18+).

Cookies. Niezbędne cookies uwierzytelniające są zwolnione z obowiązku uzyskania zgody na podstawie polskich przepisów o komunikacji elektronicznej.

Język. Pełna polska wersja Serwisu i dokumentów jest dostępna zgodnie z wymogami ustawy o języku polskim.

B.2. Czechy

Ramy prawne. Do użytkowników z Czech stosuje się bezpośrednio RODO oraz uzupełniająco zákon č. 110/2019 Sb., o zpracování osobních údajů.

Organ nadzorczy. Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7 (uoou.gov.cz) — jest jednocześnie organem wiodącym dla administratora, ponieważ siedziba spółki znajduje się w Czechach.

Wiek użytkownika. Czeskie przepisy przewidują próg 15 lat dla zgody dziecka — bez praktycznego znaczenia w Serwisie (zasada 18+).

Cookies. Niezbędne cookies uwierzytelniające są zwolnione z obowiązku uzyskania zgody na podstawie § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích.

Retencja dokumentów rozliczeniowych. Jako spółka czeska przechowujemy dokumenty podatkowe przez 10 lat zgodnie z czeskimi przepisami o VAT — dotyczy to faktur wszystkich użytkowników, niezależnie od ich kraju.

B.3. Ukraina

Ramy prawne. Wobec użytkowników z Ukrainy stosujemy dobrowolnie pełny standard opisany w Części A (RODO) oraz dodatkowo zasady wynikające z ukraińskiej ustawy „Про захист персональних даних" nr 2297-VI.

Podstawy przetwarzania. Dane zwykłe przetwarzamy na podstawie Twojej zgody lub umowy o świadczenie usługi (art. 11 ust. 1 ustawy 2297-VI). Dane dotyczące zdrowia, które podajesz w konsultacjach, przetwarzamy wyłącznie na podstawie Twojej jednoznacznej zgody (art. 7 ustawy 2297-VI), wyrażanej przed pierwszą konsultacją i dokumentowanej w rejestrze zgód (sekcja A.3e).

Twoje prawa. Przysługują Ci prawa przewidziane w art. 8 ustawy 2297-VI, w szczególności: prawo do informacji o przetwarzaniu, dostępu do danych, sprostowania, usunięcia, sprzeciwu oraz wycofania zgody. Realizujemy je na zasadach opisanych w sekcji A.9 — wnioski kieruj na kontakt@mypbi.eu.

Przekazywanie danych za granicę. Twoje dane są przetwarzane na terenie Unii Europejskiej. Państwa należące do Europejskiego Obszaru Gospodarczego uznaje się za zapewniające odpowiedni poziom ochrony danych (art. 29 ustawy 2297-VI); dodatkową podstawą przekazania jest Twoja zgoda na korzystanie z usługi.

Organ właściwy. Kontrolę nad ochroną danych osobowych w Ukrainie sprawuje Уповноважений Верховної Ради України з прав людини (Rzecznik Praw Człowieka Rady Najwyższej Ukrainy) — masz prawo zwrócić się do niego ze skargą.

Wersja językowa. Ukraińska wersja niniejszego dokumentu i Serwisu jest domyślna dla użytkowników z Ukrainy i równoważna treściowo pozostałym wersjom (art. 27 ustawy nr 2704-VIII o zapewnieniu funkcjonowania języka ukraińskiego jako państwowego).