Kydi › RODO
Prawne

Informacja o przetwarzaniu danych osobowych (RODO)

Sporządzona zgodnie z art. 13 i 14 RODO · Aktualizacja: 23 czerwca 2026

Na tej stronie

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest Sunaura sp. z o.o. (marka Kydi), ul. Szlak 77/222, 31-153 Kraków, KRS 0001130877, NIP 6762678620.

Email do kontaktu w sprawach danych osobowych: arek@kydi.pl

Nie jesteśmy zobowiązani do wyznaczenia Inspektora Ochrony Danych. W razie pytań — piszcie bezpośrednio.

2. Kategorie przetwarzanych danych

Przetwarzamy następujące kategorie danych, w zależności od podstawy relacji:

  • Dane identyfikacyjne (imię, nazwisko, nazwa firmy)
  • Dane kontaktowe (email, telefon)
  • Dane rozliczeniowe (NIP, adres, dane fakturowe)
  • Dane techniczne (IP, user agent, ciasteczka sesji)
  • Dane konfiguracyjne przekazane do Agentów AI
  • Dane osób trzecich przetwarzane przez Agentów AI w imieniu Klienta

3. Cele i podstawy prawne przetwarzania

a) Klienci Kydi (Klienci usług)

  • Zawarcie i wykonanie umowy — art. 6 ust. 1 lit. b RODO
  • Wystawianie faktur i rozliczenia — art. 6 ust. 1 lit. c RODO (obowiązek prawny)
  • Marketing własnych usług — art. 6 ust. 1 lit. f RODO (uzasadniony interes)
  • Dochodzenie roszczeń — art. 6 ust. 1 lit. f RODO

b) Osoby kontaktujące się przez formularz / email

  • Odpowiedź na zapytanie — art. 6 ust. 1 lit. f RODO (uzasadniony interes)

c) Dane przetwarzane przez Agentów AI w imieniu Klienta

  • Kydi przetwarza te dane jako Podmiot Przetwarzający (Procesor) na podstawie umowy powierzenia z Klientem
  • Klient jest Administratorem danych swoich klientów
  • Dane nie są używane do celów własnych Kydi ani do trenowania modeli

4. Odbiorcy danych

Dane mogą być przekazywane:

  • Hetzner Online GmbH — hosting aplikacji i bazy danych (Niemcy, EOG)
  • Cloudflare Inc. — CDN i ochrona DDoS (USA, SCC)
  • Resend, Inc. — wysyłka emaili systemowych (USA, SCC)
  • Anthropic, OpenAI — modele AI używane przez Kydi (USA, SCC, brak treningu na danych klienta)
  • Meta, Telegram, SMSAPI — operatorzy kanałów (Messenger/IG/Telegram/SMS), gdy klient korzysta z odpowiedniego kanału
  • Organy publiczne — wyłącznie na podstawie obowiązujących przepisów prawa

Pełna lista podwykonawców wraz z lokalizacją i podstawą prawną transferu: kydi.pl/cleo/subprocesorzy.

5. Przekazywanie danych poza EOG

Część infrastruktury (Cloudflare) jest zlokalizowana poza Europejskim Obszarem Gospodarczym. Przekazywanie opieramy na:

  • Standardowych klauzulach umownych (SCCs) zatwierdzonych przez Komisję Europejską
  • Decyzjach o adekwatności wydanych przez Komisję

6. Okresy retencji

  • Dokumentacja fakturowa — 5 lat od końca roku podatkowego (art. 74 ust. 2 ustawy o rachunkowości)
  • Dane konfiguracyjne Agentów — czas trwania umowy + 30 dni
  • Korespondencja handlowa — 3 lata od zakończenia relacji (dochodzenie roszczeń)
  • Logi techniczne — 90 dni

7. Twoje prawa jako osoby, której dane dotyczą

Na podstawie RODO przysługują Ci następujące prawa:

  • Prawo dostępu (art. 15 RODO) — możesz uzyskać kopię przetwarzanych danych
  • Prawo sprostowania (art. 16 RODO) — możesz żądać poprawienia błędnych danych
  • Prawo do usunięcia (art. 17 RODO) — możesz żądać usunięcia danych, gdy nie są już niezbędne
  • Prawo do ograniczenia przetwarzania (art. 18 RODO)
  • Prawo do przenoszenia danych (art. 20 RODO) — w formacie JSON lub CSV
  • Prawo sprzeciwu (art. 21 RODO) — w szczególności wobec marketingu bezpośredniego
  • Prawo do niepodlegania zautomatyzowanym decyzjom (art. 22 RODO)

8. Jak realizować prawa

Wyślij maila na arek@kydi.pl z tematem „RODO — [Twoje imię]" i opisem żądania. Odpowiemy w ciągu 30 dni. W uzasadnionych przypadkach termin może być przedłużony o kolejne 60 dni — poinformujemy o tym wcześniej.

Jeśli uważasz że przetwarzamy Twoje dane niezgodnie z prawem, masz prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl.

9. Dobrowolność podania danych

Podanie danych jest dobrowolne, ale niezbędne do korzystania z usług Kydi. Brak podania danych wymaganych do realizacji umowy uniemożliwia świadczenie usługi.

10. Zautomatyzowane podejmowanie decyzji + AI Act

W stosunku do Klientów (właścicieli salonów i akademii) NIE stosujemy zautomatyzowanego podejmowania decyzji, w tym profilowania, które wywoływałoby wobec nich skutki prawne.

W ramach usługi Kydi stosujemy zautomatyzowane generowanie odpowiedzi na wiadomości klientek salonu (klientów Klienta). Zgodnie z art. 50 Rozporządzenia o sztucznej inteligencji (AI Act, obowiązuje od 2 lutego 2026):

  • Kydi informuje, że jest systemem AI, jeśli osoba wprost o to zapyta;
  • Klient (właściciel salonu lub akademii) ma obowiązek poinformować klientki/kursantki, że obsługuje je częściowo system AI — wzór klauzuli udostępniamy pod adresem kydi.pl/cleo/klauzula-klientki;
  • Decyzje o charakterze prawnym (np. przyjęcie na wizytę, cena usługi) podejmuje Klient, nie system.

11. Umowa powierzenia (DPA)

Dla danych klientek końcowych przetwarzanych przez Kydi w imieniu Klienta obowiązuje odrębna umowa powierzenia (Data Processing Agreement), akceptowana przy rejestracji w usłudze. Aktualna wersja: kydi.pl/cleo/dpa.

Dokument sporządzony zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) oraz Rozporządzeniem (UE) 2024/1689 (AI Act). W razie pytań: arek@kydi.pl

Strona główna Kontakt Regulamin Prywatność RODO
© 2026 Sunaura sp. z o.o. — marka Kydi. Kraków.