Administratorem Twoich danych osobowych jest Aurum Capital. Decydujemy o celach i sposobach przetwarzania.
2. Jakie dane zbieramy i po co
2.1. Dane z formularza wstępnej analizy (free wzorzec)
Dane
Cel
Email
Wysyłka raportu PDF + ewentualny kontakt CSO
Nazwa firmy
Personalizacja raportu
Forma prawna (JDG, sp. z o.o., itd.)
Dopasowanie banków - JDG i sp. z o.o. mają różne wymagania
Branża (10 wartości)
Dopasowanie banków per branża (np. transport vs IT)
Przychód roczny (widełki)
Dopasowanie kwotowe banków
Cel kredytu (obrotowy/inwestycyjny/leasing/konsolidacja)
Dopasowanie produktu
Banki, które już odrzuciły wniosek + kiedy
Wykluczenie z rekomendacji (cooldown ~30 dni)
2.2. Dane z opcjonalnego upload BIK (premium raport)
Dane
Cel
Raport BIK osobisty (PDF z bik.pl)
Analiza scoringu, historii kredytowej, zapytań
Raport BIK firmowy (PDF z bik.pl, JDG/sp.)
Analiza zobowiązań firmy, opóźnień, statusów
Ważne: upload BIK to opcja dla pełnego raportu premium. Bez BIK dostajesz wstępny raport wzorca (z dopasowaniem branżowym). BIK zawiera dane szczególnej kategorii w rozumieniu art. 9 RODO - przetwarzanie wymaga wyraźnej zgody (Z4 w formularzu upload).
3. Podstawa prawna przetwarzania
Przetwarzanie
Podstawa prawna
Wykonanie umowy (przygotowanie raportu)
art. 6 ust. 1 lit. b RODO
Profilowanie przez AI (Gemini Flash)
Wyraźna zgoda Z3 + art. 49 ust. 1 lit. a RODO (transfer poza EOG)
Przetwarzanie danych BIK (kategoria szczególna)
Wyraźna zgoda Z4 + art. 9 ust. 2 lit. a RODO
Marketing (newsletter, oferty Aurum)
Zgoda Z2 (opcjonalna) + art. 6 ust. 1 lit. a RODO
Logi techniczne, bezpieczeństwo
Uzasadniony interes - art. 6 ust. 1 lit. f RODO
4. Dostawcy zewnętrzni (w tym AI)
Korzystamy z następujących podmiotów przetwarzających:
Google LLC - Google AI Studio (model AI Gemini 2.5 Flash)
Analiza danych formularza, rekomendacja banków, generowanie skryptu CSO
USA
art. 49 ust. 1 lit. a RODO - wyraźna zgoda klienta (Z3) na transfer
Google LLC - Gmail SMTP
Wysyłka raportu PDF na email klienta
USA
art. 49 ust. 1 lit. a RODO - wyraźna zgoda klienta (Z3)
Cloudflare / własna domena
Routing DNS aurumcapital.pl
UE/EOG
UE/EOG bez transferu
Meta Platforms Ireland Limited (reklamy Facebook/Instagram - Lead Ads, Custom Audiences)
Wyświetlanie reklam, formularze kontaktowe Lead Ads, dopasowanie grup odbiorców reklam
Irlandia (EOG) + USA
art. 6 ust. 1 lit. f RODO (marketing bezpośredni); transfer USA: standardowe klauzule umowne + Data Privacy Framework
Polityka AI: Twoje dane z formularza (email, firma, branża, przychód, cel kredytu, banki odrzucające) są wysyłane do Google AI Studio celem analizy i rekomendacji banków. Email jest dodatkowo zaszyfrowany przed zapisem w naszej bazie. Modeli AI nie wykorzystujemy do treningu (kontrakt z Google API zakazuje tego dla Gemini API klientów płatnych i darmowych).
Reklamy Meta (Facebook/Instagram): jeśli kontaktujesz się z nami przez formularz w reklamie (Meta Lead Ads), Twoje dane (imię, telefon, email, dane firmy i potrzeby finansowej) są zbierane za pośrednictwem platformy Meta i przekazywane nam jako administratorowi w celu przygotowania oferty doradztwa kredytowego. W celu kierowania reklam możemy również przekazywać Meta Twoje dane kontaktowe w postaci zaszyfrowanej (hashowanej) - wyłącznie do dopasowania grup odbiorców (Custom Audiences), bez ujawniania Meta treści tych danych. Zasady przetwarzania przez Meta: facebook.com/privacy/policy. Masz prawo sprzeciwu wobec marketingu bezpośredniego i wycofania zgody (sekcja 7).
5. Transfer danych poza EOG
Część przetwarzania odbywa się poza Europejskim Obszarem Gospodarczym (EOG), w szczególności w USA (Google LLC). Transfer odbywa się na podstawie:
art. 49 ust. 1 lit. a RODO - wyraźna zgoda klienta wyrażona przed transferem, po poinformowaniu o ewentualnym ryzyku (zgoda Z3 w formularzu)
Google LLC nie jest objęty obecnie ważną decyzją Komisji Europejskiej o adekwatnym poziomie ochrony
Meta Platforms (reklamy) - dane mogą być przetwarzane również w USA; transfer na podstawie standardowych klauzul umownych Komisji Europejskiej oraz ram Data Privacy Framework
Możesz wycofać zgodę w każdym momencie - patrz sekcja 7
6. Jak długo trzymamy dane
Dane
Okres przechowywania
Mechanizm techniczny
Formularz + raport PDF (bez BIK)
12 miesięcy od zgłoszenia
DynamoDB TTL automatyczny + S3 lifecycle (Glacier po 30 dni, delete po 365 dni)
Upload BIK (jeśli wgrałeś)
12 miesięcy od wgrania
S3 lifecycle automatyczny delete po 365 dni
Logi techniczne (CloudWatch)
14 dni
CloudWatch Logs retention policy
Dane do faktury (jeśli zawarliśmy umowę)
5 lat od końca roku obrotowego
Obowiązek księgowy - ustawa o rachunkowości
Po wygaśnięciu okresu retencji dane są automatycznie usuwane przez mechanizm TTL w DynamoDB i lifecycle policy w S3. Możesz też zażądać wcześniejszego usunięcia (sekcja 7).
7. Twoje prawa
W każdej chwili masz prawo do (RODO art. 15-22):
Dostępu - dowiedzieć się jakie dane o Tobie mamy (art. 15)
Sprostowania - poprawić błędne dane (art. 16)
Usunięcia ("prawo do bycia zapomnianym") - wycofać wszystkie dane (art. 17)
Ograniczenia przetwarzania - zatrzymać przetwarzanie na pewien czas (art. 18)
Przeniesienia danych - dostać dane w formacie maszynowo czytelnym (art. 20)
Sprzeciwu wobec profilowania AI - przestać używać AI do Twoich danych (art. 21-22)
Cofnięcia zgody - w każdym momencie, bez wpływu na zgodność przetwarzania sprzed cofnięcia (art. 7)
Skargi do organu nadzorczego - Prezes Urzędu Ochrony Danych Osobowych (UODO), uodo.gov.pl
Jak skorzystać: wyślij email na kontakt@aurumcapital.pl z tematem "RODO - [żądanie]" (np. "RODO - usunięcie danych"). Odpowiadamy do 30 dni.
8. Bezpieczeństwo techniczne
Stosujemy mechanizmy ochrony danych zgodne z best practices AWS:
Encryption at rest - DynamoDB i S3 z szyfrowaniem KMS (AWS Key Management Service)
Encryption in transit - HTTPS/TLS 1.2+ na wszystkich endpointach
PII obfuscation - email klienta nie pojawia się w logach (tylko hash SHA256)
Least privilege IAM - każda funkcja Lambda ma minimalne uprawnienia, scoped do konkretnych zasobów
Audit log - CloudTrail rejestruje każdą operację API w naszym koncie AWS
Backup automatyczny - DynamoDB Point-in-Time Recovery (PITR) z 35-dniowym oknem
Public Access Block - bucket S3 nieosiągalny publicznie, dostęp tylko przez authorized Lambda i CloudFront OAC
L7 anti-halucynacja - AI nie może rekomendować banków spoza zatwierdzonej listy (regex hard-gate)
9. Cookies i analityka
Strona główna aurumcapital.pl używa Meta Pixel do pomiaru skuteczności reklam na Facebooku i Instagramie (zdarzenia wyświetlenia strony). Formularze analizy (K18) nie używają cookies innych niż techniczne. Nie korzystamy z Google Analytics.
Masz prawo sprzeciwu wobec śledzenia w celach marketingowych - patrz sekcja 7. Gdy rozszerzymy analitykę, zaktualizujemy tę politykę.
10. Zmiany polityki
Zastrzegamy sobie prawo do zmiany polityki w przypadku:
Zmiany dostawcy AI (np. powrót do AWS Bedrock)
Dodanie nowych usług (np. dashboard dla pośredników)
Zmian regulacji prawnych
O istotnych zmianach poinformujemy emailem (do klientów, których dane jeszcze przechowujemy) co najmniej 14 dni przed wejściem w życie.
Historia wersji:
v1.1 - 09.06.2026 (obecna) - dodano Meta Platforms Ireland jako odbiorcę danych (reklamy Facebook/Instagram, Lead Ads, Custom Audiences) + Meta Pixel
v1.0 - 23.05.2026 - pierwsza publikacja przy starcie K18 Lead Magnet