Ocena Skutków dla Ochrony Danych — Podsumowanie
Art. 35 RODO | Kwiecień 2026
To jest publiczne podsumowanie pełnej oceny DPIA przeprowadzonej zgodnie z art. 35 RODO. Pełna ocena — zawierająca szczegółowe zapisy przetwarzania, środki techniczne i matryce ryzyka — jest dostępna na żądanie dla klientów Enterprise, organów regulacyjnych i organów nadzorczych. Skontaktuj się przez formularz kontaktowy.
1. Cel i zakres
HumanKey świadczy usługi detekcji botów AI i klasyfikacji ruchu dla wydawców stron internetowych. Usługa systematycznie monitoruje żądania do witryn, aby odróżnić użytkowników od agentów zautomatyzowanych (crawlerów AI, scraperów, botów). Niniejsza DPIA ocenia wpływ tego przetwarzania na prywatność.
2. Kategorie danych
| Kategoria | Przetwarzanie | Status |
|---|---|---|
| Adresy IP | Haszowane kryptograficznie z rotującą solą przed zapisem — oryginalny IP nigdy nie jest przechowywany | Pseudonimizowane |
| Ciągi User-Agent | Skrócone do 200 znaków wyłącznie do klasyfikacji | Ograniczone PII |
| URL stron i referrerów | Wykorzystywane do analizy ruchu | Potencjalnie osobowe |
| Metadane wizyt | Znaczniki czasu, czas trwania sesji | Nieosobowe |
| Sygnały behawioralne | Zagregowane wzorce interakcji na poziomie sesji (bez rejestrowania naciśnięć klawiszy) | Pseudonimizowane |
| Lokalizacja na poziomie kraju | Uzyskana z IP przez bazę geolokalizacji (wyłącznie kod kraju) | Potencjalnie osobowe |
| Tożsamość crawlera AI | Nazwa bota, firma, cel (dane agenta zautomatyzowanego) | Nieosobowe |
3. Podstawa prawna
- Dane konta: Zgoda (art. 6 ust. 1 lit. a) — wyraźna akceptacja podczas rejestracji
- Detekcja botów: Prawnie uzasadniony interes (art. 6 ust. 1 lit. f) — ochrona treści przed nieautoryzowanym scrapingiem, zapewnienie dokładnych metryk ruchu, zapobieganie przeciążeniu serwerów przez agresywne crawlery
Zgoda nie jest odpowiednia dla detekcji botów, ponieważ agenty zautomatyzowane nie mogą i nie udzielają zgody, a jej wymaganie uniemożliwiłoby cel przetwarzania.
4. Zidentyfikowane ryzyka i środki zaradcze
NISKIE: Fałszywa klasyfikacja
Człowiek błędnie zaklasyfikowany jako bot → brak wpływu funkcjonalnego (brak blokowania), wyłącznie błąd statystyczny. Mitygowane przez progi ufności i opcje ręcznego przeglądu.
NISKIE: Naruszenie danych
Ujawnienie haszy IP → odwrócenie obliczeniowo niemożliwe dzięki haszowaniu kryptograficznemu z rotującą solą. Mitygowane przez szyfrowanie w spoczynku i w tranzycie, kontrole dostępu oraz automatyczne egzekwowanie retencji.
ŚREDNIE: Wyciek prywatności URL
URL-e zawierające identyfikatory przechowywane w analityce → potencjalna reidentyfikacja. Mitygowane przez dokumentację dla wydawców i planowane automatyczne usuwanie parametrów zapytań.
NISKIE: Dostęp podmiotów przetwarzających
Podmioty przetwarzające mają dostęp do pseudonimizowanych danych → mitygowane przez DPA, rezydencję danych w UE i Standardowe Klauzule Umowne dla podmiotów z USA.
Ogólne ryzyko: ŚREDNIE — Brak zautomatyzowanego podejmowania decyzji o wysokim ryzyku (art. 22), brak danych szczególnych kategorii (art. 9). Ryzyko podwyższone ze względu na amerykańskie podmioty przetwarzające do dostarczania e-maili i uwierzytelniania, objęte Standardowymi Klauzulami Umownymi.
5. Zabezpieczenia
- Pseudonimizacja: Adresy IP haszowane kryptograficznie przed zapisem (art. 32 ust. 1 lit. a)
- Minimalizacja danych: User-Agent skrócony, brak zbierania danych szczególnych kategorii
- Ograniczenie przechowywania: Automatyczne egzekwowanie retencji (Free: 7 dni, Pro: 30 dni, Business: 90 dni, Enterprise: 365 dni)
- Szyfrowanie: Szyfrowanie w tranzycie i w spoczynku zgodne ze standardami branżowymi
- Kontrola dostępu: Uwierzytelnianie, ograniczanie liczby żądań i dostęp oparty na rolach
- Monitoring: Śledzenie błędów z usuwaniem PII, strukturalne logowanie, ścieżka audytu
- Rezydencja danych w UE: Dane podstawowe przetwarzane i przechowywane na terenie Unii Europejskiej
- Brak automatycznego blokowania: Klasyfikacja ma charakter wyłącznie informacyjny — brak zautomatyzowanych decyzji dotyczących osób
- Ręczna weryfikacja administratora: Administratorzy platformy mogą ręcznie przeglądać graniczne klasyfikacje detekcji botów i nadpisywać automatyczną heurystykę. Etykiety weryfikacji są przechowywane z zahashowanym identyfikatorem administratora w celach audytowych. To przetwarzanie ma charakter wyłącznie informacyjny i nie wywołuje skutków prawnych ani podobnie istotnych dla użytkowników końcowych.
6. Prawa podmiotów danych (art. 15–22)
| Prawo | Jak skorzystać |
|---|---|
| Dostęp (art. 15) | Panel → Ustawienia → Eksport danych (JSON) |
| Usunięcie (art. 17) | Panel → Ustawienia → Usuń konto (kaskadowe usunięcie) |
| Sprostowanie (art. 16) | Panel → Ustawienia → Aktualizuj profil |
| Sprzeciw (art. 21) | Formularz kontaktowy (odpowiedź w ciągu 30 dni) |
| Przenoszenie (art. 20) | Eksport w formacie JSON do odczytu maszynowego |
7. Podmioty przetwarzające
Pełna lista podmiotów przetwarzających, ich celów, lokalizacji danych i linków do DPA jest dostępna pod adresem: /pl/legal/podmioty-przetwarzajace
Wszystkie podmioty z siedzibą w UE są objęte RODO bezpośrednio. Podmioty z USA zawarły Standardowe Klauzule Umowne zgodnie z rozdziałem V RODO.
8. Harmonogram przeglądów
- Częstotliwość: Coroczny (każdy luty) lub przy istotnych zmianach
- Następny przegląd: Luty 2027
- Wyzwalacze: Nowe typy danych, zmiana podstawy prawnej, naruszenie danych, zapytanie organu nadzorczego lub istotne zmiany technologiczne
- Odpowiedzialny: ChainGuard (Administrator Danych)
9. Organ nadzorczy
Polski organ nadzorczy: Urząd Ochrony Danych Osobowych (UODO)
Strona: uodo.gov.pl
10. Wniosek
✓ Przetwarzanie jest zgodne z RODO i może być kontynuowane.
- Ryzyko dla osób: ŚREDNIE
- Prawnie uzasadniony interes: UZASADNIONY
- Zabezpieczenia: ADEKWATNE
- Zgodność z prawami: WDROŻONE
- Przejrzystość: OSIĄGNIĘTA
Pytania? Skontaktuj się przez formularz kontaktowy lub napisz do polskiego organu nadzorczego (UODO).
Niniejsze podsumowanie DPIA jest zgodne z art. 35 RODO i wytycznymi WP29 dot. DPIA (wp248rev.01). Pełna DPIA dostępna na żądanie. Administrator: ChainGuard.