Polityka Prywatności

Ostatnia aktualizacja: Marzec 2026

1. Kim jesteśmy

HumanKey (“my”, “nas”) dostarcza usługi inteligencji ruchu AI. Niniejsza polityka wyjaśnia, w jaki sposób gromadzimy, wykorzystujemy i chronimy dane osobowe zgodnie z RODO i dyrektywą ePrivacy.

Administrator danych: HumanKey · ChainGuard, Polska.
Kontakt: skontaktuj się z nami

2. Zbierane dane

Dane konta

• Adres e-mail, imię (opcjonalnie)
• Identyfikatory dostawców OAuth (Google) — tylko jeśli korzystasz z logowania społecznościowego
• Zahaszowane hasło (algorytm zgodny ze standardami branżowymi) — tylko w przypadku uwierzytelniania e-mail/hasło
• Metadane konta: poziom planu (Free, Pro, Business i Enterprise), rola (użytkownik/admin), data rejestracji, status weryfikacji e-mail
• Identyfikator klienta Stripe (tylko w przypadku subskrypcji płatnego planu)

Nowe konta otrzymują 14-dniowy okres próbny Pro. Podczas okresu próbnego nie są wymagane dane płatnicze.

Dane analizy ruchu

• Adresy IP: Zahaszowane z codziennie rotowaną solą — nigdy nie przechowujemy surowych adresów IP
• Ciągi User-Agent: Skrócone do 200 znaków wyłącznie do klasyfikacji botów
• Adresy URL stron i referrerów (do analizy ruchu)
• Znaczniki czasu odwiedzin i czas trwania
• Wyniki klasyfikacji botów (człowiek/bot, wynik pewności)
• Dane geolokalizacyjne na poziomie kraju: Uzyskane z adresu IP za pomocą bazy geolokalizacji (przechowywane wyłącznie jako kod kraju — bez danych o mieście ani precyzyjnej lokalizacji)
• Analiza wzorców sesji: Zagregowane wzorce sesji przetwarzane przez nasz autorski silnik analizy. Przechowywane w naszej bazie danych w UE. Wykorzystywane wyłącznie do identyfikacji skoordynowanej aktywności botów — bez indywidualnego profilowania.
• Metadane ASN: Wzbogacanie o numer Autonomous System Number za pośrednictwem publicznego API Cloudflare Radar. Zapytanie dotyczy wyłącznie numeru ASN — żadne dane osobowe nie są przesyłane do Cloudflare Radar.

3. Podstawa prawna (RODO Art. 6)

• Wykonanie umowy: Przetwarzanie danych konta w celu świadczenia naszej usługi
• Prawnie uzasadniony interes: Wykrywanie botów i klasyfikacja ruchu w celu ochrony właścicieli witryn
• Zgoda: Pliki cookie analityczne (opcjonalnie, za pośrednictwem banera zgody na pliki cookie)

Zgoda jest uzyskiwana poprzez (a) zaznaczenie pola podczas rejestracji e-mailem lub (b) akceptację Regulaminu przy logowaniu przez OAuth (Google). Zgoda użytkownika na przetwarzanie danych konta (art. 6 ust. 1 lit. a RODO) jest odrębna od uzasadnionego interesu w wykrywaniu botów (art. 6 ust. 1 lit. f RODO).

Zautomatyzowane przetwarzanie (art. 22 RODO)

Nasza detekcja botów używa zautomatyzowanej klasyfikacji żądań ruchu sieciowego, w tym modeli uczenia maszynowego trenowanych na zagregowanych wzorcach behawioralnych. Cała inferencja ML odbywa się na naszej infrastrukturze w UE — żadne dane odwiedzających nie są przesyłane do zewnętrznych usług ML. To zautomatyzowane przetwarzanie nie wywołuje skutków prawnych ani podobnie istotnych skutków dla odwiedzających Twoją stronę — klasyfikuje żądania sieciowe, nie osoby. Odwiedzający, których żądania są klasyfikowane jako ruch nieludzki, nie są indywidualnie profilowani ani poddawani konsekwencjom zautomatyzowanych decyzji. Dodatkowo, autorski pipeline analityczny służy do identyfikacji skoordynowanej aktywności farm botów — jest to technika informacyjna i nie skutkuje automatycznym blokowaniem żadnego indywidualnego odwiedzającego.

Wykorzystujemy również model językowy AI do okresowej analizy zagregowanych, nieosobowych metryk platformy (liczby detekcji, rozkłady ufności, trendy wolumenu botów) i generowania rekomendacji doradczych dotyczących ulepszenia systemu detekcji. Przetwarzane są wyłącznie podsumowania statystyczne — żadne indywidualne dane odwiedzających nigdy nie są przesyłane do modelu AI. Wszystkie rekomendacje wymagają ręcznego przeglądu przez administratora.

Możemy wysyłać Ci okresowe powiadomienia email o ruchu botów na Twoich stronach (dzienne raporty, tygodniowe analizy AI, alerty o nowych crawlerach, ostrzeżenia o limitach). Możesz kontrolować każdy typ powiadomień niezależnie w Panel → Ustawienia → Powiadomienia email. Tygodniowe emaile z analizami AI wykorzystują te same zagregowane metryki opisane powyżej — żadne dane osobowe nie są przetwarzane przez model AI.

Asystent AI (Chatbot): HumanKey udostępnia asystenta czatowego napędzanego przez AI na naszej stronie internetowej i w panelu. Rozmowy są przetwarzane przez model językowy AI w celu generowania odpowiedzi. Do modelu AI przesyłany jest wyłącznie tekst wiadomości czatu — żadne dane osobowe, adresy IP, identyfikatory sesji ani informacje o koncie nie są przekazywane. Wszystkie rozmowy są efemeryczne: przechowywane w pamięci serwera maksymalnie przez 30 minut i nigdy nie są zapisywane w żadnej bazie danych. Rozmów nie można odzyskać po zakończeniu sesji. Asystent AI dostarcza wyłącznie informacje doradcze i nie podejmuje wiążących decyzji. Zgodnie z Art. 50 EU AI Act, asystent jest wyraźnie oznaczony jako napędzany przez AI, a link do wsparcia ludzkiego jest zawsze dostępny.

Oprócz automatycznej klasyfikacji, administratorzy HumanKey mogą ręcznie weryfikować graniczne klasyfikacje ruchu w celu poprawy dokładności detekcji. Ta ręczna weryfikacja ma charakter wyłącznie informacyjny, nie stanowi zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO i nie wywołuje skutków prawnych ani podobnie istotnych dla odwiedzających strony. Identyfikatory administratorów są hashowane przed zapisem.

Zagregowana analiza trendów: HumanKey okresowo agreguje historyczne wzorce ruchu w zanonimizowane statystyki dzienne (liczby odwiedzających według kategorii: ludzie, boty, nieznany, zablokowany). Te zagregowane dane nie zawierają danych osobowych i nie mogą być wykorzystane do identyfikacji poszczególnych odwiedzających. Podstawa przetwarzania: uzasadniony interes (art. 6 ust. 1 lit. f RODO).

4. Minimalizacja danych

Przestrzegamy zasady minimalizacji danych. Adresy IP są haszowane przed zapisem, ciągi User-Agent są skracane i przechowujemy tylko dane niezbędne do analizy ruchu.

5. Twoje prawa

Zgodnie z RODO masz prawo do:

• Dostępu: Eksportuj wszystkie swoje dane z Panel → Ustawienia → Eksportuj dane
• Usunięcia: Usuń swoje konto i wszystkie powiązane dane z Panel → Ustawienia → Usuń konto
• Przenoszenia: Pobierz swoje dane w formacie JSON
• Sprostowania: Zaktualizuj informacje o profilu w Panel → Ustawienia
• Sprzeciwu: Skontaktuj się z nami, aby zrezygnować z określonych działań przetwarzania

6. Pliki cookie

• Niezbędne: Tokeny uwierzytelniania (httpOnly, bezpieczne) — wymagane do logowania
• Opcjonalne: Pliki cookie analityczne — ustawiane tylko za Twoją zgodą

Zobacz naszą Politykę plików cookie po szczegóły.

7. Okres przechowywania danych

Okres przechowywania danych o odwiedzinach zależy od Twojego planu:

• Plan darmowy: 7 dni
• Plan Pro: 30 dni
• Plan Business: 90 dni
• Plan Enterprise: 365 dni

Dane przekraczające te okresy są automatycznie i trwale usuwane. Dane konta są przechowywane do momentu usunięcia konta. Po anulowaniu subskrypcji obowiązuje 7-dniowy okres przejściowy, podczas którego zachowujesz dostęp do funkcji poprzedniego planu.

8. Usunięcie konta i przenoszenie danych

Usunięcie konta

Możesz usunąć konto w dowolnym momencie w Ustawieniach > Konto > Usuń konto. Po usunięciu wszystkie rekordy ruchu, klucze API i dane konta zostaną trwale usunięte w ciągu 30 dni. Dane konfiguracji serwisu są usuwane natychmiast.

Przenoszenie danych

Przenoszenie danych RODO (dane osobowe) jest dostępne na wszystkich planach. Eksport danych analitycznych (CSV/JSON) jest dostępny na planach Business i wyższych.

9. Podmioty przetwarzające i usługi stron trzecich (RODO Art. 28)

Korzystamy z następujących podmiotów przetwarzających w celu świadczenia naszej usługi. Wszyscy podmioty są zobowiązani umowami o przetwarzanie danych (DPA) zgodnymi z wymogami RODO:

Prawo do sprzeciwu: Jeśli sprzeciwiasz się transferom danych poza UE, skontaktuj się z nami pod adresem skontaktuj się z nami. Należy pamiętać, że niektóre usługi (rozliczenia, OAuth) wymagają podmiotów przetwarzających z USA — rezygnacja może ograniczyć funkcjonalność.

10. Bezpieczeństwo

Stosujemy szyfrowanie w tranzycie i w spoczynku zgodne ze standardami branżowymi, haszowanie haseł, uwierzytelnianie tokenowe, ograniczanie liczby żądań i kontrolę dostępu w celu ochrony Twoich danych.

Izolacja kont: Każda sesja w panelu jest w pełni odizolowana od innych sesji w tej samej przeglądarce. Wylogowanie uruchamia pełne czyszczenie stanu klienta (sessionStorage, pamięć zapytań, ustawienia użytkownika) oraz twarde przeładowanie strony, dzięki czemu żadne konto nigdy nie dziedziczy danych innego konta — zgodnie z art. 32 RODO (bezpieczeństwo przetwarzania).

Nagłówki bezpieczeństwa przeglądarki: HumanKey wymusza standardowe w branży polityki bezpieczeństwa przeglądarki, w tym politykę bezpieczeństwa treści (Content Security Policy), ochronę zasobów między-źródłowych oraz politykę referrera. Nagłówki te zapobiegają nieautoryzowanemu wstrzykiwaniu skryptów, kradzieży zasobów oraz wyciekom danych między źródłami. Nasza polityka bezpieczeństwa treści jest ściśle skonfigurowana z założenia — nie zezwalamy na dynamiczne wykonywanie kodu i nigdy nie osadzamy skryptów zewnętrznych, których nie możemy zweryfikować. Jeśli przeglądarka zgłasza w konsoli ostrzeżenia pochodzące od zainstalowanych rozszerzeń podczas odwiedzania strony z zainstalowanym HumanKey, te ostrzeżenia pochodzą z rozszerzenia, a nie z naszej usługi. Typowe ostrzeżenia przeglądarki i ich przyczyny opisano w przewodniku rozwiązywania problemów.

11. Ocena skutków dla ochrony danych (DPIA)

Nasze systematyczne przetwarzanie monitorowania botów zostało ocenione zgodnie z art. 35 RODO. Zobacz pełną Ocenę skutków dla ochrony danych (DPIA) w celu uzyskania szczegółowych informacji na temat oceny ryzyka, zabezpieczeń i środków zgodności.

12. Dane dzieci

HumanKey jest usługą skierowaną do firm (B2B) przeznaczoną dla właścicieli i operatorów stron internetowych. Świadomie nie zbieramy danych od osób poniżej 18 roku życia. Jeśli dowiesz się, że nieletnia osoba korzysta z Usługi, skontaktuj się z nami przez formularz kontaktowy.

13. Kontakt

W przypadku pytań dotyczących prywatności skontaktuj się z nami pod adresem skontaktuj się z nami lub napisz do polskiego organu nadzorczego: Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl