Polityka Prywatności

2.1. Dane osobowe są przetwarzane na podstawie:

• Art. 6 ust. 1 lit. b RODO - wykonanie umowy o świadczenie usługi SaaS (rejestracja, korzystanie z usługi)
• Art. 6 ust. 1 lit. a RODO - zgoda użytkownika (cookies analityczne, komunikacja marketingowa)
• Art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes administratora (zapewnienie bezpieczeństwa serwisu, analiza statystyczna)
• Art. 6 ust. 1 lit. c RODO - obowiązek prawny (przechowywanie danych zgodnie z przepisami podatkowymi)

3.1. Dane osobowe są przetwarzane w następujących celach:

• Świadczenie usługi SaaS - umożliwienie korzystania z platformy analitycznej Voltarion.pl
• Obsługa konta użytkownika - rejestracja, logowanie, zarządzanie kontem
• Integracje z urządzeniami i usługami zewnętrznymi - połączenie z systemami Tuya, Solis, Shelly, eWeLink w celu pobierania danych o zużyciu lub produkcji energii; opcjonalnie integracja z API Pstryk w celu pobierania danych o cenach energii (taryfa dynamiczna) zgodnie z ustawieniami użytkownika
• Analiza zużycia energii - przetwarzanie danych o zużyciu energii dostarczonych przez użytkownika poprzez import plików CSV lub pobranych z integracji z urządzeniami. Użytkownik ma pełną kontrolę nad danymi, które importuje do systemu.
• Analiza AI - przetwarzanie danych o zużyciu energii przez sztuczną inteligencję w celu generowania zaawansowanych analiz, predykcji i rekomendacji optymalizacji zużycia energii (funkcjonalność dostępna dla planu Premium)
• Komunikacja z użytkownikiem - wysyłanie powiadomień, informacji o zmianach w serwisie, odpowiedzi na zapytania
• Zapewnienie bezpieczeństwa - ochrona przed nieautoryzowanym dostępem, wykrywanie nadużyć

4.1. Voltarion.pl przetwarza następujące kategorie danych osobowych:

• Dane identyfikacyjne: adres e-mail, imię, nazwisko (szyfrowane w bazie danych)
• Dane lokalizacyjne: szerokość i długość geograficzna, nazwa miasta (opcjonalnie, dla prognozy pogody i analizy)
• Dane o zużyciu energii:wartości zużycia energii elektrycznej dostarczone przez użytkownika poprzez import plików CSV w formacie z kolumnami "Data i godzina" oraz "Wartosc[kWh/kvar]", lub pobrane z integracji z urządzeniami. Użytkownik sam decyduje o zakresie i rodzaju danych, które importuje do systemu.
• Dane analiz AI: wyniki analiz i predykcji generowanych przez sztuczną inteligencję na podstawie danych o zużyciu energii, przechowywane w cache w celu optymalizacji wydajności systemu. Dane te są automatycznie usuwane przy usunięciu konta.
• Dane sesji: adres IP, informacje o przeglądarce (user agent), data i godzina logowania
• Dane integracji: klucze API, tokeny dostępu do integracji zewnętrznych (szyfrowane w bazie danych)
• Dane płatności: informacje o subskrypcji (plan, data rozpoczęcia, data zakończenia) - dane dotyczące płatności są przetwarzane przez Polar.sh jako Merchant of Record

5.1. Dane osobowe mogą być przekazywane następującym kategoriom odbiorców:

• Polar.sh - jako Merchant of Record, przetwarza dane płatności (adres e-mail, imię, kraj) w celu obsługi płatności za subskrypcje, wystawiania faktur oraz obsługi podatku VAT. Polar.sh działa jako niezależny administrator danych w zakresie przetwarzania płatności.
• Dostawcy usług hostingowych - w celu zapewnienia infrastruktury technicznej serwisu (hosting, przechowywanie danych)
• Dostawcy usług bazodanowych - w celu przechowywania i zarządzania danymi użytkowników
• Integracje zewnętrzne - dane są przekazywane tylko w przypadku, gdy użytkownik świadomie skonfiguruje integrację:
  • Tuya - dane o zużyciu energii z urządzeń Tuya
  • Solis - dane o produkcji energii z instalacji fotowoltaicznych
  • Shelly - dane o zużyciu energii z urządzeń Shelly
  • eWeLink - dane o zużyciu energii z urządzeń eWeLink
  • Pstryk (Pstryk Energy Group Prosta Spółka Akcyjna) - po skonfigurowaniu integracji serwer Voltarion przekazuje do API Pstryk klucz API użytkownika i otrzymuje dane o cenach energii (m.in. w kontekście taryfy dynamicznej). Szczegóły przetwarzania po stronie Pstryk, w tym logi eksploatacyjne (np. znacznik czasu, IP, identyfikatory konta w celu audytu zgodnie z Regulaminem API Pstryk), określa administrator danych po stronie Pstryk oraz dokumenty publikowane przez Pstryk (m.in. polityka prywatności aplikacji Pstryk). Przesyłanie danych osobowych do API Pstryk przez użytkownika jest zabronione w Regulaminie API Pstryk; Voltarion nie kieruje do API Pstryk danych osobowych użytkownika — wyłącznie klucz i żądania techniczne niezbędne do pobrania cen.

5.2. Wszyscy odbiorcy danych są zobowiązani do przetwarzania danych zgodnie z RODO i posiadają odpowiednie zabezpieczenia techniczne i organizacyjne.

5.3. Infrastruktura techniczna serwisu (hosting aplikacji oraz baza danych) jest zlokalizowana w obrębie Europejskiego Obszaru Gospodarczego. Dane osobowe nie są przekazywane do państw trzecich poza EOG w związku z podstawowym przetwarzaniem danych przez serwis Voltarion.pl.

W przypadku przekazywania danych do państw trzecich poza EOG przez zewnętrznych dostawców usług (np. dostawca usług płatniczych jako Merchant of Record, dostawcy integracji zewnętrznych), przekazywanie to odbywa się na podstawie odpowiednich gwarancji prawnych zgodnie z RODO, w tym standardowych klauzul umownych (Standard Contractual Clauses) oraz innych mechanizmów zapewniających odpowiedni poziom ochrony danych osobowych.

6.1. Dane osobowe są przechowywane przez okres:

• Dane konta użytkownika - przez czas trwania konta oraz przez okres wymagany przepisami prawa (np. przepisy podatkowe - 5 lat)
• Dane o zużyciu energii - przez czas trwania konta, chyba że użytkownik usunie je wcześniej
• Dane sesji - przez okres niezbędny do zapewnienia bezpieczeństwa (maksymalnie 2 lata)
• Dane integracji - przez czas trwania aktywnej integracji, po dezaktywacji integracji dane są usuwane w ciągu 30 dni

6.2. Po usunięciu konta użytkownika, dane są usuwane niezwłocznie, z wyjątkiem danych, które muszą być przechowywane zgodnie z przepisami prawa.

7.1. Użytkownik ma następujące prawa wynikające z RODO:

• Prawo dostępu do danych (Art. 15 RODO) - użytkownik może żądać informacji o przetwarzanych danych osobowych
• Prawo do sprostowania danych (Art. 16 RODO) - użytkownik może żądać poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych
• Prawo do usunięcia danych (Art. 17 RODO)- użytkownik może żądać usunięcia danych w określonych przypadkach (tzw. "prawo do bycia zapomnianym")
• Prawo do ograniczenia przetwarzania (Art. 18 RODO) - użytkownik może żądać ograniczenia przetwarzania danych w określonych przypadkach
• Prawo do przenoszenia danych (Art. 20 RODO) - użytkownik może żądać otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie
• Prawo do sprzeciwu wobec przetwarzania (Art. 21 RODO) - użytkownik może wnieść sprzeciw wobec przetwarzania danych opartego na prawnie uzasadnionym interesie administratora
• Prawo do cofnięcia zgody (Art. 7 ust. 3 RODO) - jeśli przetwarzanie opiera się na zgodzie, użytkownik może ją w każdej chwili cofnąć

7.2. Aby skorzystać z powyższych praw, użytkownik może:

• Skorzystać z funkcji dostępnych w panelu użytkownika:
  • Edycja danych osobowych (imię, nazwisko, email, lokalizacja) w sekcji "Dane osobowe"
  • Zarządzanie zdjęciem profilowym - dodawanie, zmiana i usuwanie avatara
  • Zmiana hasła w sekcji bezpieczeństwa
  • Zarządzanie uwierzytelnianiem dwuskładnikowym (2FA) - włączanie, wyłączanie, konfiguracja w sekcji bezpieczeństwa
  • Import danych o zużyciu energii poprzez pliki CSV w sekcji "Importy"
  • Samodzielne usuwanie zaimportowanych danych - możliwość usunięcia danych z konkretnego pliku lub z wybranego zakresu dat w sekcji "Importy"
  • Rozłączenie integracji zewnętrznych (Tuya, Solis, Shelly, eWeLink, Pstryk) wraz z usunięciem kluczy API i tokenów dostępu w ustawieniach integracji
  • Usuwanie własnych taryf sprzedawców i dystrybutorów w sekcji zarządzania taryfami
  • Usuwanie reguł alertów w sekcji ustawień powiadomień
  • Usuwanie powiadomień w sekcji powiadomień
  • Eksport danych do PDF - możliwość eksportu porównania taryf oraz predykcji i insights AI do plików PDF w odpowiednich sekcjach aplikacji (realizuje prawo do przenoszenia danych zgodnie z Art. 20 RODO)
  • Zarządzanie ustawieniami podatków - edycja stawek VAT i akcyzy w sekcji ustawień "Podatki"
  • Zarządzanie metodami płatności - dodawanie i usuwanie metod płatności w sekcji płatności
  • Anulowanie i przywracanie subskrypcji w sekcji płatności
  • Zarządzanie preferencjami cookies - poprzez przycisk "Ustawienia Cookies" w stopce strony (footer) lub poprzez banner zgody na cookies, który można ponownie otworzyć w każdej chwili
  • Usunięcie konta wraz ze wszystkimi danymi w sekcji "Usuń konto"
• Skontaktować się z administratorem poprzez formularz kontaktowy lub e-mail

Uwaga: Wszystkie powyższe operacje mogą być wykonane samodzielnie przez użytkownika bez konieczności kontaktu z administratorem. System został zaprojektowany tak, aby zapewnić użytkownikowi pełną kontrolę nad swoimi danymi i możliwość ich samodzielnego zarządzania w każdej chwili.

7.3. Administrator odpowiada na żądania użytkownika w ciągu 30 dni od otrzymania żądania.

7.4. Użytkownik ma prawo wnieść skargę do organu nadzorczego (Prezes Urzędu Ochrony Danych Osobowych) jeśli uważa, że przetwarzanie danych narusza przepisy RODO.

8.1. Voltarion.pl stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych:

• Szyfrowanie danych - wrażliwe dane (imię, nazwisko, klucze API) są szyfrowane w bazie danych
• Bezpieczne połączenia - komunikacja z serwisem odbywa się przez protokół HTTPS (SSL/TLS)
• Kontrola dostępu - dostęp do danych mają tylko upoważnione osoby w zakresie niezbędnym do świadczenia usługi
• Regularne kopie zapasowe - dane są regularnie archiwizowane w celu zapewnienia ciągłości działania
• Monitorowanie bezpieczeństwa - system jest monitorowany pod kątem nieautoryzowanego dostępu i nadużyć

8.2. Mimo zastosowania odpowiednich środków bezpieczeństwa, należy pamiętać, że żaden system nie jest w pełni odporny na ataki. W przypadku naruszenia ochrony danych osobowych, użytkownicy zostaną niezwłocznie poinformowani zgodnie z wymogami RODO.

8.3. Bezpieczeństwo w przetwarzaniu AI

W kontekście przetwarzania danych przez modele AI:

• Poprzedzące agregowanie: Wszystkie dane wysyłane do AI są agregowane i anonimizowane na serwerze Voltarion; dostawca AI nie ma dostępu do danych surowych użytkownika
• Minimalizacja transmisji: Wysyłamy tylko informacje niezbędne do analizy, nigdy nie wysyłamy imion, nazwisk, e-maili ani IP
• Monitorowanie dostawcy: Wybieramy dostawców AI (Vercel, OpenAI) z odpowiednimi gwarancjami bezpieczeństwa i zgodności z RODO

9.1. Przejrzystość AI

Voltarion.pl wykorzystuje sztuczną inteligencję (LLM – Large Language Model) do generowania zaawansowanych analiz zużycia energii w ramach funkcji "Analiza AI" dostępnej dla użytkowników planu Premium. Poniżej przedstawiamy szczegółowe informacje na temat tego przetwarzania:

9.2. Dostawca modelu AI

• Główny dostawca: Modele są dostępne poprzez Vercel AI Gateway, które obsługuje różne modele (np. OpenAI GPT-4o, Mistral i inne). Odpowiedź generowana jest przez model wybrany i skonfigurowany w zmiennych środowiskowych.
• Fallback lokalny: W przypadku niedostępności gateway, system może użyć lokalnego Ollama z modelem open-source (np. Llama2) – w pełni pod kontrolą Voltarion, bez transmisji do usług zewnętrznych.

9.3. Jakie dane są wysyłane do AI

Voltarion wysyła do dostawcy AI WYŁĄCZNIE zagregowane dane anonimowe, nigdy surowe dane użytkownika:

• Wzorce zużycia: średnie dzienne, tygodniowe, miesięczne
• Godziny szczytowe: średnie zużycie w danej godzinie dnia
• Trendy: zmiana zużycia między okresami (np. %)
• Anomalie: dni/okresy z nietypowym zużyciem
• Informacje o taryfach: nazwy, typy, stawki (bez danych osobowych)
• Kontekst techniczny: typ instalacji, liczba dni w analizie

Ważne: Nigdy nie wysyłamy imienia, nazwiska, e-maila, adresu IP lub danych surowych (godzinowych) do modelu AI. Dane są agregowane na serwerze Voltarion przedwysłaniem do dostawcy.

9.4. Prawo do wyjaśnienia (Prawo do Przejrzystości)

Zgodnie z EU AI Act, każdy użytkownik ma prawo wiedzieć, jak analiza AI wpływa na jego decyzje. W Voltarion:

• Wyjaśniająca analiza:Każda analiza AI zawiera uzasadnienie (np. "Na podstawie wzorców tygodniowych widać, że wtorek ma najwyższe zużycie...")
• Brak całkowicie zautomatyzowanych decyzji: Wyniki AI to REKOMENDACJE, a ostateczne decyzje (zmiana taryfy, modyfikacja zużycia) podejmuje zawsze użytkownik
• Dostęp do danych użytych w analizie: Użytkownik widzi wszystkie dane wejściowe (zagregowane wartości) na stronie Analiza AI

9.5. Okres przechowywania wyników AI

• Cache wyników: Odpowiedzi AI mogą być przechowywane w cache systemu do 7 dni w celu optymalizacji wydajności (aby ponowna analiza z tymi samymi danymi załadowała się szybciej)
• Brak stałego archiwum: Odpowiedzi AI NIE są przechowywane na stałe w bazie danych
• Usunięcie przy kasacji konta: Wszystkie cache-owane wyniki AI są usuwane natychmiast po usunięciu konta użytkownika
• Eksport do PDF: Użytkownik może w każdej chwili wyeksportować analizę do PDF (realizuje prawo do przenoszenia danych)

9.6. Ocena ryzyka AI (EU AI Act)

Poniżej oceniamy ryzyko Analizy AI na podstawie kategoryzacji EU AI Act:

• Kategoria ryzyka: NISKIE RYZYKO – funkcja jest wspierająca (rekomendacje), nie podejmuje decyzji za użytkownika
• Brak ryzyka zakazanego:Analiza nie jest wykorzystywana do: oceny zdolności kredytowej, screening'u pracowników, profilowania, manipulacji behawioralnej
• Brak dyskryminacji: Analiza jest dostępna dla wszystkich użytkowników Premium (bez profili ryzyka)
• Przejrzystość: Użytkownik wie, że używamy AI, i widzi uzasadnienie wyników

9.7. Prawo do sprzeciwu i cofnięcia zgody

• Rezygnacja z Analizy AI: Użytkownik może nie korzystać z funkcji Analizy AI; inne funkcje aplikacji są dostępne bez tego modułu
• Cofnięcie dostępu: W razie wątpliwości lub sprzeciwu, użytkownik może skontaktować się z administratorem danych (sekcja 1.2) i wnioskować o ograniczenie przetwarzania AI

10.1. Voltarion.pl zastrzega sobie prawo do wprowadzania zmian w Polityce Prywatności.

10.2. O istotnych zmianach użytkownicy zostaną poinformowani poprzez:

• Komunikat w serwisie
• E-mail wysłany na adres przypisany do konta

10.3. Kontynuowanie korzystania z serwisu po wprowadzeniu zmian oznacza akceptację nowej Polityki Prywatności.