INFORMACJA O PRYWATNOŚCI (PRIVACY NOTICE)

Ostatnia aktualizacja: 10 listopada 2025 r.

WPROWADZENIE (INTRODUCTION)

CDNA Technologies Pvt. Ltd. („Nuclei”, „my”, „nas”, „nasz”) zobowiązuje się do ochrony prywatności i bezpieczeństwa danych osobowych.

Niniejsza Informacja o Prywatności wyjaśnia, w jaki sposób zbieramy, wykorzystujemy, ujawniamy i chronimy dane osobowe podczas Twojej interakcji z naszymi SDK-ami, witrynami internetowymi, usługami czatu i głosu oraz innymi platformami.

W zależności od produktu i regionu, mają zastosowanie odpowiednie przepisy o ochronie prywatności, takie jak Rozporządzenie (UE) 2016/679 („RODO”, GDPR) lub indyjska ustawa Digital Personal Data Protection Act 2023.

Szczegółowe informacje regionalne znajdują się w załącznikach.

KIM JESTEŚMY (WHO WE ARE)

Role Controller / Processor (Roles of Controller and Processor)

W zależności od usługi i regionu, Nuclei może działać jako:

  • Independent Controller – gdy określamy cele i sposoby przetwarzania danych (np. realizacja kart podarunkowych, rezerwacje lotów i hoteli, wsparcie czatowe/głosowe).

  • Joint Controller – gdy wspólnie z partnerem określamy cele przetwarzania (np. programy lojalnościowe, analityka).

W sytuacjach, w których Nuclei działa jako Joint Controller wraz z partnerem, podział odpowiedzialności za wypełnianie obowiązków z zakresu ochrony danych jest uregulowany pisemną umową pomiędzy stronami.

Najważniejsze postanowienia takich uzgodnień są dostępne na Twoje żądanie.

  • Processor – gdy przetwarzamy dane w imieniu partnera.

JAKIE DANE ZBIERAMY (WHAT DATA WE COLLECT)

W zależności od usługi oraz przypadków użycia, możemy zbierać i przetwarzać następujące kategorie danych osobowych, w zależności od produktu lub usługi, z której korzystasz:

Dane pozyskane bezpośrednio z interakcji użytkownika (Direct from the User Interaction)

(np. korzystanie z produktów, wypełnianie formularzy, korespondencja e-mailowa)

  • Dane tożsamości (Identity Data): imię, nazwisko, tytuł, data urodzenia, płeć, dowód tożsamości, obywatelstwo.

  • Dane kontaktowe (Contact Data): adres, adres e-mail, numery telefonów, adres korespondencyjny itp.

  • Dane personalizacji (Personalization Data): treść wiadomości, załadowane zdjęcie lub wideo (jeśli zdecydujesz się je dołączyć). Treści te są przetwarzane wyłącznie w celu personalizacji Twojego zamówienia lub świadczenia usługi.

  • Dane użytkowania lub analityczne (Usage / Analytics Data): informacje w formie pseudonimizowanej dotyczące sposobu korzystania z naszych produktów i usług w celu ulepszania Serwisu i poprawy doświadczenia użytkownika.

  • Dane marketingowe i komunikacyjne (Marketing and Communications Data): preferencje dotyczące otrzymywania materiałów marketingowych oraz historia komunikacji, jeśli zostały przez Ciebie wyrażone.
  • Dane czatu i wsparcia głosowego (Chat and Voice Support Data): wiadomości czatu, nagrania głosowe i transkrypcje.

Pasywne zbieranie danych (Passive Collection)

Dodatkowo możemy pasywnie zbierać następujące informacje techniczne wyłącznie dla potrzeb funkcjonalności usługi, bezpieczeństwa i usuwania błędów:

  • Informacje o aplikacji (App Information): App Version, App Version Code, Partner App Version, IP Address, LatLng.
  • Dane urządzenia (Device Data): Device ID, Device Type, OS Version, FCM-token, Device-Token.
  • Wyświetlanie i lokalizacja (Display & Localization): Screen Density, Locale.

Dane pozyskane od innych Controller / Joint-Controller / Processor (Data from Other Controller / Joint-Controller / Processor)

  • Dane lojalnościowe (Loyalty Data): np. saldo Magenta Hearts pozyskane od zaufanego i umownego Joint-Controller dla powiązanych operacji lojalnościowych, jeśli ma to zastosowanie. Nie pozyskujemy danych osobowych z publicznie dostępnych źródeł.
  • Dane płatności (Payment Data): ograniczone metadane dotyczące statusu i potwierdzenia płatności (bez danych karty).

Nie gromadzimy ani nie przetwarzamy umyślnie danych szczególnych kategorii (np. biometrycznych, zdrowotnych lub politycznych). Jeśli takie informacje zostaną przypadkowo przekazane, są niezwłocznie usuwane lub anonimizowane.

JAK PRZETWARZAMY I PRZECHOWUJEMY DANE (HOW WE PROCESS AND STORE DATA)

Zbieramy i przetwarzamy dane osobowe wyłącznie w określonych, zgodnych z prawem celach związanych z dostarczaniem i doskonaleniem naszych usług — na przykład w celu świadczenia i obsługi funkcji naszych SDK i platform, uwierzytelniania użytkowników, przetwarzania transakcji, dostarczania powiadomień, obsługi klienta, zapewnienia bezpieczeństwa i analizy wydajności.

Nasze przetwarzanie odbywa się zgodnie z zasadami: zgodności z prawem (lawfulness), rzetelności (fairness), przejrzystości (transparency), minimalizacji danych (data minimisation) oraz dokładności (accuracy).

Dane są przechowywane w sposób bezpieczny z wykorzystaniem szyfrowania, kontroli dostępu oraz systemów monitorowania, aby zapobiec nieautoryzowanemu dostępowi, zmianom lub utracie danych.

W razie potrzeby dane są pseudonimizowane lub anonimizowane, aby zwiększyć poziom ochrony prywatności.

Niektóre funkcje wsparcia klienta i komunikacji mogą wykorzystywać technologie zautomatyzowane lub wspomagane sztuczną inteligencją (AI), które działają bezpiecznie na zaufanych platformach chmurowych, takich jak Microsoft Azure lub Amazon Web Services (AWS).

Technologie te służą wyłącznie do generowania i ulepszania odpowiedzi pod nadzorem Nuclei, są ograniczone do celów poprawy jakości usług i nie obejmują żadnych zautomatyzowanych decyzji, które mogłyby wywołać skutki prawne lub w podobny sposób istotne dla osób fizycznych.

PODSTAWA PRAWNA PRZETWARZANIA (LEGAL BASIS FOR PROCESSING)

Przetwarzamy dane osobowe wyłącznie wtedy, gdy istnieje podstawa prawna (lawful basis) do ich przetwarzania zgodnie z Rozporządzeniem Ogólnym o Ochronie Danych (GDPR) oraz innymi obowiązującymi przepisami prawa.

W zależności od konkretnego kontekstu, przetwarzanie może opierać się na jednej lub kilku z następujących podstaw prawnych:

1. Konieczność umowna (Contractual Necessity)

Gdy przetwarzanie jest niezbędne do wykonania umowy zawartej z Tobą lub Twoją organizacją, albo do podjęcia działań na Twoje żądanie przed zawarciem umowy.

Obejmuje to dostarczanie i obsługę funkcji naszych SDK i platform, zarządzanie kontami użytkowników, przetwarzanie transakcji oraz świadczenie pomocy technicznej.

2. Uzasadniony interes (Legitimate Interest)

Gdy przetwarzanie jest niezbędne do realizacji naszych prawnie uzasadnionych interesów, takich jak zapewnienie bezpieczeństwa i niezawodności naszych systemów, zapobieganie nadużyciom lub oszustwom, analiza wzorców użytkowania oraz poprawa wydajności produktu.

Działania te odzwierciedlają nasze uzasadnione interesy w utrzymaniu bezpiecznej, niezawodnej i stale udoskonalanej platformy dla użytkowników, pod warunkiem, że takie interesy nie przeważają nad Twoimi podstawowymi prawami i wolnościami.

3. Zgoda (Consent)

Gdy wyraźnie wyraziłeś zgodę na przetwarzanie Twoich danych osobowych w jednym lub kilku określonych celach, np. w celu otrzymywania komunikacji marketingowej lub aktywacji opcjonalnych funkcji.

Możesz w każdej chwili wycofać swoją zgodę, kontaktując się z nami lub korzystając z udostępnionych w platformie funkcji użytkownika.

Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, które miało miejsce przed takim wycofaniem.

4. Obowiązek prawny (Legal Obligation)

Gdy przetwarzanie jest wymagane w celu wypełnienia obowiązku prawnego lub regulacyjnego, np. w zakresie podatków, księgowości lub przechowywania dokumentacji.

Przetwarzamy dane osobowe wyłącznie w jasno określonych i zgodnych z prawem celach.

Większość przetwarzania odbywa się w celu świadczenia i obsługi naszych SDK i powiązanych usług — na przykład uwierzytelniania użytkowników, aktywowania funkcji lub utrzymania funkcjonalności systemu. Takie przetwarzanie odbywa się, ponieważ jest ono niezbędne do wykonania umowy lub podjęcia działań przed jej zawarciem.

Przetwarzamy również dane w celu zarządzania transakcjami i realizacjami, takimi jak rezerwacje, programy lojalnościowe lub operacje kart podarunkowych. Odbywa się to na podstawie konieczności umownej oraz, w przypadkach wymaganych prawem rachunkowym lub regulacyjnym, w celu spełnienia naszych obowiązków prawnych.

W przypadku interakcji z obsługą klienta, w tym komunikacji czatowej i głosowej, przetwarzamy wiadomości czatu, nagrania głosowe i powiązane logi.

Dane te są przetwarzane na podstawie naszego uzasadnionego interesu w zapewnianiu i ulepszaniu jakości wsparcia, są szyfrowane i przechowywane tylko przez krótki okres operacyjny przed ich bezpiecznym usunięciem lub anonimizacją.

Niektóre dane techniczne i telemetryczne (takie jak identyfikatory urządzeń, adresy IP czy logi awarii) są przetwarzane w celu zapewnienia bezpieczeństwa systemu, wykrywania nadużyć i usuwania błędów.

Odbywa się to na podstawie naszego uzasadnionego interesu w utrzymaniu bezpieczeństwa i niezawodności naszych usług i dane te są przechowywane tylko tak długo, jak to konieczne do wykrycia lub rozwiązania problemu.

Jeśli wyraziłeś zgodę, wykorzystujemy Twoje dane kontaktowe do komunikacji marketingowej i promocyjnej na podstawie zgody.

Możesz wycofać zgodę w dowolnym momencie, klikając link „unsubscribe” w naszych wiadomościach lub kontaktując się z nami bezpośrednio.

W celach analitycznych i doskonalenia usług przetwarzamy dane pseudonimizowane lub zanonimizowane na podstawie naszego uzasadnionego interesu w zrozumieniu wydajności produktu i zaangażowania użytkowników.

Takie dane są przechowywane w formie zanonimizowanej lub usuwane po zakończeniu analizy.

Płatności dokonywane za pośrednictwem naszej platformy są realizowane przez Braintree (PayPal Europe).

Metadane związane z płatnościami są przetwarzane w zakresie niezbędnym do autoryzacji i finalizacji transakcji.

Dane kart nie są nigdy dostępne ani przechowywane przez Nuclei — są one przetwarzane bezpośrednio przez dostawcę płatności zgodnie z jego obowiązkami prawnymi.

PRZECHOWYWANIE I USUWANIE DANYCH (DATA RETENTION AND DELETION)

W niektórych przypadkach przekazanie określonych danych osobowych stanowi wymóg umowny lub ustawowy.

Bez takich danych możemy nie być w stanie zapewnić Ci dostępu do niektórych funkcji SDK lub platformy ani zrealizować określonych transakcji (np. przetwarzania płatności lub realizacji zamówienia).

Przechowujemy dane osobowe tylko tak długo, jak jest to konieczne do realizacji celów opisanych w niniejszej Informacji lub do spełnienia wymogów prawnych, księgowych lub regulacyjnych.

Dokładny okres przechowywania zależy od czynników takich jak:

  • rodzaj danych oraz usługa lub transakcja, z którą są powiązane,
  • obowiązki prawne lub umowne, które mają zastosowanie (np. przepisy dotyczące przechowywania dokumentacji finansowej),
  • potrzeba rozwiązania zapytań, sporów lub zapobiegania oszustwom,
  • czy została udzielona zgoda na dalsze wykorzystanie.

Gdy dane osobowe nie są już potrzebne, są bezpiecznie usuwane lub nieodwracalnie anonimizowane zgodnie z naszą Polityką Retencji Danych (Data Retention Policy), która określa szczegółowe ramy czasowe i metody usuwania.

PRZETWARZANIE PŁATNOŚCI (PAYMENTS PROCESSING)

Płatności w ramach Usługi są przetwarzane za pośrednictwem Braintree, usługi należącej do PayPal (Europe) S.à r.l. et Cie, S.C.A. („Braintree”).

Informacje dotyczące płatności są zbierane i przetwarzane bezpośrednio przez Braintree w celu autoryzacji i realizacji transakcji.

Nuclei nie przechowuje ani nie ma dostępu do danych Twojej karty płatniczej.

Więcej informacji można znaleźć w Polityce Prywatności PayPal Braintree:

(https://www.paypal.com/uk/legalhub/braintree/braintree-privacy-policy)

PLIKI COOKIE I PODOBNE TECHNOLOGIE (COOKIES AND SIMILAR TECHNOLOGIES)

Używamy plików cookie oraz podobnych technologii (takich jak tokeny SDK lub identyfikatory pamięci lokalnej), aby umożliwić prawidłowe działanie naszych witryn internetowych i aplikacji, zapamiętywać Twoje preferencje, mierzyć wydajność oraz ulepszać nasze usługi.

Pliki cookie to małe pliki lub identyfikatory umieszczane na Twoim urządzeniu, które umożliwiają rozpoznanie przeglądarki lub sesji aplikacji i uruchomienie określonych funkcji.

Niektóre z nich są niezbędne dla podstawowej funkcjonalności (np. uwierzytelnianie lub zarządzanie sesją), podczas gdy inne są opcjonalne i pomagają nam zrozumieć wzorce użytkowania lub poprawić wydajność.

Niezbędne pliki cookie są przetwarzane na podstawie naszego uzasadnionego interesu (Legitimate Interest) lub konieczności umownej (Contractual Necessity).

Opcjonalne lub analityczne pliki cookie są używane wyłącznie za Twoją zgodą, zgodnie z Dyrektywą UE o prywatności i łączności elektronicznej (2002/58/WE) oraz art. 6 ust. 1 lit. a) GDPR.

Podczas pierwszej wizyty na naszej stronie internetowej lub korzystania z usługi z obsługą SDK wyświetlany jest baner cookie, który umożliwia akceptację, odrzucenie lub dostosowanie kategorii plików cookie.

W każdej chwili możesz zmienić swoje preferencje w sekcji „Ustawienia plików cookie” (Cookie Settings) na naszej stronie internetowej lub w menu prywatności Twojej aplikacji.

Pliki cookie sesyjne automatycznie wygasają po zamknięciu przeglądarki lub zakończeniu sesji SDK.

Wszystkie dane plików cookie są przesyłane bezpiecznie (HTTPS) i, w razie potrzeby, oznaczone jako Secure oraz HttpOnly.

Szczegółowe informacje dotyczące każdej kategorii plików cookie, podstawy prawnej oraz okresów przechowywania znajdują się w naszym Załączniku do Szczegółów Plików Cookie (Cookie Details Annex).

UDOSTĘPNIANIE I TRANSFERY MIĘDZYNARODOWE (SHARING AND INTERNATIONAL TRANSFERS)

Udostępniamy dane osobowe wyłącznie autoryzowanym partnerom i zaufanym podprocesorom (sub-processors), którzy wspierają nas w obsłudze naszych SDK, witryn internetowych i powiązanych usług — na przykład dostawcom hostingu, infrastruktury, powiadomień, komunikacji, analityki lub obsługi klienta.

Transfery danych osobowych mogą mieć miejsce pomiędzy podmiotami grupy Nuclei (np. Nuclei Technologies Unipessoal Lda w UE oraz CDNA Technologies Pvt Ltd w Indiach) a naszymi zatwierdzonymi podprocesorami, w zależności od usługi i regionu, w którym korzystasz z naszych produktów.

Jeśli takie transfery obejmują kraje poza Europejskim Obszarem Gospodarczym (EOG / EEA), zapewniamy, że Twoje dane osobowe pozostają chronione poprzez zastosowanie jednego z następujących (lub kombinacji) środków zabezpieczających:

  • Standardowe Klauzule Umowne (Standard Contractual Clauses, SCCs) zatwierdzone przez Komisję Europejską;
  • Decyzję stwierdzającą odpowiedni poziom ochrony (Adequacy Decision) wydaną przez Komisję Europejską, potwierdzającą, że kraj docelowy zapewnia równoważny poziom ochrony;
  • Umowę o przetwarzaniu danych (Data Processing Agreement, DPA) zawierającą zobowiązania dotyczące bezpieczeństwa i poufności; lub
  • Inne prawnie uznane mechanizmy zgodne z art. 44–49 GDPR.

Nie sprzedajemy danych osobowych.

Wszyscy zewnętrzni partnerzy, którzy przetwarzają dane w naszym imieniu, są zobowiązani na mocy pisemnych umów do utrzymywania odpowiednich technicznych i organizacyjnych zabezpieczeń zgodnych z GDPR oraz naszymi wewnętrznymi standardami bezpieczeństwa informacji.

Powiadomienia Push przez Partnerów (Push Notifications through Partners)

W niektórych integracjach powiadomienia są dostarczane za pośrednictwem infrastruktury technicznej naszego partnera (na przykład poprzez aplikację DT-Europe z wykorzystaniem Google Firebase Cloud Messaging lub Apple Push Notification Service).

W takich przypadkach usługi te są aktywowane i zarządzane przez naszego partnera, a Nuclei nie zawiera bezpośredniej umowy z tymi dostawcami ani nie wydaje im instrukcji.

W związku z tym nie są oni podprocesorami Nuclei.

Hosting i administracja danych (Data Hosting and Administration)

Dane dla każdego regionu są przechowywane lokalnie (na przykład w centrach danych UE dla klientów europejskich).

Administracja infrastruktury i wsparcie są jednak centralnie zarządzane przez zespół operacyjny Nuclei z siedzibą w Indiach, zgodnie z wewnątrzgrupowymi Standardowymi Klauzulami Umownymi (EU 2021/914, Moduł 2 – Controller to Processor) oraz ścisłymi zasadami kontroli dostępu.

Dla zapewnienia przejrzystości prowadzimy aktualny Rejestr Podprocesorów (Sub-Processor Register), który zawiera kategorie podprocesorów, region, cel przetwarzania oraz stosowane środki ochrony.

Rejestr ten jest aktualizowany za każdym razem, gdy nowi dostawcy są dodawani lub zastępowani, a powiadomienie o zmianie jest przekazywane odpowiednim partnerom z co najmniej 30-dniowym wyprzedzeniem przed aktywacją.

ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI I PROFILOWANIE (AUTOMATED DECISION-MAKING AND PROFILING)

Nie podejmujemy decyzji dotyczących osób fizycznych, które opierają się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i które wywołują skutki prawne lub w podobny sposób istotne skutki dla tych osób (zgodnie z art. 22 RODO / GDPR).

Wszelkie personalizacje lub rekomendacje oferowane w ramach naszych usług mają jedynie na celu poprawę doświadczenia użytkownika i nie wywołują żadnych skutków prawnych ani innych istotnych konsekwencji.

Wszystkie funkcje wspomagane przez sztuczną inteligencję (AI) lub uczenie maszynowe (machine learning) są wykorzystywane wyłącznie do wspierania obsługi klienta prowadzonej przez ludzi oraz doskonalenia produktu.

TWOJE PRAWA W ZAKRESIE OCHRONY DANYCH (YOUR DATA PROTECTION RIGHTS)

Możesz skorzystać ze swoich praw do:

dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu oraz wycofania zgody, jeśli ma to zastosowanie, wysyłając wiadomość e-mail na adres: privacy@gonuclei.com.

Możemy poprosić o potwierdzenie tożsamości przed przystąpieniem do realizacji Twojego wniosku.

Na Twój wniosek odpowiemy w terminie 30 dni.

Jeśli ze względu na złożoność lub liczbę wniosków będziemy potrzebować więcej czasu, poinformujemy Cię w tym terminie i przedstawimy przewidywany czas odpowiedzi.

Jeżeli uważasz, że Twoje dane osobowe zostały przetworzone niezgodnie z prawem lub Twoje prawa wynikające z przepisów o ochronie danych zostały naruszone, masz prawo złożyć skargę do właściwego organu nadzorczego w Europejskim Obszarze Gospodarczym (EOG), w szczególności w kraju Twojego stałego miejsca zamieszkania, miejsca pracy lub miejsca, w którym doszło do domniemanego naruszenia.

BEZPIECZEŃSTWO TWOICH DANYCH OSOBOWYCH (SECURITY OF YOUR PERSONAL DATA)

Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem.

Środki te obejmują:

  • szyfrowanie danych w tranzycie i w stanie spoczynku (encryption in transit and at rest),
  • ścisłą kontrolę dostępu opartą na rolach,
  • monitorowanie i rejestrowanie działań systemowych,
  • regularne przeglądy bezpieczeństwa,
  • szkolenia z zakresu świadomości bezpieczeństwa dla personelu.

Nasz system zarządzania bezpieczeństwem informacji jest certyfikowany zgodnie z normą ISO 27001:2022, a dane są przetwarzane w regionalnych centrach danych zgodnie z obowiązującymi wymogami w zakresie lokalizacji danych i zabezpieczeń transferu.

Ponadto oceniamy naszych zewnętrznych dostawców usług pod kątem zgodności z uznanymi standardami bezpieczeństwa i wymagamy od nich wdrożenia równoważnych środków ochrony.

Zgłoszenie naruszenia danych (Data-Breach Notification)

W przypadku naruszenia ochrony danych osobowych, które może spowodować ryzyko dla osób fizycznych, powiadomimy właściwy organ nadzorczy lub regulacyjny oraz — jeśli wymagają tego przepisy — osoby, których dane dotyczą, zgodnie z obowiązującymi przepisami o ochronie danych (np. art. 33 i 34 GDPR lub równoważnymi przepisami indyjskiej ustawy Digital Personal Data Protection Act 2023).

DANE DZIECI (CHILDREN’S DATA)

Nasze usługi nie są przeznaczone dla dzieci poniżej 16 roku życia.
Jeśli stwierdzimy, że takie dane zostały zebrane, zostaną one usunięte.

AKTUALIZACJE NINIEJSZEJ INFORMACJI (UPDATES TO THIS NOTICE)

Możemy aktualizować niniejszą Informację o Prywatności, aby odzwierciedlić zmiany w naszych procesach przetwarzania danych lub w obowiązujących przepisach prawnych.

Istotne zmiany zostaną zakomunikowane za pośrednictwem naszej strony internetowej lub interfejsów SDK.

Najnowsza wersja będzie zawsze dostępna na stronie: www.gonuclei.com/privacy-policy.

KONTAKT Z NAMI (CONTACT US)

Jeśli masz jakiekolwiek pytania dotyczące niniejszej Informacji o Prywatności lub sposobu, w jaki przetwarzamy Twoje dane osobowe, skontaktuj się z nami:

Inspektor Ochrony Danych (DPO):
Arushi Goel — privacy@gonuclei.com

Główny podmiot (Main Entity / Primary Controller):

CDNA Technologies Pvt. Ltd. (India)Sobha Arena The Park, F1-4141, Thalaghattapura PO, Kanakapura Main Road, Uttarahalli Hobli,
Bangalore, Karnataka, 560062, Indie

Przedstawiciel UE (EU Representative / Operational Processor):

Nuclei Technologies, Unipessoal Lda
Rua Quinta da Lobita Nº 65, 3º A, 2775-621 Carcavelos, Portugalia

Kliknij ten link, aby zapoznać się z naszymi Warunkami i Regulaminem.