Polityka prywatności FlowCord

Administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) jest FlowCord — właściciel Platformy dostępnej pod adresem https://flowcord.pl/.

Kontakt z administratorem: [email protected].

Inspektora ochrony danych (IOD) FlowCord obecnie nie powołało — w sprawach ochrony danych prosimy o kontakt przez powyższy adres email.

W związku z korzystaniem z Platformy FlowCord przetwarza następujące kategorie danych osobowych:

• Dane konta Discord: identyfikator użytkownika (Discord ID), nazwa użytkownika (username + discriminator), URL do avatara. Pobierane automatycznie w procesie OAuth podczas logowania.
• Token bota Discord: przypisany do Tworzonego bota. Przechowywany wyłącznie w postaci zaszyfrowanej (AES-256-GCM) — klucz deszyfrujący trzymany w zmiennej środowiskowej TOKEN_VAULT_KEY, niedostępny dla aplikacji klienckich. Token nie pojawia się w logach ani w odpowiedziach API.
• Logi wykonania (ExecutionLog): zapisy uruchomień workflow — kto wywołał, kiedy, jaki był wynik każdego kroku, ile czasu zajęło. Nie zawierają treści prywatnych wiadomości, ale mogą zawierać ID kanału i ID użytkownika docelowego.
• Logi webhooków (WebhookEvent): nadchodzące żądania HTTP z serwisów trzecich (GitHub, formularze) — nagłówki + body w formie przetworzonej.
• Logi audytowe (AuditLog): krytyczne akcje panelu — tworzenie/usuwanie bota, zmiany uprawnień, akcje administratora.
• Metadane techniczne: adres IP (krótko, do 24h, w celu wykrycia nadużyć), user-agent, sygnatury czasowe.

Zgodnie z art. 6 RODO FlowCord przetwarza dane osobowe na następujących podstawach prawnych:

• art. 6 ust. 1 lit. a RODO — zgoda: udzielana dobrowolnie podczas logowania OAuth z Discordem. Użytkownik może ją wycofać w dowolnym momencie usuwając konto FlowCord albo odłączając aplikację na Discord Developer Portal.
• art. 6 ust. 1 lit. b RODO — umowa: niezbędne do wykonania umowy, której stroną jest Użytkownik — bez przetwarzania tokenu bota oraz ID Discord nie jesteśmy w stanie uruchomić bota.
• art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes: przechowywanie logów audytowych, ExecutionLog i WebhookEvent dla bezpieczeństwa, wykrywania nadużyć, debugowania awarii oraz przestrzegania obowiązków podatkowych i prawnych.

FlowCord stosuje automatyczne polityki retencji zgodne z zasadą minimalizacji (art. 5 ust. 1 lit. c RODO):

• ExecutionLog — 7 dni. Po tym okresie wpisy są automatycznie usuwane przez zaplanowane zadanie. Wystarczające do analizy błędów, niewystarczające do profilowania długoterminowego.
• WebhookEvent — 3 dni. Krótkie okno — pozwala debugować nierozpoznane webhooki bez długiego składowania treści.
• AuditLog — 90 dni. Dłuższe — celem jest udokumentowanie krytycznych zmian w przypadku roszczeń prawnych albo audytu bezpieczeństwa.
• Dane konta, konfiguracje botów, zmienne — do momentu usunięcia konta przez Użytkownika.
• Token bota — do momentu usunięcia bota albo zresetowania tokenu przez Użytkownika na Discord Developer Portal. Po resetcie stary token jest nadpisywany w bazie (nie przechowujemy historii).
• Logi usunięcia konta — 30 dni (anonimowe, tylko timestamp i przyczyna).

FlowCord używa wyłącznie jednego pliku cookie — sesyjnego ciasteczka autentykacyjnego (fc_session), niezbędnego do utrzymania sesji logowania po odświeżeniu strony.

• Brak third-party tracking — nie używamy Google Analytics, Facebook Pixel, Hotjar ani innych narzędzi analitycznych.
• Brak reklam third-party — platforma nie wyświetla reklam z zewnętrznych sieci.
• Brak cookie marketingowych — nie stosujemy retargetingu.

Z tego powodu baner consent CMP nie jest wymagany — jedyne cookie jest strictly necessary w myśl dyrektywy ePrivacy art. 5 ust. 3.

FlowCord przekazuje dane osobowe Użytkownika wyłącznie do podmiotów trzecich niezbędnych do świadczenia usługi (podmioty przetwarzające — art. 28 RODO):

• Supabase Inc. — dostawca bazy danych PostgreSQL. Hostowane w regionie eu-west-1 (Irlandia). Zgodność SOC 2 Type II + GDPR Data Processing Agreement.
• Discord Inc. — dostawca API i protokołu OAuth. FlowCord przekazuje Discordowi wyłącznie żądania API inicjowane przez bota Użytkownika.
• Vercel Inc. — hosting aplikacji webowej FlowCord (region eu-west lub cdg1).

Dane osobowe Użytkowników nie są przekazywane do państw trzecich spoza EOG w sposób wymagający dodatkowych zabezpieczeń zgodnie z art. 44-49 RODO. Wszystkie wymienione podmioty posiadają infrastrukturę w Unii Europejskiej albo w USA z odpowiednimi gwarancjami (Data Privacy Framework).

FlowCord nie sprzedaje danych osobowych Użytkowników, nie udostępnia ich reklamodawcom, nie wykorzystuje do trenowania modeli AI firm trzecich.

Zgodnie z rozdziałem III RODO Użytkownik ma prawo do:

• Dostępu do danych (art. 15) — uzyskanie kopii danych przez nas przetwarzanych,
• Sprostowania (art. 16) — poprawiania nieścisłości w danych osobowych,
• Usunięcia (art. 17 — „prawo do bycia zapomnianym”) — wykasowanie konta i powiązanych danych,
• Ograniczenia przetwarzania (art. 18),
• Przenoszenia danych (art. 20) — export konfiguracji do formatu JSON,
• Musiczenia (art. 21) — w szczególności przeciwko przetwarzaniu opartemu na prawnie uzasadnionym interesie,
• Niepodlegania zautomatyzowanym decyzjom, w tym profilowaniu (art. 22). FlowCord nie stosuje automatycznych decyzji o skutkach prawnych.

Wszelkie żądania należy przesłać na adres [email protected]. Odpowiadamy w ciągu 30 dni od wpłynięcia żądania.

Użytkownik ma również prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

FlowCord stosuje standardowe środki techniczne i organizacyjne ochrony danych:

• Szyfrowanie tokenów botów algorytmem AES-256-GCM (Authenticated Encryption) — klucz w zmiennej środowiskowej niedostępnej z poziomu aplikacji klienckiej.
• Połączenia HTTPS/TLS 1.3 między Platformą a Użytkownikiem oraz między Platformą a API Discord.
• Hasła Użytkownika nie są przechowywane (autentykacja przez Discord OAuth — patrz sekcja 1).
• Dostęp do bazy danych ograniczony do personelu wskazanego imiennie; logowane są wszystkie zapytania administracyjne.

FlowCord zastrzega sobie prawo do aktualizacji Polityki prywatności. Istotne zmiany (np. dodanie nowego podmiotu przetwarzającego) będą komunikowane poprzez banner w panelu oraz, w miarę możliwości, drogą email. Data ostatniej aktualizacji widnieje w nagłówku dokumentu.

W sprawach ochrony danych osobowych prosimy o kontakt: [email protected].