📄 Dokument prawny

Polityka prywatności

🗓 Data wejścia w życie: 17 marca 2026 🔄 Ostatnia aktualizacja: 17 marca 2026 📋 Wersja 1.0

1 Administrator danych

Administratorem Twoich danych osobowych jest:

Test Plus Tomasz Radzewicz
ul. mjr. Hubala 11/2, 15-174 Białystok
NIP: 542-197-51-09
E-mail: kontakt@publishflow.pl

Organ nadzorczy: Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl

Inspektor Ochrony Danych (IOD): Nie dotyczy – przy obecnej skali przetwarzania nie zachodzi obowiązek wyznaczenia IOD zgodnie z art. 37 RODO.

2 Czego dotyczy ta polityka

Niniejsza polityka opisuje zasady przetwarzania danych osobowych w związku z korzystaniem z:

  • Dodatku do Gmaila PublishFlow – Google Workspace Add-on dostępnego na Google Workspace Marketplace
  • Strony internetowej publishflow.pl

Polityka skierowana jest do osób fizycznych (dziennikarze, redaktorzy, twórcy treści) korzystających z PublishFlow we własnym imieniu lub na potrzeby swojej organizacji.

3 Jak działa PublishFlow – architektura Non-Proxy (BYOK)

🔒 Kluczowa zasada prywatności
PublishFlow nie posiada własnego serwera backendowego, który przechowuje treści Twoich e-maili. Twoje dane e-mail nie trafiają na serwery PublishFlow.

PublishFlow działa w modelu Non-Proxy (bez pośrednika) oraz BYOK (Bring Your Own Key – użyjesz własnego klucza API). Oznacza to:

📧 Gmail
folder "News"
⚙️ Google Apps Script
przetwarzanie w sesji
🤖 Anthropic API
Twój własny klucz API
📊 Google Sheets
Twój arkusz
Treść e-maili przetwarzana jest wyłącznie w ramach sesji Google Apps Script i nie jest zapisywana na serwerach PublishFlow.

Twój klucz API Anthropic jest przechowywany wyłącznie w PropertiesService.getUserProperties() – zaszyfrowanej przestrzeni zarządzanej przez Google, do której developer PublishFlow nie ma dostępu.

Wyniki przetwarzania (tytuł artykułu, lead, tagi, kategoria) są zapisywane do arkusza Google Sheets na Twoim własnym koncie Google – pozostają pod Twoją pełną kontrolą.

4 Jakie dane przetwarzamy

A. Dane konta Google

  • Adres e-mail konta Google – cel: identyfikacja licencji, wyświetlanie w interfejsie wtyczki
  • Imię i nazwisko / zdjęcie profilowe (z Google Profile) – cel: personalizacja interfejsu użytkownika

B. Dane z Gmaila (treści e-maili)

📭 Brak przechowywania treści
Treści e-maili nie są zapisywane na żadnych serwerach PublishFlow. Przetwarzanie odbywa się wyłącznie w trakcie sesji Google Apps Script (w pamięci operacyjnej), po zakończeniu której dane są usuwane.
  • Treść e-maili z etykiety „News" (temat, treść, nadawca) – przesyłana do Anthropic API wyłącznie na Twoje żądanie (kliknięcie „Process Emails")
  • Załączniki (PDF, DOCX, TXT, HTML) – przetwarzane tymczasowo w sesji, tymczasowa kopia w Google Drive jest natychmiast usuwana po ekstrakcji tekstu
  • Metadane wiadomości (ID wątku, data, etykiety Gmail) – używane wyłącznie do zarządzania systemem retry (etykiety: Retry-1/2/3, Processed, Processing-Failed)

C. Dane konfiguracyjne użytkownika

  • Klucz API Anthropic – przechowywany wyłącznie w Google PropertiesService (szyfrowane przez Google, niedostępne dla developera PublishFlow)
  • Ustawienia wtyczki (nazwa arkusza wyników, konfiguracja etykiet) – przechowywane w Google PropertiesService
  • Status licencji i data wygaśnięcia subskrypcji – przechowywane w Google PropertiesService

D. Wyniki przetwarzania

  • Dane wygenerowane przez AI (tytuł artykułu, meta tytuł, lead, tagi, kategoria, cytat, link do zdjęcia) – zapisywane wyłącznie do Google Sheets na Twoim koncie Google, pod Twoją pełną kontrolą

E. Dane rozliczeniowe

  • Dane do faktury (imię/firma, adres, NIP) – podawane dobrowolnie w celu wystawienia faktury; przetwarzane przez administratora (Test Plus Tomasz Radzewicz) bezpośrednio z programu księgowego
  • Potwierdzenie płatności – przelew bankowy lub BLIK; dane przelewu widoczne wyłącznie w systemie bankowym administratora
  • Status subskrypcji – przechowywany w Google PropertiesService (active / expired)

F. Dane techniczne

  • Logi błędów Google Apps Script – przechowywane przez Google (nie przez PublishFlow), dostępne wyłącznie dla dewelopera w Google Cloud Console
  • Logi API po stronie Anthropic – retencja do 7 dni zgodnie z polityką Anthropic

5 Zakresy OAuth i ich uzasadnienie

PublishFlow prosi o następujące uprawnienia w trakcie instalacji:

Zakres (scope) Klasyfikacja Cel i uzasadnienie
gmail.modify Restricted Odczyt e-maili z etykiety „News" i nakładanie etykiet statusu przetwarzania (Retry-1/2/3, Processed, Processing-Failed). Wtyczka nie wysyła e-maili, nie czyta e-maili poza etykietą „News".
drive.file Sensitive Tworzenie arkusza wyników w Google Drive oraz tymczasowych kopii załączników (natychmiast usuwanych). Zakres ograniczony wyłącznie do plików tworzonych przez wtyczkę – nie ma dostępu do innych plików w Twoim Drive.
spreadsheets Sensitive Zapis wyników analizy AI (tytuł, lead, tagi, kategoria) do arkusza Google Sheets.
script.external_request Non-sensitive Wywołania Anthropic API (UrlFetchApp). Ograniczone do domeny api.anthropic.com i api.paddle.com (urlFetchWhitelist).
script.locale Non-sensitive Formatowanie dat i liczb zgodnie z ustawieniami lokalnymi użytkownika.
userinfo.email Non-sensitive Identyfikacja użytkownika na potrzeby weryfikacji licencji i wyświetlania w interfejsie.
userinfo.profile Non-sensitive Wyświetlanie imienia i zdjęcia profilowego w interfejsie wtyczki.
script.container.ui Non-sensitive Wyświetlanie panelu bocznego wtyczki w oknie Gmaila.

6 Cele i podstawy prawne przetwarzania (RODO art. 6)

Cel przetwarzania Podstawa prawna (RODO art. 6) Zakres danych
Świadczenie usługi PublishFlow – przetwarzanie e-maili, generowanie wyników AI, zapis do Sheets Art. 6 ust. 1 lit. b – wykonanie umowy Treść e-maili (sesja), klucz API, wyniki
Identyfikacja i zarządzanie licencją Art. 6 ust. 1 lit. b – wykonanie umowy Adres e-mail, status subskrypcji
Bezpieczeństwo, retry, zapobieganie błędom Art. 6 ust. 1 lit. f – uzasadniony interes (stabilność usługi) Metadane e-maili, etykiety retry, logi błędów
Obsługa zgłoszeń i realizacja praw użytkownika Art. 6 ust. 1 lit. c – obowiązek prawny + art. 6 ust. 1 lit. f Adres e-mail, historia kontaktu
Rozliczenia, faktury VAT, dokumentacja podatkowa Art. 6 ust. 1 lit. c – obowiązek prawny Dane nabywcy do faktury; faktury wystawiane bezpośrednio przez administratora
⚠️ Przetwarzanie treści e-maili przez AI
Treść Twoich e-maili jest wysyłana do Anthropic Claude API automatycznie co 1 godzinę lub po ręcznym kliknięciu przycisku „Process Emails". Automatyczne przetwarzanie można włączyć lub wyłączyć w ustawieniach Aplikacji. Podstawa prawna: art. 6 ust. 1 lit. b (wykonanie umowy).

7 Odbiorcy danych i subprocesorzy

PublishFlow korzysta z następujących podmiotów przetwarzających (subprocesorów), którym możemy przekazywać dane w niezbędnym zakresie:

🔵 Google LLC
Infrastruktura
Siedziba: USA (przetwarzanie globalne)
Zakres: Gmail, Google Apps Script, Google Drive, Google Sheets, PropertiesService – infrastruktura, na której działa wtyczka
Podstawa transferu poza EOG: Standardowe Klauzule Umowne (SCCs) + globalna infrastruktura Google Cloud
Polityka prywatności: policies.google.com/privacy
🤖 Anthropic PBC
Przetwarzanie AI
Siedziba: USA (z opcją EU Regional Processing – przetwarzanie w UE)
Zakres: Analiza treści e-maili przez model Claude AI – wyłącznie na żądanie użytkownika, w ramach sesji
Retencja: Logi API – maksymalnie 7 dni; treść e-maili nie jest używana do trenowania modeli
Podstawa transferu poza EOG: Data Processing Agreement (DPA) z SCCs + opcja EU Regional Processing (dane pozostają w UE)
Polityka prywatności: anthropic.com/privacy
💳 Rozliczenia
Fakturowanie bezpośrednie
Model: Faktury VAT wystawiane bezpośrednio przez Test Plus Tomasz Radzewicz z programu księgowego
Płatność: Przelew bankowy lub BLIK – brak zewnętrznego operatora płatności
Zakres danych: Dane nabywcy podane do faktury (imię/firma, adres, NIP) przetwarzane przez administratora jako obowiązek podatkowy (art. 6 ust. 1 lit. c RODO)
Transfery poza EOG: Nie dotyczy – dane fakturowe przetwarzane wyłącznie przez administratora w Polsce

Brak innych odbiorców. Dane użytkowników nie są sprzedawane, nie są przekazywane brokerom danych ani operatorom płatności zewnętrznych, nie są wykorzystywane do reklam behawioralnych.

Ujawniamy dane organom publicznym wyłącznie gdy wymagają tego obowiązujące przepisy prawa.

8 Transfery danych poza Europejski Obszar Gospodarczy (EOG)

PublishFlow dąży do minimalizacji transferów danych poza EOG. Gdy transfer jest niezbędny, stosujemy następujące zabezpieczenia:

Odbiorca Kraj Podstawa transferu
Google LLC USA (infrastruktura globalna) Standardowe Klauzule Umowne (SCCs) zatwierdzone przez Komisję Europejską
Anthropic PBC USA (z opcją UE) DPA z SCCs + opcja EU Regional Processing (dane przetwarzane w UE od sierpnia 2025). Rekomendujemy włączenie EU Regional Processing w ustawieniach swojego konta Anthropic.
Fakturowanie (administrator) Polska Brak transferu poza EOG – dane fakturowe przetwarzane wyłącznie przez administratora w Polsce

Na żądanie możemy udostępnić kopię stosowanych zabezpieczeń – napisz na kontakt@publishflow.pl.

9 Okresy przechowywania i usuwanie danych

Kategoria danych Gdzie przechowywana Okres retencji
Treść e-maili i załączników Nigdzie (sesja GAS) 0 – usuwana po zakończeniu sesji
Klucz API Anthropic Google PropertiesService Do momentu usunięcia przez użytkownika lub odinstalowania wtyczki
Status licencji Google PropertiesService Do odinstalowania wtyczki lub żądania usunięcia
Wyniki analizy AI Google Sheets użytkownika Pod kontrolą użytkownika – PublishFlow nie ma dostępu po zapisaniu
Logi Anthropic API Serwery Anthropic Max. 7 dni (polityka Anthropic)
Dane fakturowe (imię/firma, adres, NIP) Administrator (dokumentacja księgowa) 5 lat od wystawienia faktury (wymogi prawa podatkowego)
Tymczasowe kopie załączników Google Drive (chwilowo) Usuwane natychmiast po ekstrakcji tekstu (w ramach tej samej sesji)

Co dzieje się po odinstalowaniu wtyczki?

  • Dane konfiguracyjne (klucz API, ustawienia portalu, zgody) przechowywane w PropertiesService mogą nie zostać automatycznie usunięte przez Google po odinstalowaniu — zależy to od wersji i trybu instalacji add-on
  • Aby mieć pewność usunięcia wszystkich danych, przed dezinstalacją skorzystaj z przycisku „Usuń moje dane" w panelu ustawień wtyczki (Ustawienia → Usuń moje dane) — to jedyna gwarantowana metoda
  • Wyniki w Google Sheets pozostają – są na Twoim koncie Google i pod Twoją kontrolą
  • Etykiety Gmail (News, Processed, Retry-*) tworzone przez wtyczkę pozostają w Gmailu i można je usunąć ręcznie

10 Prawa użytkownika (RODO art. 15–22)

Art. 15
Prawo dostępu
Możesz zażądać informacji o przetwarzanych danych i kopii danych
Art. 16
Prawo sprostowania
Możesz żądać poprawienia nieprawidłowych danych
Art. 17
Prawo usunięcia
Przycisk „Usuń moje dane" w ustawieniach wtyczki lub kontakt e-mail
Art. 18
Prawo ograniczenia
Możesz żądać ograniczenia przetwarzania danych w określonych przypadkach
Art. 20
Prawo przenoszenia
Wyniki przetwarzania są w Twoim Google Sheets – eksport w formatach Google (CSV, XLSX)
Art. 21
Prawo sprzeciwu
Możesz sprzeciwić się przetwarzaniu opartemu na uzasadnionym interesie
Art. 77
Prawo skargi do UODO
Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl

Wnioski realizujemy przez e-mail: kontakt@publishflow.pl w terminie do 30 dni od otrzymania żądania.

Jeśli przetwarzanie opieramy na zgodzie – możesz ją wycofać w dowolnym momencie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania sprzed wycofania.

11 Bezpieczeństwo danych (RODO art. 32)

Stosujemy następujące środki techniczne i organizacyjne adekwatne do ryzyka:

  • Szyfrowanie transmisji: HTTPS/TLS dla wszystkich połączeń sieciowych
  • Szyfrowanie danych w spoczynku: klucz API Anthropic przechowywany w Google PropertiesService – szyfrowanej przez Google przestrzeni
  • Ograniczenie endpointów: urlFetchWhitelist w konfiguracji wtyczki ogranicza możliwe połączenia wyłącznie do api.anthropic.com – wyklucza możliwość wysyłania danych do nieautoryzowanych serwerów
  • Ochrona przed formula injection: dane przed zapisem do Google Sheets są sanityzowane zgodnie z wytycznymi OWASP
  • Zasada minimalnych uprawnień: zakres drive.file (nie auth/drive) – dostęp wyłącznie do plików tworzonych przez wtyczkę
  • Architektura Non-Proxy: brak własnych serwerów PublishFlow przechowujących dane użytkownika eliminuje ryzyko naruszenia po stronie serwera PublishFlow
  • Kontrola dostępu: developer PublishFlow nie ma technicznej możliwości odczytu Twoich danych z Google PropertiesService

12 Naruszenia ochrony danych (RODO art. 33–34)

Posiadamy wewnętrzne procedury wykrywania i obsługi incydentów bezpieczeństwa. W przypadku stwierdzenia naruszenia ochrony danych osobowych:

  • Oceniamy ryzyko dla praw i wolności osób, których dane dotyczą
  • Gdy naruszenie może powodować ryzyko – zgłaszamy do UODO nie później niż 72 godziny od stwierdzenia naruszenia (RODO art. 33)
  • Gdy naruszenie może powodować wysokie ryzyko – informujemy Cię bezpośrednio (RODO art. 34)

Jeśli podejrzewasz naruszenie bezpieczeństwa dotyczące PublishFlow, skontaktuj się z nami: kontakt@publishflow.pl

13 Pliki cookie i technologie śledzące

Strona publishflow.pl może korzystać z podstawowych plików cookie niezbędnych do technicznego funkcjonowania strony (np. preferencje sesji). Nie stosujemy cookies analitycznych ani marketingowych bez Twojej zgody.

Dodatek do Gmaila PublishFlow nie korzysta z plików cookie – działa w środowisku Google Apps Script, które nie obsługuje mechanizmu cookie.

14 Zgodność z politykami Google

🔒 Wymagane oświadczenie Google – Limited Use
"PublishFlow's use of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements."

Ograniczenia użycia danych Google (Limited Use)

  • Użycie ograniczone do funkcji UI: dane z Gmail i Google Workspace są używane wyłącznie do funkcji widocznych w interfejsie PublishFlow – przetwarzania e-maili z folderu „News" i generowania wyników do Sheets
  • Brak sprzedaży danych: dane użytkowników Google nie są sprzedawane, nie są przekazywane brokerom danych
  • Brak użycia reklamowego: dane z Gmail nie są używane do reklam behawioralnych, retargetingu ani profilowania reklamowego
  • Brak trenowania modeli AI: dane z Gmail nie są używane do trenowania, ulepszania ani budowania modeli ogólnego przeznaczenia. Anthropic nie trenuje swoich modeli na danych z API (zgodnie z polityką Anthropic)
  • Brak dostępu człowieka: developer PublishFlow nie ma technicznej możliwości odczytu treści Twoich e-maili. Architektura Non-Proxy wyklucza przechowywanie treści na serwerach PublishFlow
  • Transfery danych: dane z Gmail są przekazywane wyłącznie Anthropic API w celu realizacji funkcji analizy AI – automatycznie (co 1 h) lub na żądanie po kliknięciu przycisku „Process Emails"

Pełna polityka Google API Services: developers.google.com/terms/api-services-user-data-policy

15 Zmiany polityki prywatności

O istotnych zmianach w polityce prywatności poinformujemy:

  • Przez e-mail na adres powiązany z Twoim kontem Google (z co najmniej 14-dniowym wyprzedzeniem)
  • Przez komunikat w interfejsie wtyczki przy kolejnym uruchomieniu

Aktualna wersja polityki jest zawsze dostępna pod adresem: publishflow.pl/polityka-prywatnosci

Data wejścia w życie bieżącej wersji: 17 marca 2026 (wersja 1.0)