1 Administrator danych
Administratorem Twoich danych osobowych jest:
ul. mjr. Hubala 11/2, 15-174 Białystok
NIP: 542-197-51-09
E-mail: kontakt@publishflow.pl
Organ nadzorczy: Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl
Inspektor Ochrony Danych (IOD): Nie dotyczy – przy obecnej skali przetwarzania nie zachodzi obowiązek wyznaczenia IOD zgodnie z art. 37 RODO.
2 Czego dotyczy ta polityka
Niniejsza polityka opisuje zasady przetwarzania danych osobowych w związku z korzystaniem z:
- Dodatku do Gmaila PublishFlow – Google Workspace Add-on dostępnego na Google Workspace Marketplace
- Strony internetowej publishflow.pl
Polityka skierowana jest do osób fizycznych (dziennikarze, redaktorzy, twórcy treści) korzystających z PublishFlow we własnym imieniu lub na potrzeby swojej organizacji.
3 Jak działa PublishFlow – architektura Non-Proxy (BYOK)
PublishFlow działa w modelu Non-Proxy (bez pośrednika) oraz BYOK (Bring Your Own Key – użyjesz własnego klucza API). Oznacza to:
folder "News"
przetwarzanie w sesji
Twój własny klucz API
Twój arkusz
Twój klucz API Anthropic jest przechowywany wyłącznie w PropertiesService.getUserProperties() – zaszyfrowanej przestrzeni zarządzanej przez Google, do której developer PublishFlow nie ma dostępu.
Wyniki przetwarzania (tytuł artykułu, lead, tagi, kategoria) są zapisywane do arkusza Google Sheets na Twoim własnym koncie Google – pozostają pod Twoją pełną kontrolą.
4 Jakie dane przetwarzamy
A. Dane konta Google
- Adres e-mail konta Google – cel: identyfikacja licencji, wyświetlanie w interfejsie wtyczki
- Imię i nazwisko / zdjęcie profilowe (z Google Profile) – cel: personalizacja interfejsu użytkownika
B. Dane z Gmaila (treści e-maili)
- Treść e-maili z etykiety „News" (temat, treść, nadawca) – przesyłana do Anthropic API wyłącznie na Twoje żądanie (kliknięcie „Process Emails")
- Załączniki (PDF, DOCX, TXT, HTML) – przetwarzane tymczasowo w sesji, tymczasowa kopia w Google Drive jest natychmiast usuwana po ekstrakcji tekstu
- Metadane wiadomości (ID wątku, data, etykiety Gmail) – używane wyłącznie do zarządzania systemem retry (etykiety: Retry-1/2/3, Processed, Processing-Failed)
C. Dane konfiguracyjne użytkownika
- Klucz API Anthropic – przechowywany wyłącznie w Google PropertiesService (szyfrowane przez Google, niedostępne dla developera PublishFlow)
- Ustawienia wtyczki (nazwa arkusza wyników, konfiguracja etykiet) – przechowywane w Google PropertiesService
- Status licencji i data wygaśnięcia subskrypcji – przechowywane w Google PropertiesService
D. Wyniki przetwarzania
- Dane wygenerowane przez AI (tytuł artykułu, meta tytuł, lead, tagi, kategoria, cytat, link do zdjęcia) – zapisywane wyłącznie do Google Sheets na Twoim koncie Google, pod Twoją pełną kontrolą
E. Dane rozliczeniowe
- Dane do faktury (imię/firma, adres, NIP) – podawane dobrowolnie w celu wystawienia faktury; przetwarzane przez administratora (Test Plus Tomasz Radzewicz) bezpośrednio z programu księgowego
- Potwierdzenie płatności – przelew bankowy lub BLIK; dane przelewu widoczne wyłącznie w systemie bankowym administratora
- Status subskrypcji – przechowywany w Google PropertiesService (active / expired)
F. Dane techniczne
- Logi błędów Google Apps Script – przechowywane przez Google (nie przez PublishFlow), dostępne wyłącznie dla dewelopera w Google Cloud Console
- Logi API po stronie Anthropic – retencja do 7 dni zgodnie z polityką Anthropic
5 Zakresy OAuth i ich uzasadnienie
PublishFlow prosi o następujące uprawnienia w trakcie instalacji:
| Zakres (scope) | Klasyfikacja | Cel i uzasadnienie |
|---|---|---|
gmail.modify |
Restricted | Odczyt e-maili z etykiety „News" i nakładanie etykiet statusu przetwarzania (Retry-1/2/3, Processed, Processing-Failed). Wtyczka nie wysyła e-maili, nie czyta e-maili poza etykietą „News". |
drive.file |
Sensitive | Tworzenie arkusza wyników w Google Drive oraz tymczasowych kopii załączników (natychmiast usuwanych). Zakres ograniczony wyłącznie do plików tworzonych przez wtyczkę – nie ma dostępu do innych plików w Twoim Drive. |
spreadsheets |
Sensitive | Zapis wyników analizy AI (tytuł, lead, tagi, kategoria) do arkusza Google Sheets. |
script.external_request |
Non-sensitive | Wywołania Anthropic API (UrlFetchApp). Ograniczone do domeny api.anthropic.com i api.paddle.com (urlFetchWhitelist). |
script.locale |
Non-sensitive | Formatowanie dat i liczb zgodnie z ustawieniami lokalnymi użytkownika. |
userinfo.email |
Non-sensitive | Identyfikacja użytkownika na potrzeby weryfikacji licencji i wyświetlania w interfejsie. |
userinfo.profile |
Non-sensitive | Wyświetlanie imienia i zdjęcia profilowego w interfejsie wtyczki. |
script.container.ui |
Non-sensitive | Wyświetlanie panelu bocznego wtyczki w oknie Gmaila. |
6 Cele i podstawy prawne przetwarzania (RODO art. 6)
| Cel przetwarzania | Podstawa prawna (RODO art. 6) | Zakres danych |
|---|---|---|
| Świadczenie usługi PublishFlow – przetwarzanie e-maili, generowanie wyników AI, zapis do Sheets | Art. 6 ust. 1 lit. b – wykonanie umowy | Treść e-maili (sesja), klucz API, wyniki |
| Identyfikacja i zarządzanie licencją | Art. 6 ust. 1 lit. b – wykonanie umowy | Adres e-mail, status subskrypcji |
| Bezpieczeństwo, retry, zapobieganie błędom | Art. 6 ust. 1 lit. f – uzasadniony interes (stabilność usługi) | Metadane e-maili, etykiety retry, logi błędów |
| Obsługa zgłoszeń i realizacja praw użytkownika | Art. 6 ust. 1 lit. c – obowiązek prawny + art. 6 ust. 1 lit. f | Adres e-mail, historia kontaktu |
| Rozliczenia, faktury VAT, dokumentacja podatkowa | Art. 6 ust. 1 lit. c – obowiązek prawny | Dane nabywcy do faktury; faktury wystawiane bezpośrednio przez administratora |
7 Odbiorcy danych i subprocesorzy
PublishFlow korzysta z następujących podmiotów przetwarzających (subprocesorów), którym możemy przekazywać dane w niezbędnym zakresie:
Zakres: Gmail, Google Apps Script, Google Drive, Google Sheets, PropertiesService – infrastruktura, na której działa wtyczka
Podstawa transferu poza EOG: Standardowe Klauzule Umowne (SCCs) + globalna infrastruktura Google Cloud
Polityka prywatności: policies.google.com/privacy
Zakres: Analiza treści e-maili przez model Claude AI – wyłącznie na żądanie użytkownika, w ramach sesji
Retencja: Logi API – maksymalnie 7 dni; treść e-maili nie jest używana do trenowania modeli
Podstawa transferu poza EOG: Data Processing Agreement (DPA) z SCCs + opcja EU Regional Processing (dane pozostają w UE)
Polityka prywatności: anthropic.com/privacy
Płatność: Przelew bankowy lub BLIK – brak zewnętrznego operatora płatności
Zakres danych: Dane nabywcy podane do faktury (imię/firma, adres, NIP) przetwarzane przez administratora jako obowiązek podatkowy (art. 6 ust. 1 lit. c RODO)
Transfery poza EOG: Nie dotyczy – dane fakturowe przetwarzane wyłącznie przez administratora w Polsce
Brak innych odbiorców. Dane użytkowników nie są sprzedawane, nie są przekazywane brokerom danych ani operatorom płatności zewnętrznych, nie są wykorzystywane do reklam behawioralnych.
Ujawniamy dane organom publicznym wyłącznie gdy wymagają tego obowiązujące przepisy prawa.
8 Transfery danych poza Europejski Obszar Gospodarczy (EOG)
PublishFlow dąży do minimalizacji transferów danych poza EOG. Gdy transfer jest niezbędny, stosujemy następujące zabezpieczenia:
| Odbiorca | Kraj | Podstawa transferu |
|---|---|---|
| Google LLC | USA (infrastruktura globalna) | Standardowe Klauzule Umowne (SCCs) zatwierdzone przez Komisję Europejską |
| Anthropic PBC | USA (z opcją UE) | DPA z SCCs + opcja EU Regional Processing (dane przetwarzane w UE od sierpnia 2025). Rekomendujemy włączenie EU Regional Processing w ustawieniach swojego konta Anthropic. |
| Fakturowanie (administrator) | Polska | Brak transferu poza EOG – dane fakturowe przetwarzane wyłącznie przez administratora w Polsce |
Na żądanie możemy udostępnić kopię stosowanych zabezpieczeń – napisz na kontakt@publishflow.pl.
9 Okresy przechowywania i usuwanie danych
| Kategoria danych | Gdzie przechowywana | Okres retencji |
|---|---|---|
| Treść e-maili i załączników | Nigdzie (sesja GAS) | 0 – usuwana po zakończeniu sesji |
| Klucz API Anthropic | Google PropertiesService | Do momentu usunięcia przez użytkownika lub odinstalowania wtyczki |
| Status licencji | Google PropertiesService | Do odinstalowania wtyczki lub żądania usunięcia |
| Wyniki analizy AI | Google Sheets użytkownika | Pod kontrolą użytkownika – PublishFlow nie ma dostępu po zapisaniu |
| Logi Anthropic API | Serwery Anthropic | Max. 7 dni (polityka Anthropic) |
| Dane fakturowe (imię/firma, adres, NIP) | Administrator (dokumentacja księgowa) | 5 lat od wystawienia faktury (wymogi prawa podatkowego) |
| Tymczasowe kopie załączników | Google Drive (chwilowo) | Usuwane natychmiast po ekstrakcji tekstu (w ramach tej samej sesji) |
Co dzieje się po odinstalowaniu wtyczki?
- Dane konfiguracyjne (klucz API, ustawienia portalu, zgody) przechowywane w PropertiesService mogą nie zostać automatycznie usunięte przez Google po odinstalowaniu — zależy to od wersji i trybu instalacji add-on
- Aby mieć pewność usunięcia wszystkich danych, przed dezinstalacją skorzystaj z przycisku „Usuń moje dane" w panelu ustawień wtyczki (Ustawienia → Usuń moje dane) — to jedyna gwarantowana metoda
- Wyniki w Google Sheets pozostają – są na Twoim koncie Google i pod Twoją kontrolą
- Etykiety Gmail (News, Processed, Retry-*) tworzone przez wtyczkę pozostają w Gmailu i można je usunąć ręcznie
10 Prawa użytkownika (RODO art. 15–22)
Wnioski realizujemy przez e-mail: kontakt@publishflow.pl w terminie do 30 dni od otrzymania żądania.
Jeśli przetwarzanie opieramy na zgodzie – możesz ją wycofać w dowolnym momencie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania sprzed wycofania.
11 Bezpieczeństwo danych (RODO art. 32)
Stosujemy następujące środki techniczne i organizacyjne adekwatne do ryzyka:
- Szyfrowanie transmisji: HTTPS/TLS dla wszystkich połączeń sieciowych
- Szyfrowanie danych w spoczynku: klucz API Anthropic przechowywany w Google PropertiesService – szyfrowanej przez Google przestrzeni
- Ograniczenie endpointów:
urlFetchWhitelistw konfiguracji wtyczki ogranicza możliwe połączenia wyłącznie doapi.anthropic.com– wyklucza możliwość wysyłania danych do nieautoryzowanych serwerów - Ochrona przed formula injection: dane przed zapisem do Google Sheets są sanityzowane zgodnie z wytycznymi OWASP
- Zasada minimalnych uprawnień: zakres
drive.file(nieauth/drive) – dostęp wyłącznie do plików tworzonych przez wtyczkę - Architektura Non-Proxy: brak własnych serwerów PublishFlow przechowujących dane użytkownika eliminuje ryzyko naruszenia po stronie serwera PublishFlow
- Kontrola dostępu: developer PublishFlow nie ma technicznej możliwości odczytu Twoich danych z Google PropertiesService
12 Naruszenia ochrony danych (RODO art. 33–34)
Posiadamy wewnętrzne procedury wykrywania i obsługi incydentów bezpieczeństwa. W przypadku stwierdzenia naruszenia ochrony danych osobowych:
- Oceniamy ryzyko dla praw i wolności osób, których dane dotyczą
- Gdy naruszenie może powodować ryzyko – zgłaszamy do UODO nie później niż 72 godziny od stwierdzenia naruszenia (RODO art. 33)
- Gdy naruszenie może powodować wysokie ryzyko – informujemy Cię bezpośrednio (RODO art. 34)
Jeśli podejrzewasz naruszenie bezpieczeństwa dotyczące PublishFlow, skontaktuj się z nami: kontakt@publishflow.pl
13 Pliki cookie i technologie śledzące
Strona publishflow.pl może korzystać z podstawowych plików cookie niezbędnych do technicznego funkcjonowania strony (np. preferencje sesji). Nie stosujemy cookies analitycznych ani marketingowych bez Twojej zgody.
Dodatek do Gmaila PublishFlow nie korzysta z plików cookie – działa w środowisku Google Apps Script, które nie obsługuje mechanizmu cookie.
14 Zgodność z politykami Google
"PublishFlow's use of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements."
Ograniczenia użycia danych Google (Limited Use)
- Użycie ograniczone do funkcji UI: dane z Gmail i Google Workspace są używane wyłącznie do funkcji widocznych w interfejsie PublishFlow – przetwarzania e-maili z folderu „News" i generowania wyników do Sheets
- Brak sprzedaży danych: dane użytkowników Google nie są sprzedawane, nie są przekazywane brokerom danych
- Brak użycia reklamowego: dane z Gmail nie są używane do reklam behawioralnych, retargetingu ani profilowania reklamowego
- Brak trenowania modeli AI: dane z Gmail nie są używane do trenowania, ulepszania ani budowania modeli ogólnego przeznaczenia. Anthropic nie trenuje swoich modeli na danych z API (zgodnie z polityką Anthropic)
- Brak dostępu człowieka: developer PublishFlow nie ma technicznej możliwości odczytu treści Twoich e-maili. Architektura Non-Proxy wyklucza przechowywanie treści na serwerach PublishFlow
- Transfery danych: dane z Gmail są przekazywane wyłącznie Anthropic API w celu realizacji funkcji analizy AI – automatycznie (co 1 h) lub na żądanie po kliknięciu przycisku „Process Emails"
Pełna polityka Google API Services: developers.google.com/terms/api-services-user-data-policy
15 Zmiany polityki prywatności
O istotnych zmianach w polityce prywatności poinformujemy:
- Przez e-mail na adres powiązany z Twoim kontem Google (z co najmniej 14-dniowym wyprzedzeniem)
- Przez komunikat w interfejsie wtyczki przy kolejnym uruchomieniu
Aktualna wersja polityki jest zawsze dostępna pod adresem: publishflow.pl/polityka-prywatnosci
Data wejścia w życie bieżącej wersji: 17 marca 2026 (wersja 1.0)