1 Administrator danych
Administratorem Twoich danych osobowych jest:
Apistool to aplikacja do zarządzania projektami, zadaniami i komunikacją dla agencji i zespołów,
dostępna pod adresem app.apistool.com.
Jako administrator decyduję o celach i sposobach przetwarzania danych zbieranych podczas korzystania z usługi.
2 Jakie dane zbieramy i dlaczego
2.1 Dane konta
Przy rejestracji i korzystaniu z konta przetwarzam:
- Adres e-mail i hasło (przechowywane wyłącznie jako bezpieczny skrót hash) — konieczne do uwierzytelniania.
- Imię i nazwisko / wyświetlana nazwa — widoczne dla współpracowników w workspace.
- Rola w aplikacji (właściciel workspace, członek, admin platformy).
- Data rejestracji, data ostatniego logowania — do zarządzania kontem.
Jeśli rejestrujesz się przez Google, otrzymuję od Google Twoje imię, adres e-mail i zdjęcie profilowe.
2.2 Dane zadań i projektów
W trakcie używania aplikacji przetwarzam treści tworzone przez Ciebie:
- Zadania: tytuły, opisy, daty, priorytety, przypisania, czas pracy (time tracking).
- Projekty: nazwy, ustawienia, kolumny, szablony, komentarze, załączniki.
- Wiadomości w czacie zespołowym oraz czacie z agentami AI.
- Powiadomienia i ustawienia powiadomień.
2.3 Dane poczty e-mail (IMAP/SMTP)
Jeśli skonfigurujesz konto pocztowe w Apistool, przetwarzam:
- Dane uwierzytelniające do serwera IMAP/SMTP — przechowywane wyłącznie w formie zaszyfrowanej (AES-GCM). Nigdy nie są przesyłane stronom trzecim.
- Treść wiadomości e-mail, nagłówki, załączniki — pobierane z Twojego serwera pocztowego wyłącznie na Twoje żądanie i przechowywane w celu świadczenia usługi.
- Kontakty pocztowe — importowane lub dodawane ręcznie w celu autouzupełniania adresów.
Ważne: Treść Twoich wiadomości e-mail nie jest udostępniana żadnym podmiotom zewnętrznym ani nie jest wykorzystywana do celów innych niż świadczenie usługi poczty w aplikacji.
2.4 Dane z Google Calendar
Jeśli dobrowolnie połączysz konto Google Calendar, pobieram i synchronizuję:
- Wydarzenia kalendarza (tytuł, czas, opis, status) w zakresie wybranym przez Ciebie.
- Token OAuth Google — przechowywany w szyfrowanej formie; używany wyłącznie do operacji na Twoim kalendarzu.
Szczegółowy opis ograniczeń użycia danych Google znajduje się w sekcji 4.
2.5 Dane AI (Anthropic)
Jeśli korzystasz z funkcji agentów AI lub czatu z Claude:
- Treść wiadomości wysyłanych do agenta jest przesyłana do API Anthropic w celu wygenerowania odpowiedzi.
- Możesz używać własnego klucza API Anthropic (BYOK) — klucz jest przechowywany w zaszyfrowanej formie.
- Dane przesyłane do Anthropic podlegają polityce prywatności Anthropic. Zgodnie z warunkami API Anthropic nie używa zapytań wysyłanych przez API do trenowania modeli.
2.6 Dane techniczne
- Adres IP — używany do bezpieczeństwa (wykrywanie nieautoryzowanego dostępu).
- Agent przeglądarki (User-Agent) — do obsługi kompatybilności.
- Tokeny sesji i uwierzytelniania — niezbędne do działania aplikacji.
- Logi dostępu serwera — przechowywane przez ograniczony czas do celów diagnostycznych i bezpieczeństwa.
3 Podstawy prawne przetwarzania (art. 6 RODO)
| Kategoria danych |
Cel przetwarzania |
Podstawa prawna |
| Dane konta (e-mail, hasło, nazwa) |
Rejestracja, uwierzytelnianie, świadczenie usługi |
Art. 6(1)(b) — umowa |
| Zadania, projekty, czas pracy, czat |
Podstawowa funkcjonalność aplikacji |
Art. 6(1)(b) — umowa |
| Dane poczty IMAP/SMTP |
Świadczenie usługi klienta pocztowego |
Art. 6(1)(b) — umowa |
| Dane Google Calendar |
Synchronizacja z kalendarzem Google |
Art. 6(1)(a) — zgoda |
| Treści czatu z AI (Anthropic) |
Świadczenie funkcji agentów i asystenta AI |
Art. 6(1)(b) — umowa |
| Logi serwera, adresy IP |
Bezpieczeństwo, wykrywanie nadużyć, diagnostyka |
Art. 6(1)(f) — uzasadniony interes |
| Kopie zapasowe danych |
Ciągłość usługi, ochrona przed utratą danych |
Art. 6(1)(f) — uzasadniony interes |
| Ustawienia powiadomień |
Personalizacja sposobu dostarczania powiadomień |
Art. 6(1)(b) — umowa |
Prawnie uzasadniony interes: Przetwarzanie danych w celach bezpieczeństwa i tworzenia kopii zapasowych jest niezbędne do zapewnienia niezawodności i integralności usługi.
Interes ten nie narusza Twoich praw i wolności, ponieważ dane są przetwarzane wyłącznie w celu ochrony Twoich własnych danych i systemu.
4 Dane z Google — zakres ograniczonego użycia
verified_user
Oświadczenie o ograniczonym użyciu danych Google
Apistool korzysta z API Google (w tym Google Calendar API) wyłącznie zgodnie z
Polityką danych użytkownika usług Google API,
w tym z wymogiem ograniczonego użycia (Limited Use).
Pobieramy z Google następujące dane i zakresy:
- openid, email, profile — imię, adres e-mail, zdjęcie profilowe; używane wyłącznie do uwierzytelniania i wyświetlania danych konta w aplikacji.
- Google Calendar (auth/calendar) — wydarzenia kalendarza; używane wyłącznie do synchronizacji wydarzeń z widokiem kalendarza i planowania zadań w Apistool.
Zobowiązania dotyczące danych Google (Limited Use):
- Dane z API Google są używane wyłącznie w celu świadczenia lub ulepszania funkcjonalności Apistool opisanej w niniejszej polityce.
- Dane nie są przekazywane osobom trzecim, z wyjątkiem przypadków niezbędnych do świadczenia usługi (np. przechowywanie danych sesji na własnym serwerze).
- Dane z Google nie są używane do celów reklamowych, profilowania, sprzedaży stronom trzecim ani do trenowania modeli AI.
- Dostęp człowieka do danych Google jest ograniczony: odbywa się wyłącznie w niezbędnym zakresie dla celów bezpieczeństwa, zgodności z przepisami lub technicznej obsługi zgłoszeń, gdy użytkownik wyrazi na to zgodę.
- Możesz w każdej chwili odwołać dostęp Apistool do swojego konta Google z poziomu ustawień Google (myaccount.google.com/permissions).
5 Odbiorcy i podmioty przetwarzające
Twoje dane mogą być przekazywane następującym kategoriom podmiotów:
| Podmiot |
Rola |
Przekazywane dane |
Siedziba |
Dostawca hostingu VPS
Infrastruktura własna; oprogramowanie: Supabase (self-hosted) |
Hosting bazy danych i plików — własna infrastruktura administratora |
Wszystkie dane aplikacji |
Serwer w UE |
| Anthropic, Inc. |
Procesor AI — generowanie odpowiedzi agentów |
Treść wiadomości do agentów AI (gdy korzystasz z tej funkcji) |
USA |
| Google LLC |
Uwierzytelnianie OAuth, Google Calendar API |
Profil Google, tokeny OAuth, dane kalendarza |
USA |
| Resend, Inc. |
Dostarczanie e-maili systemowych (weryfikacja konta, reset hasła) |
Adres e-mail, treść wiadomości systemowej |
USA |
| Dostawca offsite kopii zapasowych |
Przechowywanie zaszyfrowanych kopii zapasowych bazy danych |
Zaszyfrowane zrzuty bazy danych |
USA |
Dane Twoich wiadomości e-mail (IMAP) nie są przekazywane żadnym podmiotom zewnętrznym.
Pobieramy je bezpośrednio z Twojego własnego serwera pocztowego i przechowujemy wyłącznie na naszym serwerze w UE.
Nie sprzedaję Twoich danych osobowych podmiotom trzecim. Dane nie są udostępniane w celach reklamowych ani marketingowych stronom trzecim.
6 Transfer danych poza EOG
Część podmiotów przetwarzających dane (Anthropic, Google, Resend, dostawca kopii zapasowych) ma siedzibę w Stanach Zjednoczonych,
co oznacza transfer danych poza Europejski Obszar Gospodarczy (EOG).
Transfer odbywa się na podstawie odpowiednich zabezpieczeń:
- Standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską — stosowane przez Anthropic, Resend i dostawcę kopii zapasowych.
- Ramy Data Privacy Framework UE–USA (DPF) — Google LLC uczestniczy w tym programie, co zapewnia odpowiedni poziom ochrony.
Możesz uzyskać informacje o zastosowanych zabezpieczeniach, kontaktując się pod adresem
krzysztof@apistool.com.
7 Jak długo przechowujemy dane
| Kategoria danych |
Okres przechowywania |
| Dane konta i profilu |
Do momentu usunięcia konta, następnie trwale usuwane w ciągu 30 dni. |
| Zadania, projekty, komentarze |
Przez cały czas aktywności konta; po usunięciu konta — 30 dni (możliwość przywrócenia), następnie trwale. |
| Dane poczty IMAP (wiadomości, foldery) |
Do momentu usunięcia konta pocztowego z aplikacji lub usunięcia konta Apistool. |
| Token OAuth Google |
Do momentu odłączenia Google Calendar z ustawień lub usunięcia konta. |
| Logi serwera i adresy IP |
Do 90 dni. |
| Kopie zapasowe bazy danych |
30 dni (rotacja automatyczna). |
| Dane czatu z AI |
Przez cały czas aktywności konta; usuwane wraz z usunięciem konta. |
Usunięcie konta
Możesz usunąć swoje konto w ustawieniach aplikacji lub wysyłając prośbę na adres
krzysztof@apistool.com.
Po otrzymaniu prośby dane zostaną trwale usunięte w ciągu 30 dni, z wyjątkiem danych,
których przechowywanie jest wymagane przepisami prawa.
Dobrowolność podania danych (art. 13 ust. 2 lit. e RODO)
Podanie danych konta (adres e-mail, hasło lub konto Google) jest dobrowolne, lecz niezbędne
do zawarcia umowy i korzystania z Apistool — bez tych danych rejestracja i logowanie są niemożliwe.
Pozostałe dane są w pełni opcjonalne:
- Google Calendar — brak połączenia oznacza brak synchronizacji kalendarza Google; pozostałe funkcje aplikacji działają normalnie.
- Konto pocztowe IMAP/SMTP — brak konfiguracji oznacza brak dostępu do klienta poczty; pozostałe funkcje działają normalnie.
- Funkcje AI (agenci, czat Claude) — brak klucza Anthropic (BYOK) oznacza brak dostępu do funkcji AI; pozostałe funkcje działają normalnie.
8 Twoje prawa
Na podstawie RODO (rozporządzenia 2016/679) przysługują Ci następujące prawa:
visibility
Prawo dostępu (art. 15)
Możesz uzyskać potwierdzenie, czy przetwarzam Twoje dane, oraz kopię tych danych.
edit
Prawo do sprostowania (art. 16)
Możesz żądać poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
delete_outline
Prawo do usunięcia (art. 17)
„Prawo do bycia zapomnianym" — możesz żądać usunięcia danych, gdy nie są już niezbędne.
pause_circle_outline
Prawo do ograniczenia (art. 18)
Możesz żądać ograniczenia przetwarzania w określonych sytuacjach.
download
Prawo do przenoszenia (art. 20)
Możesz otrzymać swoje dane w ustrukturyzowanym formacie nadającym się do odczytu maszynowego.
block
Prawo do sprzeciwu (art. 21)
Możesz wnieść sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie.
undo
Cofnięcie zgody
Jeśli przetwarzanie opiera się na zgodzie, możesz ją cofnąć w dowolnym momencie (np. odłączyć Google Calendar w ustawieniach).
assignment
Prawo do skargi
Masz prawo wnieść skargę do organu nadzorczego — PUODO (Prezes Urzędu Ochrony Danych Osobowych).
Jak skorzystać z praw
Wyślij wiadomość na adres krzysztof@apistool.com.
Odpowiem w ciągu 30 dni od otrzymania wniosku (termin może zostać przedłużony o kolejne 60 dni
w przypadku szczególnie złożonych wniosków — poinformuję Cię o tym).
Zautomatyzowane podejmowanie decyzji i profilowanie (art. 13 ust. 2 lit. f RODO)
Apistool nie stosuje zautomatyzowanego podejmowania decyzji ani profilowania
w rozumieniu art. 22 RODO, które wywoływałoby wobec Ciebie skutki prawne lub w podobny sposób
istotnie na Ciebie wpływało.
Organ nadzorczy — PUODO
Masz prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO):
9 Bezpieczeństwo
Stosuję następujące środki techniczne i organizacyjne chroniące Twoje dane:
- Szyfrowanie transmisji — cała komunikacja odbywa się przez HTTPS/TLS.
- Szyfrowanie danych wrażliwych — hasła do kont pocztowych i klucze API przechowywane w postaci zaszyfrowanej (AES-GCM).
- Hasła użytkowników — przechowywane wyłącznie jako skrót kryptograficzny (bcrypt).
- Izolacja danych (Row Level Security) — każdy użytkownik ma dostęp wyłącznie do własnych danych; wymuszane na poziomie bazy danych.
- Kopie zapasowe — automatyczne codzienne kopie bazy danych przechowywane przez 30 dni.
- Dane w Unii Europejskiej — główna baza danych i pliki przechowywane na serwerze w UE.
W przypadku wykrycia naruszenia bezpieczeństwa wpływającego na Twoje dane poinformuję Cię zgodnie z wymogami RODO (art. 33–34).
10 Pliki cookie i lokalne przechowywanie
Apistool używa minimalnego zestawu mechanizmów przechowywania po stronie przeglądarki:
- localStorage / sessionStorage — sesja uwierzytelniania, preferencje motywu (jasny/ciemny), preferencje języka. Niezbędne do działania aplikacji, nie wymagają zgody na pliki cookie.
- Czcionki Google Fonts — ładowane z serwerów Google. Google może przetwarzać adres IP w związku z tym żądaniem.
Aplikacja nie używa plików cookie śledzących, reklamowych ani analitycznych.
Wiek użytkowników
Apistool jest usługą skierowaną do profesjonalistów i firm. Nie jest przeznaczona dla osób poniżej
16. roku życia i świadomie nie zbieramy danych od takich osób. Jeśli masz informację,
że osoba niepełnoletnia przekazała nam dane, skontaktuj się pod adresem
krzysztof@apistool.com — dane zostaną niezwłocznie usunięte.
11 Zmiany polityki prywatności
O istotnych zmianach poinformuję Cię:
- przez wiadomość e-mail na adres podany podczas rejestracji, lub
- przez wyraźne powiadomienie w aplikacji przy kolejnym logowaniu.
Kontynuowanie korzystania z Apistool po wejściu w życie zmian oznacza ich akceptację.
Jeśli zmiany dotyczą danych przetwarzanych na podstawie zgody, poproszę Cię o jej ponowne wyrażenie.
Data wejścia w życie aktualnej wersji: 1 czerwca 2026.
12 Kontakt
We wszystkich sprawach dotyczących ochrony danych osobowych możesz skontaktować się ze mną:
Postaram się odpowiedzieć na wszystkie zapytania w ciągu 5 dni roboczych.
Na formalne wnioski dotyczące praw (art. 15–22 RODO) odpowiem w ustawowym terminie 30 dni.