Strona główna

Polityka prywatności

Ostatnia aktualizacja: 20 kwietnia 2026 · Wersja 1.0

Dokument zawiera klauzulę informacyjną zgodną z art. 13 i 14 RODO. Osobne sekcje dla doradców kredytowych (użytkowników hypto) oraz klientów końcowych, którzy otrzymują od doradcy link do formularza.

1. Administrator danych i kontakt

Administratorem danych osobowych przetwarzanych w ramach serwisu hypto jest [Imię i nazwisko / firma] prowadzący działalność gospodarczą pod firmą [hypto — do uzupełnienia], adres: [do uzupełnienia], NIP: [do uzupełnienia], REGON: [do uzupełnienia], wpis do CEIDG (lub: KRS: [do uzupełnienia], jeżeli działalność prowadzona jest w formie spółki).

Z administratorem można skontaktować się pod adresem kontakt@hypto.pl lub pisemnie na adres siedziby.

Administrator wyznaczył Inspektora Ochrony Danych, z którym można skontaktować się pod adresem iod@hypto.pl we wszystkich sprawach dotyczących przetwarzania danych osobowych oraz korzystania z praw związanych z przetwarzaniem.

Uwaga dotycząca ról: w zakresie danych klienta końcowego, które doradca kredytowy zbiera za pomocą hypto, administratorem wobec klienta jest zazwyczaj doradca lub biuro pośrednictwa; hypto działa wówczas jako podmiot przetwarzający na podstawie umowy powierzenia (art. 28 RODO). Szczegółowy podział ról w każdej sprawie wynika z umowy zawartej przez klienta z doradcą.

2. Dla doradców kredytowych — klauzula art. 13 RODO

Dotyczy osób zakładających konto w hypto i korzystających z panelu agenta.

Cele i podstawy prawne przetwarzania

  • Świadczenie usługi SaaS, obsługa konta, rozliczenia — art. 6 ust. 1 lit. b RODO (umowa).
  • Zapewnienie bezpieczeństwa konta (uwierzytelnianie wieloskładnikowe, wykrywanie nadużyć, logi bezpieczeństwa) — art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora polegający na ochronie danych użytkowników i ich klientów).
  • Wystawianie faktur i księgowość — art. 6 ust. 1 lit. c RODO (obowiązki prawne wynikające z ustawy o rachunkowości i ustawy o VAT).
  • Obsługa zapytań, marketing własnych usług — art. 6 ust. 1 lit. f RODO; w zakresie newslettera — art. 6 ust. 1 lit. a RODO (zgoda, w każdej chwili odwoływalna).
  • Obrona przed roszczeniami — art. 6 ust. 1 lit. f RODO.

Kategorie danych

Imię i nazwisko, adres e-mail, numer telefonu, dane firmy (nazwa, NIP, adres), dane logowania (hasło w formie skrótu bcrypt, sekret TOTP w formie zaszyfrowanej, kody recovery w formie skrótu), historia płatności, logi aktywności w systemie.

Okres przechowywania

  • Dane konta — na czas umowy oraz 6 lat po jej zakończeniu (przedawnienie roszczeń).
  • Dane fakturowe — 5 lat od końca roku podatkowego (art. 70 Ordynacji podatkowej).
  • Logi bezpieczeństwa — do 24 miesięcy.
  • Dane marketingowe — do wycofania zgody albo do zgłoszenia sprzeciwu.

Podanie danych

Podanie danych niezbędnych do założenia konta jest warunkiem zawarcia umowy. Podanie danych do newslettera jest dobrowolne.

3. Dla klientów końcowych — klauzula art. 13 RODO

Dotyczy osób, które otrzymały od doradcy link do formularza hypto i wprowadzają w nim dane potrzebne do wniosków kredytowych.

Cele i podstawy prawne przetwarzania

  • Zebranie, walidacja i strukturyzacja danych niezbędnych do sporządzenia wniosków kredytowych — art. 6 ust. 1 lit. b RODO (umowa z doradcą, w ramach której doradca korzysta z hypto).
  • Automatyczna ekstrakcja danych z załączonych dokumentów (OCR) — art. 6 ust. 1 lit. b RODO. Proponowane wartości pól są zatwierdzane przez doradcę — nie zapada tu decyzja w rozumieniu art. 22 RODO.
  • Wygenerowanie i udostępnienie doradcy paczki PDF dla wybranych banków — art. 6 ust. 1 lit. b RODO.
  • Bezpieczeństwo sprawy (PIN, ograniczenie prób logowania, audit log) — art. 6 ust. 1 lit. f RODO.
  • Jeśli w dokumencie pojawiają się dane szczególnej kategorii (np. informacje o stanie zdrowia w zaświadczeniu) — art. 9 ust. 2 lit. a RODO (wyraźna zgoda) lub lit. f (ustalenie, dochodzenie lub obrona roszczeń), zależnie od kontekstu.

Kategorie danych

Dane identyfikacyjne (imię, nazwisko, PESEL, seria i numer dowodu), dane kontaktowe, dane o stanie cywilnym, dane o zatrudnieniu i dochodach, dane o zobowiązaniach, numery rachunków bankowych, dane nieruchomości, skany dokumentów (dowód, zaświadczenia, wyciągi bankowe, umowy), wizerunek widoczny na dokumencie, podpis.

Źródło danych

Dane są podawane bezpośrednio przez klienta w formularzu oraz pochodzą z załączonych przez klienta skanów dokumentów. W zakresie, w jakim niektóre dane przekazuje doradca przy zakładaniu sprawy (np. imię, nazwisko, e-mail do wysłania linku), podstawą jest art. 14 RODO — informację o źródle stanowi wskazanie doradcy, który założył sprawę.

Okres przechowywania

  • Sprawa aktywna — przez czas jej prowadzenia przez doradcę.
  • Sprawa sfinalizowana (paczka przekazana do banku) — do 90 dni po finalizacji, na potrzeby ewentualnych uzupełnień do banku.
  • Sprawa porzucona — 30 dni od ostatniej aktywności → trwałe usunięcie.
  • Skany dokumentów — do 30 dni po wygenerowaniu paczki, o ile klient nie poprosi o wcześniejsze usunięcie.
  • Logi dostępu do sprawy — 24 miesiące (jako dowód rozliczalności).

Podanie danych

Podanie danych jest dobrowolne, ale niezbędne do przygotowania wniosku kredytowego. Brak podania określonych danych może uniemożliwić realizację usługi przez doradcę.

Zautomatyzowane podejmowanie decyzji i profilowanie

hypto stosuje lokalne modele AI do rozpoznawania tekstu z załączonych dokumentów (OCR). Model sugeruje wartości pól, a ostateczną decyzję o ich zatwierdzeniu podejmuje doradca. Nie są podejmowane w pełni zautomatyzowane decyzje wywołujące skutki prawne wobec klienta (art. 22 RODO). Dane klienta nie są wysyłane do publicznych API modeli AI (np. OpenAI, Google Cloud, Anthropic w trybie publicznym).

4. Odbiorcy i podmioty przetwarzające

Dane mogą być ujawniane następującym kategoriom odbiorców:

  • Doradca kredytowy / biuro pośrednictwa, który zakłada sprawę i przesyła gotową paczkę do banku.
  • Banki wskazane przez klienta lub doradcę — po wygenerowaniu i przekazaniu paczki PDF przez doradcę. hypto nie komunikuje się samodzielnie z bankami.
  • Podmioty przetwarzające działające na zlecenie hypto na podstawie umów powierzenia zgodnych z art. 28 RODO: dostawcy hostingu, bazy danych i przestrzeni plików (EU), dostawca e-mail transakcyjnego, dostawca narzędzia monitoringu błędów (po pseudonimizacji), operator płatności, biuro księgowe.
  • Organy publiczne — wyłącznie w zakresie wynikającym z przepisów prawa.

Aktualna lista podmiotów przetwarzających jest dostępna na żądanie pod adresem iod@hypto.pl.

Transfery poza EOG

Domyślnie dane nie są przekazywane poza Europejski Obszar Gospodarczy. Jeżeli którykolwiek z podmiotów przetwarzających przekazuje dane poza EOG (np. operator płatności ze Stanów Zjednoczonych), odbywa się to w oparciu o Standardowe Klauzule Umowne (decyzja KE 2021/914) uzupełnione oceną skutków transferu (TIA) — zgodnie z art. 46 RODO.

5. Prawa osób, których dane dotyczą

Zgodnie z RODO (art. 15–22) przysługują Państwu następujące prawa, realizowane w ciągu 1 miesiąca (w uzasadnionych przypadkach — przedłużone o kolejne 2 miesiące z powiadomieniem):

  • Dostęp do danych (art. 15) — uzyskanie informacji, jakie dane przetwarzamy, w jakim celu i jak długo, wraz z kopią danych.
  • Sprostowanie (art. 16) — poprawa nieprawidłowych lub niekompletnych danych.
  • Usunięcie („prawo do bycia zapomnianym”, art. 17) — w szczególności gdy dane nie są już potrzebne, zgoda została cofnięta albo przetwarzanie jest niezgodne z prawem.
  • Ograniczenie przetwarzania (art. 18) — na czas wyjaśnienia sporu co do poprawności danych lub legalności przetwarzania.
  • Przenoszalność (art. 20) — otrzymanie danych w ustrukturyzowanym, powszechnie używanym formacie (JSON / PDF) oraz przeniesienie ich do innego administratora.
  • Sprzeciw (art. 21) — wobec przetwarzania na podstawie prawnie uzasadnionego interesu, w tym profilowania.
  • Niepodleganie decyzji automatycznej (art. 22) — hypto nie podejmuje takich decyzji; pozostaje prawo do interwencji ludzkiej.
  • Cofnięcie zgody (tam, gdzie zgoda jest podstawą) — w każdym momencie, bez wpływu na legalność wcześniejszego przetwarzania.

W celu realizacji praw prosimy o kontakt pod adresem iod@hypto.pl. Dla celów weryfikacji tożsamości możemy poprosić o dodatkowe informacje — w minimalnym zakresie.

Prawo skargi do organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

6. Bezpieczeństwo przetwarzania (art. 32 RODO)

Stosujemy środki techniczne i organizacyjne proporcjonalne do ryzyka:

  • Szyfrowanie połączeń (TLS 1.2+).
  • Szyfrowanie danych w spoczynku — w szczególności kolumnowe szyfrowanie pól wysokiej wrażliwości (PESEL, numer dowodu) oraz szyfrowany storage plików.
  • Uwierzytelnianie wieloskładnikowe (2FA TOTP) obowiązkowe dla doradców.
  • Dostęp klienta końcowego chroniony PIN-em z ograniczeniem liczby prób.
  • Kontrola dostępu w oparciu o zasadę najmniejszych uprawnień — doradca widzi wyłącznie sprawy swojej organizacji.
  • Audit log wszystkich operacji na danych klienta.
  • Pseudonimizacja danych w logach diagnostycznych; brak surowych danych wrażliwych w monitoringu błędów.
  • Szyfrowane kopie zapasowe z regularnie testowanym odtwarzaniem.
  • Regularne testy skuteczności zabezpieczeń, w tym coroczny pentest.
  • Oddzielny, lokalny serwis AI do ekstrakcji danych — brak transferu obrazów dokumentów do publicznych API modeli językowych.

7. Cookies i analityka

hypto wykorzystuje wyłącznie niezbędne cookies funkcjonalne (sesja, preferencje motywu). Nie stosujemy cookies marketingowych ani plików śledzących stron trzecich bez Państwa zgody.

Jeżeli w przyszłości wdrożymy analitykę, będzie to narzędzie respektujące prywatność (np. Plausible / Umami) bez profilowania po użytkowniku; dane będą przetwarzane w EOG.

8. Zmiany polityki

Polityka może być aktualizowana. Data ostatniej zmiany znajduje się na początku dokumentu. O istotnych zmianach poinformujemy użytkowników w panelu lub e-mailem.

Historia wersji dokumentu prowadzona jest w systemie kontroli wersji administratora — dostępna na żądanie pod iod@hypto.pl.