m89.eu Marcin Rał

  • Pn- Pt : 8:00 -18:00
  • biuro@m89.eu
Facebook Facebook-messenger
Menu

Zadzwoń

+48 512 730 662

Kontakt
Ocena skutków dla ochrony danych (DPIA) – m89.eu | m89.app

Ocena skutków dla ochrony danych (DPIA) – m89.eu | m89.app

Dotyczy: użycia OpenAI API, plików cookies oraz logów systemowych na stronie i w usługach m89.eu oraz m89.app

Administrator danych: m89.eu Marcin Rał, NIP 5771931934

Data sporządzenia: 25 listopada 2025 r.

1. Opis operacji przetwarzania

1.1. Użycie OpenAI API

Dane wprowadzane w formularzu zgłoszeniowym (treść zgłoszenia, opis problemu, kontekst techniczny) mogą być przesyłane do API OpenAI w celu:

  • automatycznej analizy treści zgłoszenia,
  • klasyfikacji zgłoszeń,
  • wsparcia w diagnostyce problemów,
  • przyspieszenia obsługi serwisowej.

Do OpenAI przekazywane są wyłącznie fragmenty niezbędne do realizacji ww. celów, z zachowaniem zasady minimalizacji.

1.2. Logi systemowe i serwerowe

Systemy serwerowe i aplikacyjne rejestrują m.in.:

  • adres IP, datę i czas żądania,
  • informacje o przeglądarce i systemie,
  • identyfikatory sesji,
  • kod odpowiedzi HTTP oraz komunikaty diagnostyczne.

Logi wykorzystywane są do zapewnienia bezpieczeństwa, diagnozowania błędów, monitoringu dostępności i ewentualnej obrony przed roszczeniami.

1.3. Pliki cookies i podobne technologie

Na stronie m89.eu wykorzystywane są:

  • cookies niezbędne (techniczne),
  • cookies funkcjonalne,
  • cookies analityczne (np. Google Analytics – wyłącznie za zgodą),
  • cookies marketingowe – obecnie nieużywane, przewidziane na przyszłość.

2. Cele, zakres i kontekst przetwarzania

2.1. Cele przetwarzania

  • świadczenie usług wsparcia technicznego,
  • kontakt z użytkownikami/klientami,
  • optymalizacja i automatyzacja obsługi zgłoszeń,
  • zapewnienie bezpieczeństwa systemów i infrastruktury IT,
  • analiza ruchu i statystyk korzystania z serwisu.

2.2. Kategorie danych

  • dane kontaktowe: imię, adres e-mail, numer telefonu (opcjonalnie),
  • treść zgłoszeń serwisowych i korespondencji,
  • adres IP i dane techniczne,
  • identyfikatory cookies i dane statystyczne.

2.3. Podmioty przetwarzające i odbiorcy

Dane mogą być przekazywane m.in. do:

  • OpenAI (jako podmiot przetwarzający),
  • dostawców hostingu i centrów danych,
  • dostawców usług backupu i bezpieczeństwa,
  • dostawców narzędzi analitycznych (np. Google Analytics),
  • podmiotów świadczących obsługę księgową i prawną.

2.4. Transfer danych poza EOG

W związku z korzystaniem z OpenAI dane mogą być przetwarzane na serwerach w Stanach Zjednoczonych. Stosowane są Standardowe Klauzule Umowne (SCC) oraz dodatkowe środki bezpieczeństwa (szyfrowanie, pseudonimizacja, minimalizacja danych).

3. Podstawy prawne przetwarzania

  • art. 6 ust. 1 lit. b RODO – wykonanie umowy lub działania przed zawarciem umowy (obsługa zgłoszeń),
  • art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes administratora (bezpieczeństwo, logi, automatyzacja obsługi, obrona przed roszczeniami),
  • art. 6 ust. 1 lit. a RODO – zgoda użytkownika (cookies analityczne / marketingowe, jeśli stosowane).

4. Ocena niezbędności i proporcjonalności

  • do OpenAI przekazywane są wyłącznie fragmenty treści niezbędne do analizy zgłoszenia,
  • nie są celowo przetwarzane dane szczególnych kategorii (art. 9 RODO),
  • okres przechowywania logów jest ograniczony (do 12 miesięcy),
  • cookies marketingowe są domyślnie wyłączone, stosowane tylko w razie wdrożenia odpowiednich narzędzi i zgody użytkownika,
  • użytkownik otrzymuje pełną informację w Polityce Prywatności i Polityce Cookies.

Wniosek: przetwarzanie jest adekwatne do celu oraz zgodne z zasadą minimalizacji danych.

5. Identyfikacja ryzyk dla praw i wolności osób

5.1. Główne ryzyka

  • ryzyko związane z transferem danych do państwa trzeciego (USA) przy użyciu OpenAI,
  • ryzyko nieuprawnionego dostępu do logów i danych technicznych,
  • ryzyko przetwarzania danych statystycznych (cookies analityczne) bez ważnej zgody,
  • ryzyko błędnej pseudonimizacji treści wysyłanej do OpenAI.

5.2. Ocena ryzyk (przed wdrożeniem środków)

  • OpenAI / transfer USA – ryzyko wysokie,
  • logi i bezpieczeństwo – ryzyko średnie,
  • cookies analityczne bez zgody – ryzyko średnie.

6. Środki techniczne i organizacyjne

6.1. W zakresie OpenAI

  • stosowanie Standardowych Klauzul Umownych (SCC),
  • pseudonimizacja treści (brak danych nadmiernych, brak danych wrażliwych),
  • szyfrowanie transmisji (HTTPS / TLS),
  • ograniczenie dostępu do kluczy API,
  • logika aplikacji minimalizująca zakres przesyłanych danych.

6.2. W zakresie logów

  • ograniczony czas przechowywania logów,
  • stosowanie kontroli dostępu (uprawnienia administracyjne),
  • zabezpieczenia serwerów (firewall, aktualizacje, monitoring),
  • mechanizmy wykrywania incydentów bezpieczeństwa.

6.3. W zakresie cookies

  • baner zgody na cookies z rozróżnieniem kategorii,
  • możliwość zmiany zgody,
  • domyślne wyłączenie cookies analitycznych i marketingowych bez zgody,
  • szczegółowa Polityka Cookies na stronie.

7. Ocena ryzyka po wdrożeniu środków

  • OpenAI / transfer USA – ryzyko obniżone do poziomu niskiego–średniego,
  • logi systemowe – ryzyko niskie,
  • cookies analityczne – ryzyko niskie przy stosowaniu zgody i konfiguracji narzędzi.

Ryzyko rezydualne uznaje się za akceptowalne w świetle art. 32 RODO.

8. Wniosek końcowy

Po przeprowadzeniu DPIA uznaje się, że:

  • przetwarzanie danych przy użyciu OpenAI, logów i cookies jest zgodne z RODO,
  • zastosowane środki bezpieczeństwa są adekwatne do stwierdzonych ryzyk,
  • nie ma konieczności przeprowadzenia uprzednich konsultacji z organem nadzorczym (art. 36 RODO),
  • przetwarzanie może być kontynuowane przy zachowaniu bieżącego nadzoru i okresowego przeglądu DPIA.

Opracował: Administrator danych (m89.eu Marcin Rał)

Data Protection Impact Assessment (DPIA) – m89.eu | m89.app

Scope: Use of OpenAI API, cookies and system logs on the m89.eu / m89.app website and services

Data Controller: m89.eu Marcin Rał, Poland, VAT ID 5771931934

Date of assessment: 25 November 2025

1. Description of processing operations

1.1. Use of OpenAI API

Data entered via the support/contact form (request content, problem description, technical context) may be sent to the OpenAI API in order to:

  • automatically analyse the content of the request,
  • classify and prioritize tickets,
  • assist in technical diagnostics,
  • improve response time and support quality.

Only the minimum necessary text is sent to OpenAI, respecting data minimisation.

1.2. System and server logs

The infrastructure records, among others:

  • IP address, date and time of the request,
  • browser and operating system information,
  • session identifiers,
  • HTTP status codes and diagnostic messages.

Logs are used to ensure security, troubleshoot issues, monitor availability and defend against potential claims or abuse.

1.3. Cookies and similar technologies

The m89.eu website uses:

  • necessary (technical) cookies,
  • functional cookies,
  • analytical cookies (e.g. Google Analytics – only with consent),
  • marketing cookies – currently not in use, but foreseen for future implementation if needed.

2. Purposes, scope and context of processing

2.1. Purposes

  • provision of technical support services,
  • communication with users/clients,
  • optimisation and partial automation of ticket handling,
  • ensuring IT and infrastructure security,
  • traffic analysis and service diagnostics.

2.2. Categories of data

  • contact data: name, email address, phone number (optional),
  • support request content and correspondence,
  • IP address and technical data,
  • cookie identifiers and statistical data.

2.3. Processors and recipients

Data may be disclosed to:

  • OpenAI (as a Data Processor),
  • hosting and data centre providers,
  • backup and security solution providers,
  • analytics services (e.g. Google Analytics),
  • accounting and legal service providers.

2.4. Transfers outside the EEA

Due to the use of OpenAI, data may be processed on servers located in the United States. Standard Contractual Clauses (SCC) and additional safeguards (encryption, pseudonymisation, minimisation) are applied.

3. Legal bases of processing

  • Art. 6(1)(b) GDPR – performance of a contract or steps prior to entering into a contract (ticket handling),
  • Art. 6(1)(f) GDPR – legitimate interests of the Controller (security, logs, automation of support, defence against claims),
  • Art. 6(1)(a) GDPR – user consent (analytical / marketing cookies, if used).

4. Necessity and proportionality assessment

  • only necessary request fragments are sent to OpenAI,
  • no special categories of data are intentionally processed,
  • log retention periods are limited (up to 12 months),
  • analytical/marketing cookies are used only upon explicit consent,
  • full transparency is provided via the Privacy Policy and Cookie Policy.

Conclusion: processing is adequate and proportionate to the purposes and follows the data minimisation principle.

5. Identification of risks to data subjects’ rights

5.1. Main risks

  • risk related to data transfer to a third country (USA) when using OpenAI,
  • risk of unauthorised access to logs and technical data,
  • risk of analytical cookies being set without valid consent,
  • risk of insufficient pseudonymisation of text sent to OpenAI.

5.2. Risk assessment (before safeguards)

  • OpenAI / US transfer – high risk,
  • logs and security – medium risk,
  • analytics without consent – medium risk.

6. Technical and organisational measures

6.1. OpenAI-related measures

  • use of SCC in accordance with Art. 46 GDPR,
  • pseudonymisation and minimisation of content (no excessive or sensitive data),
  • encrypted transmission (HTTPS / TLS),
  • restricted API key access,
  • application logic limiting the scope of data sent.

6.2. Log security

  • limited log retention periods,
  • access control and role-based permissions,
  • server hardening (firewall, updates, monitoring),
  • incident detection and response procedures.

6.3. Cookie-related safeguards

  • cookie consent banner with granular options,
  • ability to change or withdraw consent,
  • default disabling of non-essential cookies until consent is given,
  • detailed Cookie Policy published on the website.

7. Risk level after safeguards

  • OpenAI / US transfer – lowered to low–medium risk,
  • system logs – low risk,
  • analytics – low risk when consent and proper configuration are in place.

The residual risk is considered acceptable in light of Art. 32 GDPR.

8. Final DPIA conclusion

Based on this DPIA, it is concluded that:

  • processing using OpenAI, logs and cookies complies with GDPR,
  • safeguards are appropriate to the identified risks,
  • no prior consultation with the supervisory authority is required (Art. 36 GDPR),
  • processing may continue, subject to ongoing monitoring and periodic DPIA review.

Prepared by: Data Controller (m89.eu Marcin Rał)

  • Menu
  • Menu