Polityka prywatności i plików cookies

Data wejścia w życie: 25 maja 2026

Dbamy o prywatność osób korzystających z serwisu SimpleInvesting (dalej: „Serwis”), dostępnego pod adresem simpleinvesting.org. Niniejszy dokument opisuje, jakie dane osobowe zbieramy, w jakich celach i na jakich zasadach, a także jakie prawa przysługują użytkownikom zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: „RODO”).

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest:

DOCEO Mateusz Głasek

ul. Sadowa 12, 05-430 Glina, gm. Celestynów, pow. otwocki, woj. mazowieckie, Polska

NIP: 5322088322, REGON: 385987479

Adres do doręczeń elektronicznych: AE:PL-60036-64952-UJFUG-16

Kontakt e-mail: [email protected]

Administrator nie wyznaczył Inspektora Ochrony Danych. We wszystkich sprawach związanych z przetwarzaniem danych osobowych można kontaktować się bezpośrednio z Administratorem na adres e-mail wskazany powyżej.

2. Zakres zbieranych danych

W ramach korzystania z Serwisu możemy przetwarzać następujące dane:

Dane konta – adres e-mail oraz hasło (przechowywane wyłącznie w postaci skrótu kryptograficznego).
Dane z logowania przez Google – jeśli korzystasz z logowania OAuth, otrzymujemy od Google adres e-mail oraz identyfikator konta; nie pobieramy hasła ani dodatkowych danych z Twojego konta Google.
Dane dotyczące korzystania z Serwisu – w szczególności lista funduszy ETF dodanych przez Ciebie do obserwowanych, historia konwersacji z asystentem AI (treść zapytań i odpowiedzi modelu, znaczniki czasu).
Dane subskrypcji marketingowych – adres e-mail, preferencje newslettera (aktualizacje produktu, materiały edukacyjne/marketingowe), język, identyfikator kontaktu w Resend, data zapisu lub wypisu.
Dane płatności – identyfikator klienta Stripe, status subskrypcji Premium, historia transakcji punktów AI. Pełne dane karty płatniczej nie są przechowywane przez Serwis — obsługuje je Stripe.
Dane techniczne – adres IP, typ przeglądarki, system operacyjny, czas i data wizyty, informacje o błędach – przetwarzane w logach hostingu w celu zapewnienia bezpieczeństwa i prawidłowego działania Serwisu.
Dane z korespondencji – treść wiadomości kierowanych do nas oraz adres e-mail nadawcy.

Podanie danych jest dobrowolne, lecz niezbędne do założenia konta i korzystania z funkcji wymagających uwierzytelnienia. Serwis nie jest skierowany do osób poniżej 16. roku życia i Administrator nie zbiera świadomie danych takich osób.

3. Cele i podstawy prawne przetwarzania

Cel	Podstawa prawna	Okres przechowywania
Założenie i prowadzenie konta użytkownika, świadczenie usług Serwisu (m.in. obserwowane fundusze)	Art. 6 ust. 1 lit. b RODO – wykonanie umowy o świadczenie usług drogą elektroniczną	Do czasu usunięcia konta przez użytkownika lub po 12 miesiącach nieaktywności (brak logowania) – z zastrzeżeniem pkt 6 poniżej
Obsługa logowania, w tym przez Google OAuth, oraz odzyskiwanie hasła (e-maile transakcyjne)	Art. 6 ust. 1 lit. b RODO	Jak wyżej
Zapewnienie bezpieczeństwa, wykrywanie nadużyć, diagnostyka błędów (logi serwera)	Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora	Standardowo do 12 miesięcy w logach dostawcy hostingu
Obsługa zapytań przesyłanych e-mailem	Art. 6 ust. 1 lit. f RODO – odpowiedź na zapytanie	Do czasu zakończenia korespondencji, a następnie do 3 lat (przedawnienie roszczeń)
Ustalenie, dochodzenie i obrona przed roszczeniami	Art. 6 ust. 1 lit. f RODO	Do upływu terminu przedawnienia roszczeń (zwykle do 6 lat)
Analityka korzystania z Serwisu i nagrania sesji (PostHog) – wyłącznie po wyrażeniu zgody	Art. 6 ust. 1 lit. a RODO – Twoja zgoda	Do czasu wycofania zgody lub wygaśnięcia ciasteczka (do 12 miesięcy)
Wysyłka komunikacji marketingowej (newsletter: aktualizacje produktu, materiały edukacyjne/marketingowe)	Art. 6 ust. 1 lit. a RODO – Twoja zgoda	Do czasu wycofania zgody (link „unsubscribe” w mailu lub przełącznik w ustawieniach konta)
Realizacja płatności (subskrypcja Premium, paczki punktów AI)	Art. 6 ust. 1 lit. b RODO – wykonanie umowy	W okresie trwania umowy oraz do upływu terminu przedawnienia roszczeń
Obowiązki podatkowe i rachunkowe związane z płatnościami	Art. 6 ust. 1 lit. c RODO – obowiązek prawny	Standardowo 5 lat od końca roku podatkowego
Świadczenie funkcji asystenta AI (przetwarzanie zapytań przez model językowy OpenAI)	Art. 6 ust. 1 lit. b RODO – wykonanie umowy	Do czasu usunięcia czatu lub konta użytkownika
Cookies marketingowe (jeśli zostaną w przyszłości włączone)	Art. 6 ust. 1 lit. a RODO – Twoja zgoda	Do czasu wycofania zgody lub wygaśnięcia ciasteczka

4. Odbiorcy danych i podmioty przetwarzające

Aby świadczyć usługi Serwisu, korzystamy z zaufanych dostawców, którzy przetwarzają dane wyłącznie na nasze polecenie, na podstawie umów powierzenia przetwarzania (art. 28 RODO):

Supabase Inc. – baza danych, uwierzytelnianie, wysyłka transakcyjnych wiadomości e-mail. Dane Serwisu hostowane są w regionie UE-West (Irlandia).
Netlify, Inc. – hosting i serwerowe renderowanie Serwisu. Netlify ma siedzibę w USA, co może wiązać się z transferem danych poza Europejski Obszar Gospodarczy (zob. pkt 5).
Google Ireland Limited – obsługa logowania przez Google (Google OAuth).
PostHog Inc. (chmura UE, Frankfurt) – analityka korzystania z Serwisu, nagrania sesji (zanonimizowane interakcje w interfejsie) i heatmapy. Dane są przekazywane do PostHog wyłącznie po wyrażeniu przez Ciebie zgody na cookies analityczne; bez zgody PostHog nie jest inicjalizowany i nie zbiera żadnych informacji. Dane przetwarzane są w regionie UE (eu.i.posthog.com).
EOD Historical Data (EODHD) – płatny dostawca danych rynkowych o funduszach ETF. EODHD nie otrzymuje od nas Twoich danych osobowych – jest źródłem danych o instrumentach finansowych, a nie odbiorcą danych użytkowników.
Resend, Inc. (USA) – wysyłka newslettera i wiadomości marketingowych (aktualizacje produktu, materiały edukacyjne/marketingowe). Przekazujemy: adres e-mail, preferencje newslettera, język. Transfer danych do USA odbywa się na podstawie standardowych klauzul umownych (SCC).
Stripe Payments Europe, Ltd. (Irlandia) / Stripe, Inc. (USA) – operator płatności kartą, obsługa subskrypcji Premium i jednorazowych zakupów punktów AI. Pełne dane karty płatniczej pozostają u Stripe; Serwis nie przechowuje numerów kart (jesteśmy poza zakresem PCI DSS).
OpenAI Ireland Ltd. / OpenAI, OpCo, LLC (USA) – dostawca modelu językowego asystenta AI i wyszukiwania semantycznego. Treść Twoich zapytań oraz kontekst (dane ETF) są przekazywane do OpenAI wyłącznie w celu wygenerowania odpowiedzi. Zgodnie z umową OpenAI API dane API nie są używane do trenowania modeli (polityka danych OpenAI). Transfery na podstawie SCC oraz DPA OpenAI.

Dane mogą być również udostępniane podmiotom uprawnionym na podstawie obowiązujących przepisów prawa (np. organom państwowym na ich żądanie).

5. Przekazywanie danych poza EOG

Część naszych dostawców (w szczególności Netlify, Google, Resend oraz OpenAI) ma siedzibę w Stanach Zjednoczonych, co może powodować transfer danych poza Europejski Obszar Gospodarczy. PostHog ma siedzibę w USA, jednak dane Serwisu kierujemy wyłącznie do jego chmury w regionie UE (Frankfurt). Stripe przetwarza dane płatności w ramach Stripe Payments Europe, Ltd. (Irlandia), z możliwością transferu do USA w ramach grupy Stripe. Transfery te odbywają się z zachowaniem mechanizmów zabezpieczających przewidzianych w RODO, tj.:

na podstawie decyzji Komisji Europejskiej o odpowiednim stopniu ochrony – EU-U.S. Data Privacy Framework, lub
na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO),

wraz z dodatkowymi środkami technicznymi i organizacyjnymi. Kopię stosowanych zabezpieczeń możesz otrzymać, kontaktując się z nami na adres [email protected].

6. Okres przechowywania danych

Dane konta przechowujemy do czasu usunięcia konta przez użytkownika lub – w przypadku braku logowania – przez okres 12 miesięcy nieaktywności, po którym konto może zostać usunięte. Po usunięciu konta część danych może być nadal przetwarzana w zakresie niezbędnym do ustalenia, dochodzenia lub obrony przed roszczeniami, nie dłużej jednak niż przez okres przedawnienia roszczeń (co do zasady do 6 lat). Logi techniczne dostawcy hostingu są przechowywane zgodnie z jego polityką, standardowo do 12 miesięcy.

7. Twoje prawa

Zgodnie z RODO przysługują Ci następujące prawa:

prawo dostępu do danych (art. 15 RODO),
prawo do sprostowania danych (art. 16 RODO),
prawo do usunięcia danych („prawo do bycia zapomnianym”, art. 17 RODO),
prawo do ograniczenia przetwarzania (art. 18 RODO),
prawo do przenoszenia danych (art. 20 RODO),
prawo do sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie (art. 21 RODO),
prawo do cofnięcia zgody w dowolnym momencie, jeżeli przetwarzanie odbywa się na podstawie zgody (art. 7 ust. 3 RODO) – bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem,
prawo wniesienia skargi do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Wnioski w sprawach związanych z realizacją powyższych praw można kierować na adres [email protected]. Administrator odpowiada bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania żądania.

8. Zautomatyzowane podejmowanie decyzji i profilowanie

Administrator nie podejmuje wobec użytkowników decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie wpływały na użytkownika (art. 22 RODO). Asystent AI generuje wyłącznie odpowiedzi informacyjno-edukacyjne — nie podejmuje decyzji inwestycyjnych ani innych decyzji wywołujących skutki prawne w Twoim imieniu. Twoje dane nie są wykorzystywane do trenowania modeli sztucznej inteligencji przez Administratora; zapytania do asystenta AI są przekazywane do OpenAI wyłącznie w celu wygenerowania odpowiedzi, zgodnie z polityką danych OpenAI API.

9. Bezpieczeństwo danych

Stosujemy odpowiednie środki techniczne i organizacyjne mające na celu ochronę danych przed nieuprawnionym dostępem, utratą lub zniszczeniem. Komunikacja z Serwisem odbywa się z wykorzystaniem szyfrowania TLS (HTTPS), a hasła użytkowników są przechowywane wyłącznie w postaci skrótów (hashy).

10. Pliki cookies i podobne technologie

Serwis korzysta z plików cookies (tzw. „ciasteczek”) – małych plików tekstowych zapisywanych w urządzeniu końcowym użytkownika. Stosujemy następujące kategorie cookies:

Niezbędne – konieczne do prawidłowego działania Serwisu, w szczególności do utrzymania sesji zalogowanego użytkownika (cookies Supabase Auth) oraz zapamiętania preferencji (np. motyw jasny/ciemny, język). Te cookies nie wymagają zgody (art. 173 ust. 3 pkt 2 Prawa telekomunikacyjnego / art. 6 ust. 1 lit. f RODO).
Analityczne (PostHog) – stosowane wyłącznie po wyrażeniu zgody w bannerze cookies. Pozwalają nam mierzyć ruch, sposób korzystania z Serwisu (np. kliknięte przyciski, otwierane panele) oraz prowadzić nagrania sesji i heatmapy – w celu wykrywania błędów UX i ulepszania Serwisu. Pola formularzy (m.in. hasło, e-mail) są maskowane. Dane trafiają do chmury PostHog w regionie UE.
Marketingowe (planowane w przyszłości) – aktualnie nie są używane. Będą wymagały odrębnej zgody.

Zgodę na cookies analityczne i marketingowe możesz w dowolnej chwili wycofać klikając w link „Ustawienia cookies” w stopce lub czyszcząc dane przeglądarki. Wycofanie zgody powoduje, że PostHog przestaje zbierać dane (opt-out). Większość przeglądarek umożliwia również samodzielne zarządzanie cookies w ustawieniach.

11. Preferencje e-mail i wycofanie zgody

Zgodę na otrzymywanie newslettera (aktualizacje produktu, materiały edukacyjne/marketingowe) możesz wycofać w dowolnej chwili:

przełącznikiem w Ustawienia konta → Preferencje e-mail,
linkiem „unsubscribe” w stopce każdej wiadomości mailingowej,
wysyłając wniosek na adres [email protected].

Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed cofnięciem (art. 7 ust. 3 RODO).

12. Zmiany polityki

Administrator zastrzega sobie prawo do zmiany niniejszej Polityki prywatności. O istotnych zmianach użytkownicy zostaną poinformowani w Serwisie lub drogą e-mailową. Aktualna wersja Polityki wraz z datą wejścia w życie jest dostępna pod adresem /privacy-policy.

Wersja z dnia 25 maja 2026.

Privacy & Cookie Policy

Effective date: May 25, 2026

We care about the privacy of users of the SimpleInvesting service (the “Service”), available at simpleinvesting.org. This policy describes what personal data we collect, for what purposes and on what legal basis, as well as your rights under Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 (the “GDPR”).

1. Data Controller

The controller of your personal data is:

DOCEO Mateusz Głasek

ul. Sadowa 12, 05-430 Glina, gm. Celestynów, otwocki county, Mazovian voivodeship, Poland (European Union)

Tax ID (NIP): 5322088322, Statistical number (REGON): 385987479

E-delivery address: AE:PL-60036-64952-UJFUG-16

Contact: [email protected]

The Controller has not appointed a Data Protection Officer. For any matter related to the processing of your personal data, please contact the Controller directly at the e-mail address above.

2. Scope of data we collect

When you use the Service, we may process the following data:

Account data – e-mail address and password (stored only as a cryptographic hash).
Google sign-in data – if you use Google OAuth, we receive your e-mail address and Google account identifier; we do not receive your password or other Google account data.
Service usage data – in particular the list of ETFs you have added to your watchlist, and AI assistant conversation history (content of your queries and model responses, timestamps).
Marketing subscription data – e-mail address, newsletter preferences (product updates, educational/marketing materials), language, Resend contact identifier, subscription or unsubscribe timestamp.
Payment data – Stripe customer ID, Premium subscription status, AI credit purchase history. Full payment card details are not stored by the Service — they are handled by Stripe.
Technical data – IP address, browser type, operating system, visit time, error information – processed in hosting logs to ensure security and proper operation of the Service.
Correspondence data – content of messages you send to us and the sender’s e-mail address.

Providing data is voluntary but necessary in order to create an account and use features requiring authentication. The Service is not directed at persons under 16 years of age, and the Controller does not knowingly collect their data.

3. Purposes and legal bases

Purpose	Legal basis	Retention period
Creation and operation of the user account, provision of Service features (e.g. watchlist)	Art. 6(1)(b) GDPR – performance of a contract for electronic services	Until account deletion by the user or 12 months of inactivity (see Section 6)
Authentication (including Google OAuth) and password recovery transactional e-mails	Art. 6(1)(b) GDPR	As above
Security, abuse detection, error diagnostics (server logs)	Art. 6(1)(f) GDPR – legitimate interest of the Controller	Typically up to 12 months in hosting provider logs
Handling enquiries sent by e-mail	Art. 6(1)(f) GDPR	Until correspondence is concluded, then up to 3 years (limitation of claims)
Establishment, exercise or defence of legal claims	Art. 6(1)(f) GDPR	Until expiry of the limitation period (typically up to 6 years)
Service usage analytics and session replays (PostHog) – only with your consent	Art. 6(1)(a) GDPR – your consent	Until consent is withdrawn or the cookie expires (up to 12 months)
Marketing communications (newsletter: product updates, educational/marketing materials)	Art. 6(1)(a) GDPR – your consent	Until consent is withdrawn (“unsubscribe” link in e-mail or toggle in account settings)
Payment processing (Premium subscription, AI credit packs)	Art. 6(1)(b) GDPR – performance of a contract	For the duration of the contract and until expiry of the limitation period for claims
Tax and accounting obligations related to payments	Art. 6(1)(c) GDPR – legal obligation	Typically 5 years from the end of the tax year
AI assistant features (processing queries via the OpenAI language model)	Art. 6(1)(b) GDPR – performance of a contract	Until the chat or user account is deleted
Marketing cookies (if enabled in the future)	Art. 6(1)(a) GDPR – your consent	Until consent is withdrawn or the cookie expires

4. Recipients and processors

To operate the Service, we use the following trusted providers, which process data solely on our behalf under data processing agreements (Art. 28 GDPR):

Supabase Inc. – database, authentication, transactional e-mail delivery. The Service’s data is hosted in the EU-West (Ireland) region.
Netlify, Inc. – hosting and server-side rendering. Netlify is based in the United States, which may involve transfers outside the European Economic Area (see Section 5).
Google Ireland Limited – Google OAuth sign-in.
PostHog Inc. (EU cloud, Frankfurt) – product analytics, session replays (anonymised interface interactions) and heatmaps. Data is sent to PostHog only after you give consent to analytical cookies; without consent PostHog is not initialised and collects nothing. Data is processed in the EU region (eu.i.posthog.com).
EOD Historical Data (EODHD) – a paid market data provider for ETFs. EODHD does not receive any of your personal data – it is a source of financial instrument data, not a recipient of user data.
Resend, Inc. (USA) – newsletter and marketing e-mails (product updates, educational/marketing materials). We pass: e-mail address, newsletter preferences, language. Transfers to the USA are based on Standard Contractual Clauses (SCC).
Stripe Payments Europe, Ltd. (Ireland) / Stripe, Inc. (USA) – card payment operator, Premium subscription and one-off AI credit purchases. Full card details remain with Stripe; the Service does not store card numbers (we are outside the scope of PCI DSS).
OpenAI Ireland Ltd. / OpenAI, OpCo, LLC (USA) – language model provider for the AI assistant and semantic search. The content of your queries and context (ETF data) is passed to OpenAI solely to generate a response. Under the OpenAI API agreement, API data is not used to train models (OpenAI data policy). Transfers are based on SCC and OpenAI’s DPA.

Data may also be disclosed to authorities entitled to receive it under applicable law (e.g. upon their lawful request).

5. International data transfers

Some of our providers (in particular Netlify, Google, Resend and OpenAI) are based in the United States, which may result in transfers of personal data outside the European Economic Area. PostHog is based in the U.S., but Service data is sent exclusively to its EU cloud (Frankfurt). Stripe processes payment data through Stripe Payments Europe, Ltd. (Ireland), with possible transfers to the USA within the Stripe group. Such transfers are carried out with safeguards required by the GDPR:

on the basis of the European Commission’s adequacy decision – the EU-U.S. Data Privacy Framework, or
on the basis of Standard Contractual Clauses (SCC) approved by the European Commission (Art. 46(2)(c) GDPR),

together with additional technical and organisational measures. A copy of the applicable safeguards can be obtained by contacting us at [email protected].

6. Retention

Account data is retained until you delete your account or – in the absence of any sign-in – for 12 months of inactivity, after which the account may be deleted. After account deletion, certain data may still be processed to the extent necessary for the establishment, exercise or defence of legal claims, however no longer than the applicable limitation period (generally up to 6 years). Technical logs of the hosting provider are retained in accordance with its policy, typically up to 12 months.

7. Your rights

Under the GDPR you have the following rights:

right of access (Art. 15 GDPR),
right to rectification (Art. 16 GDPR),
right to erasure / “to be forgotten” (Art. 17 GDPR),
right to restriction of processing (Art. 18 GDPR),
right to data portability (Art. 20 GDPR),
right to object to processing based on legitimate interests (Art. 21 GDPR),
right to withdraw consent at any time, where processing is based on consent (Art. 7(3) GDPR), without affecting the lawfulness of processing carried out before withdrawal,
right to lodge a complaint with the supervisory authority – in Poland the President of the Personal Data Protection Office, ul. Stawki 2, 00-193 Warsaw, uodo.gov.pl.

Requests in connection with the exercise of the above rights can be sent to [email protected]. The Controller responds without undue delay and in any case within one month of receiving the request.

8. Automated decision-making and profiling

The Controller does not carry out solely automated decision-making, including profiling, that would produce legal effects or similarly significantly affect the user (Art. 22 GDPR). The AI assistant generates informational and educational responses only — it does not make investment or other decisions that produce legal effects on your behalf. Your data is not used by the Controller to train artificial intelligence models; queries to the AI assistant are passed to OpenAI solely to generate a response, in accordance with the OpenAI API data policy.

9. Security

We apply appropriate technical and organisational measures to protect data against unauthorised access, loss or destruction. Communication with the Service is encrypted using TLS (HTTPS), and user passwords are stored only as cryptographic hashes.

10. Cookies and similar technologies

The Service uses cookies – small text files stored on the user’s device. We use the following categories:

Strictly necessary – required for the proper operation of the Service, in particular to maintain authenticated sessions (Supabase Auth cookies) and to remember preferences (e.g. light/dark theme, language). These do not require consent (Art. 6(1)(f) GDPR / Art. 173(3)(2) of the Polish Telecommunications Act).
Analytical (PostHog) – used only after your consent in the cookie banner. They let us measure traffic, how the Service is used (e.g. clicked buttons, opened panels), and to capture session replays and heatmaps – in order to detect UX issues and improve the Service. Form fields (including passwords and e-mail) are masked. Data is sent to the PostHog EU cloud.
Marketing (planned in the future) – currently not used. They will require separate consent.

You may withdraw consent to analytical and marketing cookies at any time by clicking the “Cookie settings” link in the footer or by clearing your browser data. Withdrawing consent opts you out of PostHog data collection.

11. Email preferences and withdrawal of consent

You may withdraw consent to receive the newsletter (product updates, educational/marketing materials) at any time:

via toggles in Account settings → Email preferences,
via the “unsubscribe” link in the footer of each marketing e-mail,
by sending a request to [email protected].

Withdrawal of consent does not affect the lawfulness of processing carried out before withdrawal (Art. 7(3) GDPR).

12. Changes to this policy

The Controller reserves the right to amend this Privacy Policy. Users will be informed about material changes in the Service or via e-mail. The current version, together with its effective date, is available at /privacy-policy.

Version of May 25, 2026.