Privacy Policy

content-studio-app (Meta App ID 1575434680801761) · Data controller: INNFOOD sp. z o.o., ul. Stefana Kisielewskiego 1, 38-400 Krosno, Poland, National Court Register (KRS) 0000533594, VAT ID (NIP) PL6842639616, REGON 360234897 · Contact: privacy@innfood.pl · Effective date: 17 July 2026

1. Who we are and what the app does

Content Studio (content-studio-app) is an internal tool of INNFOOD used to create, plan and publish content to INNFOOD's own brand social media accounts (Allefood, Latające Słoiki, Centrum Dietetyczne Intumi) on Facebook, Instagram, TikTok and YouTube, and to run marketing activities (newsletter, SMS, lead-generation quizzes). It is not a public service offered to third parties.

2. Data we process

3. How we collect it

Social account data is obtained when an authorised user knowingly connects an account via the platform's OAuth flow and grants specific permissions. Marketing data is provided by the person themselves (newsletter sign-up, quiz) with consent.

4. Purposes and legal bases (GDPR)

We do not use platform API data for third-party profiling and we do not sell it.

5. Platform compliance

6. Storage and security

Data is stored on infrastructure in the EU (Hetzner, Germany). Social account tokens are held in a database on a dedicated, isolated (DMZ) server reachable only over a private network (no public access to the admin panel), with access limited to authorised personnel. Application-side integration API keys are encrypted (AES-GCM). User passwords are stored as a hash (scrypt). Backups are encrypted and kept under a 3-2-1 rotation.

7. Recipients / processors (sub-processors)

We share data only with entities acting on our behalf, to the extent needed to run the service (confirm/complete this list):

Transfers outside the EEA (e.g. Anthropic, fal.ai) rely on Standard Contractual Clauses / the Data Privacy Framework where applicable. We do not sell data.

8. Retention

9. Data deletion (how to request)

To delete your data: disconnect the channel in the app (removes that channel's tokens), or email privacy@innfood.pl — we will action the request within 30 days (subject to the backup period, §8). This section constitutes the Data Deletion Instructions required by Meta. If a Data Deletion Callback URL is implemented, add it here.

10. Your rights (GDPR)

Right of access, rectification, erasure, restriction, objection, data portability, and to withdraw consent at any time. Contact: privacy@innfood.pl. You may lodge a complaint with the Polish DPA (UODO).

11. Changes

We may update this Policy; material changes will be announced at this URL with a new effective date.

Polityka Prywatności

content-studio-app (Meta App ID 1575434680801761) · Administrator danych: INNFOOD sp. z o.o., ul. Stefana Kisielewskiego 1, 38-400 Krosno, KRS 0000533594 (Sąd Rejonowy w Rzeszowie, XII Wydział Gospodarczy KRS), NIP 6842639616, REGON 360234897, kapitał zakładowy 100 000,00 zł · Kontakt: privacy@innfood.pl · Data wejścia w życie: 17 lipca 2026

1. Kim jesteśmy i do czego służy aplikacja

Content Studio (content-studio-app) to wewnętrzne narzędzie INNFOOD do tworzenia, planowania i publikowania treści na własnych kontach social media marek INNFOOD (Allefood, Latające Słoiki, Centrum Dietetyczne Intumi) na Facebooku, Instagramie, TikToku i YouTube, oraz do działań marketingowych (newsletter, SMS, quizy lead-generacyjne). Nie jest publiczną usługą świadczoną osobom trzecim.

2. Jakie dane przetwarzamy

3. Jak pozyskujemy dane

Dane kont social media pozyskujemy, gdy uprawniony użytkownik świadomie łączy konto przez OAuth danej platformy i udziela zgody na konkretne uprawnienia. Dane marketingowe — gdy osoba sama je poda (zapis do newslettera, quiz) i wyrazi zgodę.

4. Cele i podstawy prawne (RODO)

Nie wykorzystujemy danych z API platform do profilowania osób trzecich i ich nie sprzedajemy.

5. Zgodność z zasadami platform

6. Przechowywanie i bezpieczeństwo

Dane przechowujemy na infrastrukturze w UE (Hetzner, Niemcy). Tokeny kont social media trzymamy w bazie na wydzielonym, izolowanym serwerze (DMZ) dostępnym wyłącznie przez sieć prywatną (bez publicznego dostępu do panelu), z ograniczeniem dostępu do uprawnionych osób. Klucze API integracji po stronie aplikacji są szyfrowane (AES-GCM). Hasła przechowujemy w postaci skrótu (scrypt). Kopie zapasowe są szyfrowane, w rotacji 3-2-1.

7. Odbiorcy / podmioty przetwarzające

Dane udostępniamy wyłącznie podmiotom działającym w naszym imieniu, w niezbędnym zakresie (potwierdzić/uzupełnić listę):

Przekazania poza EOG (np. Anthropic, fal.ai) opierają się o standardowe klauzule umowne / Data Privacy Framework, o ile ma zastosowanie. Nie sprzedajemy danych.

8. Okres przechowywania

9. Usuwanie danych (jak zażądać)

Aby usunąć dane: odłącz kanał w aplikacji (usuwa tokeny tego kanału) lub napisz na privacy@innfood.pl — zrealizujemy żądanie w ciągu 30 dni (z zastrzeżeniem okresu kopii zapasowych, §8). Ta sekcja stanowi instrukcję usuwania danych wymaganą przez Meta. Jeśli wdrożycie Data Deletion Callback URL — dopiszcie go tutaj.

10. Twoje prawa (RODO)

Prawo dostępu, sprostowania, usunięcia, ograniczenia, sprzeciwu, przenoszenia danych oraz cofnięcia zgody w dowolnym momencie. Kontakt: privacy@innfood.pl. Przysługuje skarga do Prezesa UODO.

11. Zmiany

Możemy aktualizować tę Politykę; istotne zmiany ogłosimy pod tym adresem URL z nową datą wejścia w życie.