v2.0 EN

Privacy Policy

Effective date: April 3, 2026

Privacy Policy

Effective date: March 26, 2026

1. Data Controller

1.1. The Data Controller for personal data processed in connection with Platform Account management is Hanza Group, with its registered seat in Wroclaw, Poland (“we”, “us”, “Hanza Group”).

1.2. For Contact data uploaded by Users (email lists, subscriber data), the User is the Data Controller and Hanza Group acts as the Data Processor under the terms of our Data Processing Agreement.

1.3. Contact for data protection matters: privacy@hanzabot.com

2. Legal Basis for Processing

We process personal data based on the following legal grounds under the GDPR:

  • Art. 6(1)(b) GDPR — performance of a contract: providing the Hanzabot platform services, managing your Account, processing payments, delivering email campaigns
  • Art. 6(1)(a) GDPR — your consent: marketing communications about Hanzabot, optional analytics cookies, personalised recommendations
  • Art. 6(1)(f) GDPR — our legitimate interests: platform security, fraud prevention, service improvement, usage analytics, enforcing Terms of Use
  • Art. 6(1)(c) GDPR — legal obligations: tax records, financial reporting, responding to lawful requests from authorities

3. What Data We Collect

3.1. Account data: name, email address, company name, password (stored as a bcrypt hash — we never store passwords in plain text), preferred language, timezone, role.

3.2. Contact lists: email addresses, names, custom fields, tags, and segmentation data uploaded by Users. This data is controlled by the User and processed by us on their behalf.

3.3. Campaign data: email templates, sending schedules, campaign statistics (opens, clicks, bounces, unsubscribes, complaints), A/B test variants.

3.4. Survey responses: answers submitted by respondents to surveys created by Users. This includes text responses, multiple-choice selections, ratings, and any other response data.

3.5. Tracking and engagement data: email open events, link click events, survey completion events, automation trigger events. IP addresses associated with these events are stored as SHA-256 hashes — never in plain text.

3.6. Usage analytics: login timestamps, features accessed, pages visited, session duration, API usage. This data helps us improve the Platform.

3.7. Payment data: transaction history, subscription type, billing frequency, payment method type. All payment card data is processed by Stripe — we never store card numbers, CVVs, or full card details.

3.8. Technical data: browser type and version, operating system, device type, screen resolution, referring URL. IP addresses are hashed with a tenant-specific salt.

3.9. Communication data: support tickets, feedback forms, bug reports, correspondence with our team.

4. Purpose of Processing

  • Providing, maintaining, and improving the Hanzabot platform
  • Account management, authentication, and authorisation
  • Processing payments and managing subscriptions
  • Sending email campaigns on behalf of Users (Data Processor role)
  • Collecting and storing survey responses on behalf of Users
  • Executing marketing automations configured by Users
  • Sending transactional emails (account verification, password resets, billing notices)
  • Sending marketing communications about Hanzabot (only with explicit consent)
  • Monitoring sending reputation, bounce rates, and complaint rates
  • Platform security, abuse prevention, and anti-spam enforcement
  • Analytics and usage reporting to improve the service
  • Fulfilling legal and regulatory obligations

5. Data Sharing and Processors

We share data with the following third-party processors, only as necessary to provide the Platform services:

  • Amazon Web Services (AWS) — SES: email sending infrastructure. Data processed in the EU (Frankfurt region). Subject to AWS GDPR Data Processing Addendum.
  • Hetzner Online GmbH: server hosting and infrastructure. Servers located in Germany (EU). Subject to Hetzner DPA.
  • Stripe, Inc.: payment processing. Stripe is certified under the EU-US Data Privacy Framework. Subject to Stripe DPA.

We do not sell, rent, or trade your personal data to any third party. We will only disclose data to law enforcement or regulatory authorities when required by law.

6. Cookies and Tracking Technologies

6.1. Essential cookies (always active): session management, CSRF protection, authentication tokens, language preferences. These are necessary for the Platform to function and cannot be disabled.

6.2. Analytics cookies (require consent): used to understand how the Platform is used, identify popular features, and detect issues. We use privacy-focused analytics.

6.3. Preference cookies (require consent): store display preferences, dashboard layout choices, and other user interface settings beyond basic language selection.

6.4. You can manage cookie preferences through our cookie consent banner or by adjusting your browser settings. Disabling essential cookies may prevent the Platform from functioning correctly.

6.5. Email tracking pixels: when a User sends a campaign, the Platform may embed a tracking pixel to measure open rates. This tracking is a feature provided to Users (Data Controllers) and is subject to the User’s own privacy policy for their subscribers.

7. Data Retention

  • Account data: retained while your Account is active, plus 30 days after Account deletion for data export purposes. After 30 days, permanently deleted.
  • Contact lists and campaign data: retained while the Account is active. Permanently deleted within 30 days of Account termination.
  • Survey responses: retained while the Account is active. Users may delete individual survey responses at any time.
  • Payment records: retained for 5 years after the transaction date to comply with Polish tax and accounting regulations.
  • Consent records (opt-in logs): retained for 3 years after the consent was last active, as evidence of lawful processing.
  • Support correspondence: retained for 2 years after the last interaction.
  • Usage analytics (anonymised): aggregated, non-identifiable analytics data may be retained indefinitely for product improvement.
  • Security logs: retained for 12 months for fraud prevention and security audit purposes.

8. Your Rights Under GDPR

Under the General Data Protection Regulation, you have the following rights:

  • Right of access (Art. 15) — request a copy of your personal data and information about how it is processed
  • Right to rectification (Art. 16) — correct inaccurate or incomplete personal data
  • Right to erasure (Art. 17) — request deletion of your personal data (“right to be forgotten”), subject to legal retention obligations
  • Right to restriction (Art. 18) — restrict processing in certain circumstances (e.g., while a complaint is being investigated)
  • Right to data portability (Art. 20) — receive your data in a structured, commonly used, machine-readable format (JSON or CSV)
  • Right to object (Art. 21) — object to processing based on legitimate interests or for direct marketing purposes
  • Right to withdraw consent (Art. 7) — withdraw consent at any time, without affecting the lawfulness of processing based on consent before withdrawal
  • Right to lodge a complaint — file a complaint with your local supervisory authority

To exercise these rights, contact: privacy@hanzabot.com. We will respond within 30 days. In complex cases, the response period may be extended by an additional 60 days, with prior notification.

9. International Data Transfers

9.1. Your data is primarily stored and processed within the European Union (Hetzner, Germany; AWS Frankfurt).

9.2. Where data is transferred outside the EEA (e.g., Stripe in the USA), such transfers are protected by: (a) adequacy decisions by the European Commission; (b) Standard Contractual Clauses (SCCs); (c) the EU-US Data Privacy Framework certification where applicable.

9.3. We do not transfer data to countries without adequate data protection safeguards unless one of the mechanisms above is in place.

10. Data Security

We implement appropriate technical and organisational measures to protect personal data, including:

  • Encryption in transit (TLS 1.2+) and at rest (AES-256)
  • Password hashing using bcrypt with appropriate cost factor
  • IP address hashing with tenant-specific salts (SHA-256)
  • Role-based access control within the Platform
  • Regular security audits and vulnerability assessments
  • Encrypted database backups with 30-day retention
  • Server hosting within the EU with SOC 2 and ISO 27001 certified providers
  • Monitoring for suspicious activity and automated threat response

11. Children’s Privacy

The Platform is not intended for use by individuals under 18 years of age. We do not knowingly collect personal data from children. If we become aware that we have collected data from a person under 18, we will take steps to delete it promptly.

12. Automated Decision-Making

12.1. The Platform uses automated systems to monitor sending reputation, detect spam patterns, and enforce bounce/complaint thresholds. These systems may automatically pause sending capabilities if thresholds are exceeded.

12.2. You have the right to request human review of any automated decision that significantly affects you. Contact support@hanzabot.com to request a review.

13. Data Processing Agreement (DPA)

13.1. When Users upload Contact data (email lists, subscriber information), they act as Data Controllers and Hanza Group acts as the Data Processor.

13.2. A Data Processing Agreement is available upon request and outlines: sub-processors used, security measures, data breach notification procedures, data deletion upon contract termination, and audit rights.

13.3. To request a copy of the DPA, contact: legal@hanzabot.com

14. Supervisory Authority

If you believe your data protection rights have been violated, you have the right to lodge a complaint with your local supervisory authority. For users in Poland:

Prezes Urzedu Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warszawa, Poland
uodo.gov.pl

15. Changes to This Privacy Policy

15.1. We may update this Privacy Policy from time to time to reflect changes in our practices, technology, legal requirements, or other factors.

15.2. Material changes will be communicated via email at least 14 days before they take effect. Minor changes (clarifications, formatting) may be made without prior notice.

15.3. The “Effective date” at the top of this policy indicates the date of the latest version.

Contact: privacy@hanzabot.com

Hanza Group · Wroclaw, Poland · hanzabot.com

Polityka Prywatnosci

Data wejscia w zycie: 26 marca 2026

1. Administrator danych

1.1. Administratorem danych osobowych przetwarzanych w zwiazku z zarzadzaniem Kontem na Platformie jest Hanza Group z siedziba we Wroclawiu, Polska („my”, „nas”, „Hanza Group”).

1.2. W odniesieniu do danych Kontaktow przesylanych przez Uzytkownikow (listy e-mail, dane subskrybentow), Uzytkownik jest Administratorem Danych, a Hanza Group pelni role Podmiotu Przetwarzajacego na podstawie Umowy Powierzenia Przetwarzania Danych.

1.3. Kontakt w sprawach ochrony danych: privacy@hanzabot.com

2. Podstawa prawna przetwarzania

Przetwarzamy dane osobowe na nastepujacych podstawach prawnych RODO:

  • Art. 6 ust. 1 lit. b) RODO — wykonanie umowy: swiadczenie uslug platformy Hanzabot, zarzadzanie Kontem, przetwarzanie platnosci, dostarczanie kampanii e-mail
  • Art. 6 ust. 1 lit. a) RODO — zgoda: komunikacja marketingowa o Hanzabot, opcjonalne pliki cookie analityczne, spersonalizowane rekomendacje
  • Art. 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes: bezpieczenstwo platformy, zapobieganie oszustwom, doskonalenie uslugi, analityka uzytkowania, egzekwowanie Regulaminu
  • Art. 6 ust. 1 lit. c) RODO — obowiazki prawne: dokumentacja podatkowa, sprawozdawczosc finansowa, odpowiadanie na zgodne z prawem zadania organow

3. Jakie dane zbieramy

3.1. Dane konta: imie i nazwisko, adres e-mail, nazwa firmy, haslo (przechowywane jako hash bcrypt — nigdy nie przechowujemy hasel w postaci jawnej), preferowany jezyk, strefa czasowa, rola.

3.2. Listy kontaktow: adresy e-mail, imiona, pola niestandardowe, tagi i dane segmentacji przesylane przez Uzytkownikow. Dane te sa kontrolowane przez Uzytkownika i przetwarzane przez nas w jego imieniu.

3.3. Dane kampanii: szablony e-maili, harmonogramy wysylki, statystyki kampanii (otwarcia, klikniecia, zwroty, rezygnacje, skargi), warianty testow A/B.

3.4. Odpowiedzi na ankiety: odpowiedzi przeslane przez respondentow do ankiet utworzonych przez Uzytkownikow. Obejmuje to odpowiedzi tekstowe, wybory wielokrotne, oceny i wszelkie inne dane odpowiedzi.

3.5. Dane sledzenia i zaangazowania: zdarzenia otwarcia e-maili, zdarzenia klikniecia linkow, zdarzenia ukonczenia ankiet, zdarzenia wyzwalania automatyzacji. Adresy IP powiazane z tymi zdarzeniami sa przechowywane jako hashe SHA-256 — nigdy w postaci jawnej.

3.6. Analityka uzytkowania: znaczniki czasu logowania, wykorzystywane funkcje, odwiedzane strony, czas trwania sesji, uzycie API. Dane te pomagaja nam ulepszac Platforme.

3.7. Dane platnicze: historia transakcji, typ subskrypcji, czestotliwosc rozliczen, typ metody platnosci. Wszystkie dane kart platniczych sa przetwarzane przez Stripe — nigdy nie przechowujemy numerow kart, kodow CVV ani pelnych danych kart.

3.8. Dane techniczne: typ i wersja przegladarki, system operacyjny, typ urzadzenia, rozdzielczosc ekranu, adres URL odsylajacy. Adresy IP sa hashowane z uzyciem soli specyficznej dla tenanta.

3.9. Dane komunikacyjne: zgloszenia wsparcia, formularze opinii, raporty o bledach, korespondencja z naszym zespolem.

4. Cel przetwarzania

  • Swiadczenie, utrzymanie i ulepszanie platformy Hanzabot
  • Zarzadzanie kontem, uwierzytelnianie i autoryzacja
  • Przetwarzanie platnosci i zarzadzanie subskrypcjami
  • Wysylanie kampanii e-mail w imieniu Uzytkownikow (rola Podmiotu Przetwarzajacego)
  • Zbieranie i przechowywanie odpowiedzi na ankiety w imieniu Uzytkownikow
  • Wykonywanie automatyzacji marketingowych skonfigurowanych przez Uzytkownikow
  • Wysylanie e-maili transakcyjnych (weryfikacja konta, reset hasla, powiadomienia rozliczeniowe)
  • Wysylanie komunikacji marketingowej o Hanzabot (wylacznie za wyrazna zgoda)
  • Monitorowanie reputacji wysylki, wskaznikow zwrotow i skarg
  • Bezpieczenstwo platformy, zapobieganie naduzuciom i egzekwowanie zasad antyspamowych
  • Analityka i raportowanie uzytkowania w celu doskonalenia uslugi
  • Wypelnianie obowiazkow prawnych i regulacyjnych

5. Udostepnianie danych i podmioty przetwarzajace

Udostepniamy dane nastepujacym podmiotom przetwarzajacym, wylacznie w zakresie niezbednym do swiadczenia uslug Platformy:

  • Amazon Web Services (AWS) — SES: infrastruktura wysylki e-mail. Dane przetwarzane w UE (region Frankfurt). Podlega Umowie Przetwarzania Danych AWS GDPR.
  • Hetzner Online GmbH: hosting serwerow i infrastruktura. Serwery zlokalizowane w Niemczech (UE). Podlega Umowie Przetwarzania Danych Hetzner.
  • Stripe, Inc.: przetwarzanie platnosci. Stripe jest certyfikowany w ramach EU-US Data Privacy Framework. Podlega Umowie Przetwarzania Danych Stripe.

Nie sprzedajemy, nie wynajmujemy ani nie wymieniamy danych osobowych z zadnymi podmiotami trzecimi. Ujawnimy dane organom scigania lub regulacyjnym wylacznie w przypadku wymogu prawnego.

6. Pliki cookie i technologie sledzenia

6.1. Niezbedne pliki cookie (zawsze aktywne): zarzadzanie sesja, ochrona CSRF, tokeny uwierzytelniania, preferencje jezykowe. Sa niezbedne do dzialania Platformy i nie moga byc wylaczone.

6.2. Analityczne pliki cookie (wymagaja zgody): sluza do zrozumienia, jak Platforma jest uzywana, identyfikowania popularnych funkcji i wykrywania problemow. Korzystamy z analityki dbalacej o prywatnosc.

6.3. Preferencyjne pliki cookie (wymagaja zgody): przechowuja preferencje wyswietlania, uklad panelu i inne ustawienia interfejsu uzytkownika wykraczajace poza podstawowy wybor jezyka.

6.4. Mozesz zarzadzac preferencjami plikow cookie za pomoca naszego banera zgody na pliki cookie lub zmieniajac ustawienia przegladarki. Wylaczenie niezbednych plikow cookie moze uniemozliwic prawidlowe dzialanie Platformy.

6.5. Piksele sledzace w e-mailach: gdy Uzytkownik wysyla kampanie, Platforma moze osadzic piksel sledzacy w celu pomiaru wskaznika otwarc. Sledzenie to jest funkcja udostepniana Uzytkownikom (Administratorom Danych) i podlega wlasnej polityce prywatnosci Uzytkownika wobec jego subskrybentow.

7. Okres przechowywania danych

  • Dane konta: przechowywane przez czas aktywnosci Konta, plus 30 dni po usunieciu Konta na potrzeby eksportu danych. Po 30 dniach trwale usuwane.
  • Listy kontaktow i dane kampanii: przechowywane przez czas aktywnosci Konta. Trwale usuwane w ciagu 30 dni od zamkniecia Konta.
  • Odpowiedzi na ankiety: przechowywane przez czas aktywnosci Konta. Uzytkownicy moga usuwac indywidualne odpowiedzi ankietowe w dowolnym momencie.
  • Dane platnicze: przechowywane przez 5 lat od daty transakcji zgodnie z polskimi przepisami podatkowymi i rachunkowymi.
  • Rejestry zgod (logi opt-in): przechowywane przez 3 lata od ostatniej aktywnosci zgody, jako dowod zgodnosci przetwarzania z prawem.
  • Korespondencja wsparcia: przechowywana przez 2 lata od ostatniej interakcji.
  • Analityka uzytkowania (zanonimizowana): zagregowane, nieidentyfikowalne dane analityczne moga byc przechowywane bezterminowo w celu doskonalenia produktu.
  • Logi bezpieczenstwa: przechowywane przez 12 miesiecy na potrzeby zapobiegania oszustwom i audytu bezpieczenstwa.

8. Twoje prawa na mocy RODO

Na podstawie Ogolnego Rozporzadzenia o Ochronie Danych przysluguja Ci nastepujace prawa:

  • Prawo dostepu (art. 15) — zadanie kopii swoich danych osobowych i informacji o sposobie ich przetwarzania
  • Prawo do sprostowania (art. 16) — poprawienie niedokladnych lub niekompletnych danych osobowych
  • Prawo do usuniecia (art. 17) — zadanie usuniecia danych osobowych („prawo do bycia zapomnianym”), z zastrzezeniem obowiazkow prawnych dotyczacych przechowywania
  • Prawo do ograniczenia (art. 18) — ograniczenie przetwarzania w okreslonych okolicznosciach (np. podczas rozpatrywania skargi)
  • Prawo do przenoszenia danych (art. 20) — otrzymanie danych w ustrukturyzowanym, powszechnie uzywanym formacie nadajacym sie do odczytu maszynowego (JSON lub CSV)
  • Prawo do sprzeciwu (art. 21) — sprzeciw wobec przetwarzania na podstawie prawnie uzasadnionego interesu lub w celach marketingu bezposredniego
  • Prawo do wycofania zgody (art. 7) — wycofanie zgody w dowolnym momencie, bez wplywu na zgodnosc z prawem przetwarzania dokonanego przed wycofaniem
  • Prawo do zlozenia skargi — zlozenie skargi do wlasciwego organu nadzorczego

Aby skorzystac z tych praw, skontaktuj sie: privacy@hanzabot.com. Odpowiemy w ciagu 30 dni. W zlozonych przypadkach okres odpowiedzi moze zostac przedluzony o dodatkowe 60 dni, z uprzednim powiadomieniem.

9. Miedzynarodowe transfery danych

9.1. Twoje dane sa przede wszystkim przechowywane i przetwarzane na terenie Unii Europejskiej (Hetzner, Niemcy; AWS Frankfurt).

9.2. W przypadku transferu danych poza EOG (np. Stripe w USA), transfery sa chronione przez: (a) decyzje Komisji Europejskiej o adekwatnosci; (b) Standardowe Klauzule Umowne (SCC); (c) certyfikacje EU-US Data Privacy Framework, gdzie ma to zastosowanie.

9.3. Nie przekazujemy danych do krajow bez odpowiednich zabezpieczen ochrony danych, chyba ze stosowany jest jeden z powyzszych mechanizmow.

10. Bezpieczenstwo danych

Stosujemy odpowiednie srodki techniczne i organizacyjne w celu ochrony danych osobowych, w tym:

  • Szyfrowanie w trakcie transmisji (TLS 1.2+) i w spoczynku (AES-256)
  • Hashowanie hasel przy uzyciu bcrypt z odpowiednim parametrem kosztu
  • Hashowanie adresow IP z uzyciem soli specyficznej dla tenanta (SHA-256)
  • Kontrola dostepu oparta na rolach w ramach Platformy
  • Regularne audyty bezpieczenstwa i oceny podatnosci
  • Zaszyfrowane kopie zapasowe bazy danych z 30-dniowym okresem przechowywania
  • Hosting serwerow w UE u dostawcow certyfikowanych SOC 2 i ISO 27001
  • Monitorowanie podejrzanej aktywnosci i automatyczna odpowiedz na zagrozenia

11. Prywatnosc dzieci

Platforma nie jest przeznaczona do uzytku przez osoby ponizej 18 roku zycia. Nie zbieramy swiadomie danych osobowych od dzieci. Jesli dowiemy sie, ze zebralismy dane od osoby ponizej 18 roku zycia, podejmiemy kroki w celu ich niezwlocznego usuniecia.

12. Zautomatyzowane podejmowanie decyzji

12.1. Platforma wykorzystuje zautomatyzowane systemy do monitorowania reputacji wysylki, wykrywania wzorow spamu i egzekwowania progow zwrotow/skarg. Systemy te moga automatycznie wstrzymac mozliwosc wysylki w przypadku przekroczenia progow.

12.2. Masz prawo zadania ludzkiej weryfikacji kazdej zautomatyzowanej decyzji, ktora istotnie Cie dotyczy. Skontaktuj sie z support@hanzabot.com, aby zadac weryfikacji.

13. Umowa Powierzenia Przetwarzania Danych (DPA)

13.1. Gdy Uzytkownicy przesylaja dane Kontaktow (listy e-mail, informacje o subskrybentach), dzialaja jako Administratorzy Danych, a Hanza Group dziala jako Podmiot Przetwarzajacy.

13.2. Umowa Powierzenia Przetwarzania Danych jest dostepna na zadanie i okreslacza: uzywane podpodmioty przetwarzajace, srodki bezpieczenstwa, procedury powiadamiania o naruszeniach danych, usuwanie danych po rozwiazaniu umowy oraz prawa do audytu.

13.3. Aby uzyskac kopie Umowy DPA, skontaktuj sie: legal@hanzabot.com

14. Organ nadzorczy

Jesli uważasz, ze Twoje prawa do ochrony danych zostaly naruszone, masz prawo zlozyc skarge do wlasciwego organu nadzorczego. Dla uzytkownikow w Polsce:

Prezes Urzedu Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warszawa, Polska
uodo.gov.pl

15. Zmiany w Polityce Prywatnosci

15.1. Mozemy okresowo aktualizowac niniejsza Polityke Prywatnosci w celu odzwierciedlenia zmian w naszych praktykach, technologii, wymogach prawnych lub innych czynnikach.

15.2. O istotnych zmianach poinformujemy e-mailem co najmniej 14 dni przed ich wejsciem w zycie. Drobne zmiany (precyzowanie, formatowanie) moga byc wprowadzane bez uprzedniego powiadomienia.

15.3. „Data wejscia w zycie” na poczatku niniejszej polityki wskazuje date najnowszej wersji.

Kontakt: privacy@hanzabot.com

Hanza Group · Wroclaw, Polska · hanzabot.com