Regulamin korzystania z otwartego API Pstryk

Administrator/Usługodawca: Bankilo Prosta Spółka Akcyjna z siedzibą w Warszawie, adres: 02-797 Warszawa, Franciszka Klimczaka 1, zarejestrowana w rejestrze przedsiębiorców prowadzonym przez Sąd Rejonowy Gdańsk-Północ w Gdańsku, VII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000953134, o kapitale zakładowym w wysokości 6 085 000,00 zł (wpłaconym w całości), NIP 584-280-30-38, dalej zwana „Bankilo”.

Cel regulaminu: Dokument określa zasady wydawania i korzystania z darmowego klucza API (dalej: „Darmowy Klucz”, „API”) do wyłącznego, prywatnaego i niekomercyjnego użytku w celu tworzenia niekomercyjnych integracji własnych z aplikacją Pstryk i jej usługami.

§ 1 Definicje

1. API: Interfejs programistyczny udostępniany przez Usługodawcę, umożliwiający integrację z aplikacją Pstryk wyłącznie w zakresie określonym w Regulaminie.

2. Darmowy Klucz: uprawnienie w postaci klucza umożliwiające dostęp do API i jego wykorzystywanie w planie darmowym

3. Użytkownik: Osoba fizyczna korzystająca z aplikacji PSTRYK na mocy ważnej umowy zawartej z Bankilo Obrót. S.A. I, jako uprawniony użytkownik występująca jako Konsument w rozumieniu art. 22(1) Kodeksu Cywilnego, Użytkownik niebędący Konsumentem będzie Użytkownikiem nieuprawnionym [patrz pkt 5 Cel Udostępnienia].

4. Użycie Niekomercyjne: Korzystanie z API wyłącznie przez Użytkownika, jako konsumenta, na własne, niekomercyjne i prywatne potrzeby, bez uzyskiwania jakiejkolwiek korzyści majątkowej, bez wykorzystania w ramach działalności gospodarczej lub zawodowej, bez udostępniania API lub jego wyników osobom trzecim w ramach jakiegokolwiek produktu, usługi lub serwisu oraz bez jakiejkolwiek formy monetyzacji (w tym bez reklam, sponsoringu, afiliacji, paywalla, mikropłatności, darowizn warunkujących dostęp). 

5. Cel Udostępnienia – Usługodawca udostępnia API i Darmowy Klucz wyłącznie w celu tworzenia niekomercyjnych integracji własnych z aplikacją Pstryk, umożliwiających połączenie prywatnych Urządzeń z aplikacją na wyłącznie osobisty, prywatny i niekomercyjny użytek Użytkownika. 

6. Niedozwolone Użycie: Każde użycie inne niż Użycie niekomercyjne, w szczególności użycie w ramach działalności gospodarczej (nawet na potrzeby wewnętrzne firmy), zawodowej, lub w celu tworzenia, wspierania czy świadczenia usług lub produktów dla osób trzecich.

7. Dane Osobowe: Dane w rozumieniu Rozporządzenia RODO.

§ 2 Akceptacja Regulaminu i Zmiany

1. Wydanie Darmowego Klucza wymaga uprzedniej akceptacji niniejszego Regulaminu. Akceptacja następuje poprzez zaznaczenie pola w formularzu generowania klucza API lub w panelu Użytkownika w aplikacji Pstryk:

a) „Oświadczam, że zapoznałem(am) się z Regulaminem i będę używać klucza API wyłącznie do celów niekomercyjnych i prywatnych zgodnie z Regulaminem korzystania z API.”

b) Każde korzystanie z API jest następnie uznawane za akceptację warunków Regulaminu.

2. Wydanie Klucza na rzecz Użytkownika jest równoznaczne ze złożeniem kategorycznego oświadczenia wskazanego w ust. 1 powyżej.

3. Złożenie fałszywego oświadczenia stanowi istotne naruszenie Regulaminu, i uprawnia Usługodawcę do natychmiastowego zablokowania klucza oraz dochodzenia odszkodowania na zasadach ogólnych.

4. Usługodawca może zmienić Regulamin z ważnych przyczyn (m.in. bezpieczeństwo, zgodność z prawem, zmiany funkcjonalne, zmiany w planach taryfowych). Zmiany wchodzą w życie po 14 dniach od poinformowania Użytkownika (e‑mail/panel). W takim przypadku Użytkownik ma prawo wypowiedzenia Umowy w zakresie API i w takim przypadku Użytkownik nie akceptujący zmian, zobowiązany jest niezwłocznie zaprzestać korzystania z API i usunąć Darmowy Klucz. Korzystanie z API po upływie 14 dni od daty poinformowania o zmianach oznacza ich akceptację.

§ 3 Licencja, Własność Intelektualna (IP) i Zakres Uprawnień

1. Użytkownik otrzymuje odwołalną, niewyłączną, nieprzenoszalną i bez prawa sublicencji licencję na dostęp do API, ściśle ograniczoną do celu tworzenia niekomercyjnych integracji własnych z aplikacją Pstryk, umożliwiających połączenie prywatnych urządzeń z aplikacją na wyłącznie osobisty, prywatny i niekomercyjny użytek Użytkownika. 

2. Klauzula Odpowiedzialności: Użytkownik (jako administrator lokalizacji) ponosi pełną odpowiedzialność za działania i zaniechania Domowników, którym dał dostęp do swojej lokalizacji w aplikacji Pstryk. Działania Domownika naruszające niniejszy Regulamin (np. udostępnienie klucza osobom trzecim, próby scrapingu) są traktowane jak działania samego Użytkownika i obciążają jego konto.

3. Użytkownik nie nabywa żadnych praw własności intelektualnej do API, jego struktury, kodu źródłowego, Dokumentacji, danych, modeli, treści zwracanych przez API ani do znaków towarowych Usługodawcy (w tym Pstryk), poza zakresem ściśle wskazanym w niniejszym Regulaminie.

4. Wszelkie wyniki uzyskane za pomocą API w planie darmowym nie mogą być wykorzystane do stworzenia konkurencyjnego produktu lub usługi w stosunku do Usługodawcy lub aplikacji Pstryk.

§ 4 Zakaz Użycia Komercyjnego i Wsteczne Rozliczenie

1. Zakazane jest jakiekolwiek wykorzystanie API (lub wyników API) w celu tworzenia, świadczenia, wspierania lub promowania usług, aplikacji, serwisów, produktów, treści lub funkcjonalności komercyjnych – zarówno bezpośrednio, jak i pośrednio (Niedozwolone Użycie).

2. Za Niedozwolone Użycie uważa się w szczególności:

a) Budowanie modeli pochodnych, benchmarków lub narzędzi konkurencyjnych.

b) Publiczne lub komercyjne udostępnianie API lub wyników API w aplikacjach, serwisach, produktach lub innych usługach skierowanych do osób trzecich, w szczególności poprzez wykorzystanie całości lub części API w celu budowania odpłatnych albo bezpłatnych rozwiązań integrujących / automatyzujących pracę urządzeń elektrycznych.

c) Monetyzację poprzez reklamy, subskrypcje, afiliacje, sponsoring, sprzedaż lub licencjonowanie wyników API.

d) Świadczenie usług dla osób trzecich (np. zdalna obsługa urządzeń klienta, raportowanie na zlecenie).

e) Wykorzystanie niezweryfikowanych narzędzi, których providerzy będą mogli czerpać korzyści 

3. Blokada Nieautoryzowanych Integracji: Usługodawca zastrzega sobie prawo do natychmiastowego wyłączenia dostępu do API lub zablokowania konkretnej integracji, jeżeli poweźmie uzasadnione podejrzenie, że Użytkownik korzysta z komercyjnej integracji zewnętrznej, która nie jest oficjalnym partnerem Pstryk.

§ 5 Ograniczenia, Zakazy Dodatkowe i RODO

1. Zabrania się: (i) reverse engineering, dekompilacji, obchodzenia zabezpieczeń (np. rate limit), automatyzacji pozyskiwania kluczy; (ii) scrapingu/dumpingu danych; (iii) masowego cache’owania wyników API ponad limity (iv) testów penetracyjnych (v) korzystania z API w celach niezgodnych z prawem, w tym naruszenia praw osób trzecich. (vi) przesyłania danych osobowych do API.

2. Użytkownik zobowiązuje się chronić klucz przed wyciekiem.

3. Indemnizacja RODO: W przypadku przesłania danych osobowych do API przez Użytkownika lub jego Domownika, Użytkownik zwalnia Usługodawcę z odpowiedzialności za wynikłe z tego tytułu kary i koszty.

§ 6 Wymogi Techniczne i Limity

1. Standard Autoryzacji Dostęp do API odbywa się wyłącznie za pośrednictwem indywidualnego klucza API (API key) przypisanego do Miernika Pstryk. Klucz API nie posiada ustalonego okresu ważności (jest bezterminowy). Użytkownik ma możliwość samodzielnej rotacji (wymiany) klucza w dowolnym momencie.

Limity Dostępowe Usługodawca stosuje i egzekwuje następujące limity:

- Limit per-endpoint (modele obciążające): 3 zapytania na godzinę.

- Nie stosuje się limitów dziennych ani miesięcznych.

- Przekroczenia limitów skutkują automatycznymi odpowiedziami 429 "Too Many Requests".

2. Geoblokady/ASN: Brak stałych blokad; możliwe incydentalne, czasowe ograniczenia w trybie ochrony przed nadużyciami.

3. Mechanizmy Antynadużyciowe: Usługodawca może wprowadzić dodatkowe mechanizmy, takie jak monitoring ruchu z Centrów Danych (DC/ASN), mechanizmy mitygacji nadużyć (CAPTCHA, WAF) w celu zapewnienia bezpieczeństwa i stabilności usług.

4. Użytkownik zobowiązany jest: (i) przechowywać Klucz w tajemnicy; (ii) nie osadzać go w kodzie klienta publicznego; (iii) nie publikować w repozytoriach/publicznych miejscach; (iv) nie udostępniać osobom trzecim.

5. W razie podejrzenia wycieku lub nieautoryzowanego użycia Użytkownik niezwłocznie generuje nowy Klucz API, unieważniając tym samym poprzedni, i informuje Usługodawcę.

6. Dla zapewnienia bezpieczeństwa i przeciwdziałania nadużyciom komercyjnym (§4) Usługodawca przetwarza minimalny zakres danych eksploatacyjnych (m.in. timestamp, IP/ASN, user-agent, identyfikatory konta, metryki użycia, origin/referrer) w celu audytu i egzekwowania przestrzegania Regulaminu przez Użytkownika.

7. Retencja Danych: Dane te są przechowywane przez okres do 90 dni na podstawie uzasadnionego interesu Usługodawcy (art. 6 ust. 1 lit. f RODO). Po tym okresie dane są trwale usuwane.

§ 7 Monitorowanie przestrzegania Regulaminu przez Użytkowników

1. Prawo Audytu Metryk: Usługodawca ma prawo do przeprowadzenia audytu metryk wykorzystania API w celu wykrywania i wyjaśniania Niedozwolonego Użycia.

2. W przypadku naruszeń lub stwierdzenia nieprawdziwych oświadczeń Użytkownika lub działań niezgodnych z Regulaminem - Usługodawca może podjąć następujące działania [kolejność dowolna, Usługodawca może samodzielnie decydować które z działań podejmie]:

a) Ostrzeżenie i/lub tymczasowe ograniczenie limitów dla API.

b) Czasowa Blokada dostępu do API (do 72h) i żądanie wyjaśnień od Użytkownika.

c) Stałe Cofnięcie Uprawnień i unieważnienie Klucza - Zablokowanie.

3. Sygnały wykrywania Niedozwolonego Użycia to przede wszystkim: znaczące lub powtarzalne przekroczenia limitów zapytań (w tym próby obchodzenia limitów), nietypowe wzorce ruchu (np. stałe wywołania w odstępach ~1 s, 24/7), korelacja wielu kont/urządzeń, współdzielenie kluczy, ruch z publicznych centrów danych/ASN i inne sygnały automatyzacji, wskaźniki sugerujące udostępnianie wyników osobom trzecim.

§ 8 Roszczenia z tytułu Niedozwolonego Użycia,  naruszeń IP i bezumownego komercyjnego użycia API

1. Nakłady i ochrona IP. Usługodawca oświadcza, że poniósł istotne nakłady finansowe i organizacyjne na wytworzenie i utrzymanie API, które stanowi utwór/bazę danych i know-how chronione przepisami prawa, w szczególności Kodeksu cywilnego, ustawy o prawie autorskim i prawach pokrewnych, ustawy – Prawo własności przemysłowej oraz przepisami o zwalczaniu nieuczciwej konkurencji.

2. Bezumowne użycie komercyjne. W razie stwierdzenia bezumownego (sprzecznego z §4) użycia komercyjnego API lub wyników API, Usługodawca może dochodzić łącznie lub alternatywnie: 

a) naprawienia szkody na zasadach ogólnych, w tym utraconych korzyści - także od Użytkowników będących konsumentami; 

b) wydania bezpodstawnie uzyskanych korzyści; w szczególności z tytułu komercyjnego wykorzystania Darmowego Klucza, zgodnie z przepisami Prawa Autorskiego i Kodeksu Cywilnego;

c) zaniechania naruszeń i usunięcia ich skutków; w szczególności dotyczy to dopełnienia czynności potrzebnych do usunięcia skutków naruszenia (np. złożenie odpowiedniego oświadczenia, usunięcie API lub aplikacji komercyjnej wykorzystującej API);

d) udzielenia przez sąd zabezpieczenia roszczeń (w szczególności zakazu dalszego korzystania) oraz innych przewidzianych prawem środków.

3. Obowiązek informacyjny sprawcy naruszenia. Na żądanie Usługodawcy Użytkownik, który dopuścił się naruszenia, 

a) w przypadku ustalenia przez Usługodawcę potencjalnie komercyjnego korzystania (np. ruch z DC/ASN) a zatem naruszenia celu udostępnienia API, Usługodawca może zażądać od Użytkownika, w ramach prawa audytu (§7), udokumentowania niekomercyjnego charakteru użycia (np. oświadczenia, że aplikacja nie jest monetyzowana, z możliwością sprawdzenia publicznego źródła kodu, jeśli jest udostępnione). Odmowa współpracy lub nieprzedstawienie wiarygodnych dowodów w krótkim terminie (np. 7 dni) jest traktowane jako dodatkowa przesłanka uzasadniająca istnienie Niedozwolonego Użycia.

b) w terminie 7 dni przekaże informacje i dokumenty niezbędne do oszacowania skali naruszeń (w tym dane o przychodach uzyskanych dzięki naruszeniu), pod rygorem przyjęcia szacunków Usługodawcy opartych o dostępne metryki zgodnie z § 7 Regulaminu.

4. Natychmiastowe środki techniczne. Usługodawca w przypadku stwierdzenia Niedozwolonego użycia albo naruszenia praw IP do API przez Użytkownika lub w ramach konta Użytkownika - może niezwłocznie zastosować środki techniczne, w tym blokadę dostępu, unieważnienie klucza i odmowę wydania nowych kluczy na okres do 365 dni, bez uszczerbku dla dochodzenia roszczeń opisanych powyżej.

§ 9 Odpowiedzialność Usługodawcy i Reklamacje

1. Usługodawca odpowiedzialny jest za API zgodnie z Regulaminem i powszechnie obowiązującymi przepisami prawa.

2. API jest dostarczane „jak jest” (as-is), bez jakichkolwiek gwarancji dostępności, jakości, przydatności do określonego celu, bez umowy o gwarantowanym poziomie usług (SLA) oraz bez wsparcia technicznego. Usługodawca nie ponosi odpowiedzialności za zakłócenia w działaniu, niedostępność lub awarie API. Usługodawca nie składa żadnych dodatkowych zapewnień co do jej bezbłędnego czy nieprzerwanego działania poza gwarancjami wynikającymi z powszechnie obowiązującego prawa i Regulaminu.

3. Usługodawca wyłącza odpowiedzialność za szkody pośrednie, utracone korzyści, utratę danych, zakłócenia działalności oraz szkody wynikłe z Niedozwolonego Użycia API przez Użytkownika.

4. Wszelkie reklamacje dotyczące API mogą być składane przez Uczestników w formie pisemnej, listem poleconym na adres siedziby Usługodawcy lub pocztą elektroniczną na adres kontakt@pstryk.pl.

5. Reklamacja powinna zawierać: imię, nazwisko, numer klienta, jak również dokładny opis i powód reklamacji. Złożone reklamacje będą rozpatrywane nie później niż w terminie 14 dni roboczych od daty otrzymania reklamacji. 

6. W szczególności, o ile Regulamin lub bezwzględnie obowiązujące przepisy nie stanowią inaczej, Usługodawca informuje, że prawidłowe działanie i dostępność API zależą od czynników technicznych po stronie Użytkownika, w szczególności od: a) poprawności konfiguracji oprogramowania Użytkownika, b) sprawności i przepustowości łącza internetowego Użytkownika, c) stanu technicznego i aktualności oprogramowania Urządzenia, z którego korzysta Użytkownik.

7. Wszelkie szkody powstałe na skutek nieprzestrzegania przez Użytkownika postanowień Regulaminu lub instrukcji obsługi Urządzenia obciążają Użytkownika.

§ 10 Rozwiązanie Umowy

1. Użytkownik może w każdej chwili zaprzestać korzystania z API i usunąć Klucz.

2. Usługodawca może rozwiązać umowę z zachowaniem 7 dniowego okresu wypowiedzenia poprzez wysłanie oświadczenia na adres e-mail Użytkownika.

3. Usługodawca może rozwiązać umowę ze skutkiem natychmiastowym w przypadku istotnego naruszenia Regulaminu, w szczególności w przypadku: (i) Niedozwolonego Użycia  (§4), (ii) przesyłania Danych Osobowych (iii) obchodzenia zabezpieczeń (§5) lub (iv) udostępniania Klucza osobom trzecim.

§ 11 Ochrona Danych Osobowych i Prywatność

1. Kwestie przetwarzania danych osobowych Użytkowników w związku z korzystaniem z API na potrzeby synchronizacji Urządzeń Użytkownika z aplikacją Pstryk reguluje Polityka Prywatności aplikacji Pstryk i Regulamin Usługi Pstryk Connect (dostępna na stronie internetowej Pstryk oraz w aplikacji Pstryk). Poniżej przedstawiamy najważniejsze uzupełniające informacje dot. prywatności:

a) Kwestie przetwarzania danych osobowych Użytkowników w związku z korzystaniem z API dotyczą wyłącznie danych niepozwalających na identyfikację osoby fizycznej, takich jak dane o zużyciu lub koszcie prądu w danym okresie. Dane te przetwarzane są wyłącznie w celu świadczenia usług w ramach aplikacji Pstryk i integracji urządzeń, zgodnie z obowiązującymi przepisami o ochronie danych osobowych.

b) API nie umożliwia przesyłania danych osobowych przez Użytkowników. Wszelkie próby przesyłania takich danych są niedozwolone. 

c) Usługodawca przetwarza dane osobowe Użytkowników wyłącznie w zakresie i w sposób określony w Polityce Prywatności Pstryk, z zachowaniem zasad minimalizacji danych, bezpieczeństwa i poufności.

2. Administratorem danych osobowych Użytkownika przekazywanych w związku z korzystaniem z API jest Usługodawca, z zastrzeżeniem że Bankilo Obrót S.A. jest Administratorem danych Użytkowników aplikacji Pstryk. Dane osobowe są przetwarzane zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) oraz innymi obowiązującymi przepisami o ochronie danych. Usługodawca przetwarza dane niezbędne do udostępnienia API w celu realizacji usługi na podstawie art. 6 ust 1 lit. b) RODO, art. 6 ust 1 lit c) RODO. Dane mogą być także wykorzystywane w prawnie uzasadnionych celach Usługodawcy na postawie art. 6 ust 1 lit f) RODO którymi to celami są: - cele statystyczne i poprawy jakości usługi, jednak w takich przypadkach zostaną uprzednio zanonimizowane lub zagregowane, aby nie identyfikowały konkretnych osób. - dochodzenie lub obrona przed roszczeniami.

3. Udostępnienie danych: Odbiorcą danych będzie Bankilo Obrót SA. 

4. Czas przetwarzania danych: Dane osobowe Użytkownika związane z korzystaniem z API będą przetwarzane tak długo, jak Użytkownik ma aktywne konto Pstryk z retencją 90 dni, przez okres niezbędny do rozliczeń oraz zabezpieczenia ewentualnych roszczeń lub wykonania obowiązków prawnych (np. podatkowych, rachunkowych). 

5. Prawa osoby, której dane dotyczą: Użytkownikom przysługują prawa wynikające z RODO, w tym prawo dostępu do swoich danych, sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych oraz prawo sprzeciwu wobec przetwarzania w przypadku przetwarzania opartego o prawnie uzasadniony interes Administratora. W przypadku, gdy przetwarzanie odbywa się na podstawie zgody (np. w zakresie danych opcjonalnych), Użytkownik ma prawo tę zgodę wycofać w dowolnym momencie – nie wpływa to na zgodność z prawem przetwarzania, którego dokonano przed cofnięciem zgody. Wszelkie żądania w zakresie realizacji praw prosimy kierować do Usługodawcy (dane kontaktowe w pkt 1 Regulaminu). Ponadto Użytkownik ma prawo wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych), jeśli uzna, że przetwarzanie jego danych narusza przepisy prawa. 

§ 12 Postanowienia Końcowe

1. Kontakt z Usługodawcą: Wszelkie pytania, reklamacje lub uwagi dotyczące usługi API można zgłaszać za pośrednictwem kanałów kontaktowych Pstryk: 

a) infolinii:  +48 588 810 295 

b) poczty elektrycznej: kontakt@pstryk.pl

c) za pomoca czatu dostępnego w aplikacji mobilnej i na stronie internetowej

d) (dane kontaktowe dostępne w aplikacji Pstryk oraz na stronie internetowej). 

2. Prawo i jurysdykcja: Świadczenie usługi API odbywa się na terytorium Rzeczypospolitej Polskiej i podlega prawu polskiemu. Użytkownik będący konsumentem ma również możliwość skorzystania z pozasądowych metod rozpatrywania reklamacji i dochodzenia roszczeń (ADR), m.in. poprzez mediację lub platformę ODR (Online Dispute Resolution). 

3. Jeśli którekolwiek z postanowień niniejszego Regulaminu okazałoby się nieważne lub nieskuteczne na mocy prawomocnego orzeczenia sądu, pozostałe postanowienia pozostają w mocy, a zamiast nieważnego postanowienia stosuje się odpowiednie przepisy prawa lub przyjęte zwyczajowo zasady, które najbliżej odpowiadają celowi ekonomicznemu nieważnego zapisu.