Łatwa UstnaŁatwa Ustna

Polityka prywatności

Ostatnia aktualizacja:

Informujemy, jakie dane przetwarzamy, po co to robimy, kto nam w tym pomaga (np. Stripe, Supabase) oraz jakie masz prawa wynikające z RODO.

1. Administrator danych

Administratorem Twoich danych osobowych jest Jakub Kasprzyk, prowadzący sprzedaż w formie działalności nierejestrowanej, adres do korespondencji: ul. Gromady Grudziąż 21/65, 30-657 Kraków, operator serwisu Łatwa Ustna (łatwaustna.pl).

Kontakt w sprawach dotyczących ochrony danych osobowych: kontakt@latwaustna.pl

2. Jakie dane zbieramy

W ramach działania Serwisu przetwarzamy następujące kategorie danych:

Dane konta (Google OAuth)

Przy rejestracji i logowaniu za pośrednictwem Google otrzymujemy: imię i nazwisko, adres e-mail oraz zdjęcie profilowe. Nie zbieramy ani nie przechowujemy haseł.

Transkrypcje wypowiedzi i nagrania audio

Podczas ćwiczeń Twój głos jest przesyłany do AssemblyAI w celu transkrypcji na język polski oraz do OpenAI, które generuje pytania i głos AI-komisji w fazie rozmowy. W naszej bazie przechowujemy transkrypcję tekstową wypowiedzi (Twoich i AI-komisji), potrzebną do raportu z sesji, oceny i śledzenia postępów.

Dodatkowo przechowujemy nagranie audio Twojego monologu i rozmowy z AI-komisją do końca sezonu maturalnego 2026 (31 maja 2026 r.). Cel: kontrola jakości oceny (gdybyś uznał/a, że wynik jest niesprawiedliwy, mamy podstawę, żeby zweryfikować, czy problem leży po stronie Twojej wypowiedzi, czy po naszej, np. błąd transkrypcji). Nagrania są w prywatnym magazynie Supabase i nie przekazujemy ich stronom trzecim. Po zakończeniu sezonu są automatycznie usuwane.

Masz do nich dostęp: w raporcie każdej sesji (pod transkrypcją) znajdziesz przyciski „Odsłuchaj monolog” oraz „Odsłuchaj rozmowę z komisją”, dzięki którym możesz samodzielnie odtworzyć swoje nagrania.

Dane aktywności

Przechowujemy historię Twoich ćwiczeń: wybrane pytania, wyniki ocen treningowych, daty sesji. Służą one do śledzenia postępów w nauce.

Dane płatności

Dane kart płatniczych są przetwarzane wyłącznie przez Stripe i nigdy nie trafiają na nasze serwery. Przechowujemy jedynie identyfikator subskrypcji Stripe, plan i status płatności.

Dane techniczne

Automatycznie rejestrujemy adres IP, typ przeglądarki, system operacyjny oraz logi błędów. Dane te służą do zapewnienia bezpieczeństwa i diagnozy problemów technicznych.

Analityka produktowa (Amplitude, Vercel Web Analytics)

W celu zrozumienia, jak korzystasz z Serwisu (np. które ekrany są otwierane, jakie akcje wykonujesz), przetwarzamy pseudonimowe informacje o zdarzeniach w aplikacji. Mogą obejmować m.in. identyfikator sesji lub urządzenia w pamięci przeglądarki (local storage), typ przeglądarki oraz zdarzenia zdefiniowane w produkcie (np. rozpoczęcie ćwiczenia). Nie prowadzimy profilowania w celach reklamowych ani śledzenia między niepowiązanymi witrynami.

Dane są przekazywane do Amplitude, Inc. (analityka produktowa) oraz do Vercel, Inc. w zakresie Vercel Web Analytics (zagregowane statystyki odsłon i ruchu). Szczegóły znajdują się w sekcji o dostawcach poniżej.

Możesz wyłączyć analitykę w Ustawieniach konta (po zalogowaniu). Wyłączenie jest zapisywane lokalnie w tej przeglądarce i dotyczy zarówno Amplitude, jak i Vercel Web Analytics w naszej implementacji.

Dostosowanie warunków egzaminu (dane wrażliwe)

Jeśli w Ustawieniach zaznaczysz, że masz orzeczenie poradni psychologiczno-pedagogicznej o dysleksji rozwojowej, dysortografii lub dysgrafii, ta informacja jest daną szczególnej kategorii (dane o stanie zdrowia, art. 9 RODO).

Dane te:

  • są przechowywane wyłącznie w Twoim profilu w Supabase (kolumny users.has_accommodations oraz users.accommodations_set_at, gdzie zapisujemy moment Twojej zgody jako dowód),
  • służą TYLKO do dostosowania oceny treningowej Twojego wypracowania przez AI (podwyższenie progu tolerancji błędów ortograficznych i interpunkcyjnych w kryterium „Język wypowiedzi” zgodnie z zasadami CKE dla osób z orzeczeniem),
  • nie są przekazywane stronom trzecim (nie idą do modeli AI jako oddzielna informacja, tylko jako parametr wpływający na lokalne progi punktowe),
  • nie są wykorzystywane do profilowania, statystyk ani marketingu,
  • możesz w każdej chwili wycofać zgodę, wyłączając przełącznik w Ustawieniach (wówczas pole zostanie ustawione na false, a znacznik czasu zgody zostanie usunięty),
  • po usunięciu konta są kasowane razem z resztą profilu.

Podstawa prawna: art. 9 ust. 2 lit. a RODO (wyraźna zgoda). Zgodę wyrażasz świadomie, zaznaczając dedykowany checkbox w panelu Ustawień przed zapisem ustawienia. Nie wymagamy załączania orzeczenia ani dokumentów medycznych. Pamiętaj, że w warunkach egzaminacyjnych CKE wymaga oryginału orzeczenia; nasza ocena ma charakter treningowy.

Pomiar reklam (Meta Pixel + Conversions API)

Korzystamy z Meta Pixel (Facebook/Instagram), aby mierzyć skuteczność kampanii reklamowych prowadzonych przez nas na platformach Meta. Pixel rejestruje pseudonimowe zdarzenia (np. wejście na stronę, zakończenie zakupu) oraz identyfikatory techniczne przeglądarki, które Meta może powiązać z Twoim kontem na Facebooku/Instagramie, jeśli takie posiadasz.

Pixel uruchamia się dopiero po wyrażeniu zgody w bannerze cookies (opt-IN). Możesz w każdej chwili wycofać zgodę przez wyłączenie analityki w Ustawieniach. Wyłączenie obejmuje również Meta Pixel. Współadministratorem danych z Pixela w zakresie pomiaru jest Meta Platforms Ireland Ltd.

Dla rzetelności pomiaru zakupów wysyłamy zdarzenie Purchase również z naszego serwera do Meta Conversions API. W zdarzeniu przekazujemy: zhashowany (SHA-256) adres e-mail, zhashowany identyfikator użytkownika, identyfikatory cookies _fbp/_fbc (jeśli zostały ustawione przez Pixel po Twojej zgodzie), adres IP oraz User-Agent z momentu rozpoczęcia płatności, a także kwotę i walutę zakupu. Zdarzenie wysyłamy z tym samym event_id co Pixel, dzięki czemu Meta deduplikuje powtórzenia.

3. Podstawy prawne przetwarzania (RODO)

  • Art. 6 ust. 1 lit. b RODO: wykonanie umowy (świadczenie usługi Serwisu),
  • Art. 6 ust. 1 lit. c RODO: wypełnienie obowiązku prawnego (np. obowiązki podatkowe),
  • Art. 6 ust. 1 lit. f RODO: prawnie uzasadniony interes Administratora (bezpieczeństwo Serwisu, zapobieganie nadużyciom oraz prowadzenie pseudonimowej analityki produktowej i ulepszanie Serwisu za pomocą Amplitude i Vercel Web Analytics; możesz wnieść sprzeciw wobec tego przetwarzania oraz wyłączyć analitykę w Ustawieniach),
  • Art. 6 ust. 1 lit. a RODO: zgoda (np. newsletter, marketing, jeśli dotyczy).
  • Art. 9 ust. 2 lit. a RODO: wyraźna zgoda na przetwarzanie danych szczególnych kategorii, dotycząca wyłącznie informacji o orzeczeniu o dysleksji/dysortografii/dysgrafii zaznaczonego w Ustawieniach (patrz: sekcja „Dostosowanie warunków egzaminu” powyżej).

4. Zewnętrzni dostawcy usług (podmioty przetwarzające)

W celu świadczenia usługi korzystamy z następujących podmiotów zewnętrznych, którym przekazujemy dane w zakresie niezbędnym do wykonania ich funkcji:

Supabase, Inc.: baza danych i uwierzytelnianie

Przechowuje dane konta, historię ćwiczeń, transkrypcje i nagrania. Dane mogą być przechowywane na serwerach w UE (region eu-central-1). Supabase posiada odpowiednie zabezpieczenia zgodne z RODO.

supabase.com/privacy

Google LLC: uwierzytelnianie (Google OAuth)

Używamy Google Sign-In do logowania. Google przekazuje nam podstawowe dane profilu (e-mail, imię, zdjęcie). Google przetwarza dane zgodnie z własną polityką prywatności.

policies.google.com/privacy

AssemblyAI, Inc.: transkrypcja mowy

Nagrania głosowe są przesyłane do AssemblyAI w celu transkrypcji na język polski (model Universal-2 dla monologu i rozmowy; Whisper-RT dla testu mikrofonu). AssemblyAI przetwarza dane zgodnie z polityką API: dane nie są używane do trenowania modeli. AssemblyAI posiada certyfikat SOC 2 Type II oraz zgodność HIPAA.

assemblyai.com/legal/privacy-policy

OpenAI, LLC: rozmowa z komisją i generowanie feedbacku

Głos komisji w fazie rozmowy oraz ocena końcowa są generowane przez modele OpenAI (Realtime API, GPT). OpenAI przetwarza dane zgodnie z polityką API: dane z API nie są używane do trenowania modeli. OpenAI posiada certyfikat SOC 2.

openai.com/policies/privacy-policy

Stripe, Inc.: obsługa płatności

Stripe przetwarza dane kart płatniczych i zarządza subskrypcjami. Stripe jest certyfikowanym dostawcą usług płatniczych PCI DSS Level 1. My przechowujemy jedynie identyfikator klienta i subskrypcji Stripe.

stripe.com/privacy

Resend, Inc.: wysyłka e-maili

Wysyłamy przez Resend e-maile transakcyjne (potwierdzenia zamówień, paragony, przypomnienia o egzaminie) oraz marketingowe, te ostatnie wyłącznie po wyrażeniu zgody. Do Resend przekazujemy Twój adres e-mail i imię. Resend ma siedzibę w USA i przetwarza dane zgodnie z własną polityką prywatności.

resend.com/legal/privacy-policy

Amplitude, Inc.: analityka produktowa

Otrzymuje zdarzenia z aplikacji (np. wyświetlenia ekranów, działania użytkownika) oraz identyfikatory techniczne potrzebne do zliczania sesji. Dane mogą być przetwarzane w UE lub USA w zależności od konfiguracji projektu. Polityka prywatności Amplitude opisuje cele i okresy przechowywania.

amplitude.com/trust/privacy

Vercel, Inc.: hosting, infrastruktura i Web Analytics

Serwis jest hostowany na platformie Vercel. Vercel przetwarza dane techniczne (m.in. adres IP, nagłówki HTTP) przy obsłudze żądań. Dodatkowo korzystamy z Vercel Web Analytics do zbierania zagregowanych informacji o odsłonach i ruchu w Serwisie (bez plików cookie reklamowych od nas w tym celu). Vercel posiada m.in. certyfikat SOC 2 Type 2.

vercel.com/legal/privacy-policy

Meta Platforms Ireland Ltd.: Meta Pixel (pomiar reklam)

Otrzymuje pseudonimowe zdarzenia z Serwisu (m.in. odsłony stron, zakończenie zakupu) oraz identyfikatory techniczne przeglądarki w celu pomiaru skuteczności reklam prowadzonych przez nas na Facebooku i Instagramie. Pixel uruchamia się wyłącznie po wyrażeniu zgody w bannerze cookies. W zakresie pomiaru i raportowania Meta jest współadministratorem danych.

facebook.com/privacy/policy

Functional Software, Inc. (Sentry): monitoring błędów

W przypadku błędu aplikacji do Sentry trafia raport diagnostyczny: techniczne identyfikatory, adres IP oraz adres e-mail użytkownika (gdy jest dostępny w sesji). Pozwala nam to szybko diagnozować i naprawiać problemy. Sentry ma siedzibę w USA.

sentry.io/privacy

5. Przekazywanie danych poza EOG

Część naszych dostawców (OpenAI, Stripe, Vercel, Amplitude, Meta, Resend, Sentry) ma siedzibę w Stanach Zjednoczonych lub może przetwarzać dane w USA. Dane mogą być przekazywane poza Europejski Obszar Gospodarczy. Podstawą przekazania są standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską lub inne odpowiednie mechanizmy prawne.

6. Okres przechowywania danych

  • Dane konta: przez okres posiadania konta + 30 dni po jego usunięciu,
  • Transkrypcje wypowiedzi: przez okres posiadania konta,
  • Nagrania audio (monolog i rozmowa): do końca sezonu maturalnego 2026 (31.05.2026), następnie automatycznie usuwane,
  • Historia ćwiczeń: przez okres posiadania konta,
  • Dane płatności (Stripe): zgodnie z wymogami prawa podatkowego (5 lat),
  • Logi techniczne: do 90 dni,
  • Raporty błędów (Sentry): zgodnie z domyślną retencją Sentry (do 90 dni),
  • Dane analityczne u dostawców (Amplitude, Vercel): zgodnie z okresami wskazanymi w ich politykach prywatności i ustawieniami retencji projektu.

7. Twoje prawa

Na podstawie RODO przysługują Ci następujące prawa:

  • Dostęp: możesz zażądać kopii swoich danych osobowych,
  • Sprostowanie: możesz poprosić o korektę nieprawidłowych danych,
  • Usunięcie: możesz zażądać usunięcia danych („prawo do bycia zapomnianym”),
  • Ograniczenie przetwarzania: możesz zażądać ograniczenia przetwarzania w określonych przypadkach,
  • Przenoszenie danych: możesz otrzymać swoje dane w ustrukturyzowanym formacie,
  • Sprzeciw: możesz wnieść sprzeciw wobec przetwarzania opartego na uzasadnionym interesie (w tym wobec analityki opisanej w niniejszej Polityce; dodatkowo możesz wyłączyć analitykę w Ustawieniach),
  • Wycofanie zgody: jeśli przetwarzanie opiera się na zgodzie, możesz ją wycofać w dowolnym momencie.

Aby skorzystać z powyższych praw, skontaktuj się z nami: kontakt@latwaustna.pl. Odpowiemy w ciągu 30 dni.

Masz również prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

8. Pliki cookie i pamięć przeglądarki

Serwis używa plików cookie niezbędnych do działania sesji uwierzytelniającej (token Supabase).

Analityka produktowa (Amplitude) może zapisywać identyfikatory techniczne (np. identyfikator urządzenia lub sesji) w local storage lub podobnym mechanizmie w Twojej przeglądarce. Służy to liczeniu unikalnych użytkowników i sesji.

Po wyrażeniu zgody w bannerze cookies Meta Pixel może zapisać w przeglądarce pliki cookie _fbp (i pomocnicze) służące do mierzenia skuteczności naszych reklam na Facebooku/Instagramie. Pixel nie uruchamia się bez Twojej zgody, a wyłączenie analityki w Ustawieniach wyłącza również Pixel.

Preferencje (np. wyłączenie analityki, motyw wyświetlania) mogą być zapisane lokalnie w tej przeglądarce.

Możesz ograniczyć pliki cookie i pamięć lokalną w ustawieniach przeglądarki; może to jednak utrudnić lub uniemożliwić logowanie albo działanie niektórych funkcji Serwisu.

9. Bezpieczeństwo danych

Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony Twoich danych, w tym szyfrowanie transmisji (HTTPS/TLS), kontrolę dostępu opartą na rolach (Row Level Security w Supabase) oraz regularne przeglądy bezpieczeństwa.

10. Osoby poniżej 16 lat

Serwis jest przeznaczony dla osób, które ukończyły 16 lat. Zgodnie z art. 8 RODO oraz ustawą o ochronie danych osobowych, przetwarzanie danych osobowych dziecka poniżej 16. roku życia wymaga zgody opiekuna prawnego.

Podczas rejestracji prosimy o potwierdzenie, że masz ukończone 16 lat lub posiadasz zgodę opiekuna prawnego na korzystanie z Serwisu. Jeżeli jesteś opiekunem prawnym i uważasz, że Twoje dziecko (poniżej 16 lat) korzysta z Serwisu bez Twojej zgody, napisz na kontakt@latwaustna.pl, usuniemy dane bez zbędnej zwłoki.

11. Zmiany polityki prywatności

Możemy aktualizować niniejszą Politykę. O istotnych zmianach poinformujemy Cię drogą mailową lub komunikatem w Serwisie. Data ostatniej aktualizacji jest zawsze widoczna na górze tej strony.