Polityka prywatności

Administratorem Twoich danych osobowych jest:

W sprawach dotyczących ochrony danych osobowych możesz kontaktować się bezpośrednio pod adresem: kontakt@matura-ustna.pl.

W ramach działania Serwisu przetwarzamy następujące kategorie danych:

a) Dane podawane przez Użytkownika

• Imię — do personalizacji interfejsu i komunikacji.
• Adres e-mail — do rejestracji konta, logowania, komunikacji i obsługi płatności.
• Płeć — do personalizacji treści i komunikacji (np. forma zwracania się do Użytkownika).
• Numer telefonu — wymagany do rejestracji dla celów bezpieczeństwa konta (m.in. weryfikacja tożsamości w przypadku problemów z dostępem, kontakt w sprawach krytycznych dotyczących konta lub płatności, ochrona przed nadużyciami). Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora — bezpieczeństwo konta i ochrona przed nadużyciami). Numer NIE jest wykorzystywany do marketingu SMS bez osobnej, wyraźnej zgody (zob. lit. f poniżej). Użytkownik może zaktualizować lub usunąć numer w ustawieniach konta w dowolnym momencie.
• Daty matury (opcjonalne) — do personalizacji harmonogramu przypomnień i treści edukacyjnych.

f) Dane na potrzeby marketingu (zgoda)

Następujące dane są przetwarzane wyłącznie po wyraźnej zgodzie Użytkownika (osobnej dla każdego kanału):

• E-mail marketingowy (porady, promocje, przypomnienia o sezonie) — pole zgody zaznaczane podczas rejestracji lub w ustawieniach. Podstawa: art. 6 ust. 1 lit. a RODO + art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną. Zgoda możliwa do cofnięcia w każdej chwili (link „Wypisz się” w każdym mailu).
• SMS marketingowy (przypomnienia o sesjach, promocje) — pole zgody niezaznaczone domyślnie, oddzielne od pozostałych zgód. Podstawa: art. 6 ust. 1 lit. a RODO + art. 172 ustawy — Prawo telekomunikacyjne (wymagana uprzednia, wyraźna i dobrowolna zgoda na używanie automatycznych systemów wywołujących lub urządzeń końcowych do celów marketingu bezpośredniego). Zgoda możliwa do cofnięcia w każdej chwili w ustawieniach konta lub przez odpowiedź „STOP” na otrzymany SMS.

Ważne: brak zgody marketingowej (e-mail lub SMS) nie wpływa na możliwość korzystania z Serwisu. Zgody są w pełni dobrowolne i niezależne od umowy o świadczenie usług.

b) Dane sesji egzaminacyjnych

• Nagrania głosowe — nagrania głosowe sesji egzaminacyjnych są przechowywane w Supabase Storage (EU) przez okres 90 dni od daty sesji, po czym są automatycznie usuwane. Nagrania są zabezpieczone podpisanymi linkami (signed URLs) i dostępne wyłącznie dla właściciela konta oraz administratora serwisu. Dodatkowo głos jest przesyłany w czasie rzeczywistym do ElevenLabs w celu przetworzenia mowy.
• Transkrypcje odpowiedzi — tekstowa forma odpowiedzi Użytkownika, przechowywana na potrzeby generowania oceny i historii sesji.
• Oceny i feedback AI — wyniki sesji egzaminacyjnych (punktacja, komentarze).

c) Dane techniczne (zbierane automatycznie)

• Adres IP, typ przeglądarki, system operacyjny.
• Data i czas korzystania z Serwisu.
• Informacje o urządzeniu (rozdzielczość ekranu, język przeglądarki, strefa czasowa).

d) Dane bezpieczeństwa (zapobieganie nadużyciom)

W celu ochrony przed nadużyciami (tworzenie wielu fałszywych kont, ataki botów, próby przełamania zabezpieczeń AI) Serwis zbiera następujące dane techniczne:

• Identyfikator urządzenia (device fingerprint) — skrót kryptograficzny SHA-256 obliczony z połączenia: adresu IP, nagłówków przeglądarki (User-Agent, język, kodowanie), parametrów ekranu, strefy czasowej, sygnatury Canvas i WebGL. Nie umożliwia identyfikacji osoby fizycznej, służy wyłącznie do wykrycia, czy z tego samego urządzenia podejmowane są próby utworzenia wielu kont.
• Logi zdarzeń bezpieczeństwa — zapis prób logowania (udanych i nieudanych), przekroczeń limitów żądań, prób manipulacji systemem AI, wykrytych wulgaryzmów. Każdy wpis zawiera: typ zdarzenia, IP, identyfikator użytkownika (jeśli zalogowany), znacznik czasu.
• Limity żądań (rate limiting) — w pamięci serwera przechowywane są tymczasowe znaczniki czasowe ostatnich żądań, by wykryć i zablokować ataki.

Podstawa prawna: art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes administratora polegający na ochronie Serwisu przed nadużyciami, oszustwami i atakami (motyw 49 RODO).

Okres przechowywania: dane bezpieczeństwa są przechowywane przez 12 miesięcy, po czym automatycznie usuwane.

e) Dane płatnicze

• Dane kart płatniczych są przetwarzane wyłącznie przez Stripe i nie są przechowywane przez Usługodawcę. Przetwarzamy jedynie informację o statusie płatności i identyfikator transakcji.

Twoje dane mogą być przekazywane następującym kategoriom odbiorców:

• Dane konta — przez okres posiadania konta w Serwisie. Po usunięciu konta dane są usuwane w ciągu 30 dni, z wyjątkiem danych wymaganych przepisami prawa.
• Historia sesji egzaminacyjnych — przez okres posiadania konta. Usuwana wraz z kontem.
• Nagrania głosowe — przechowywane w Supabase Storage (EU) przez 90 dni od daty sesji, po czym automatycznie usuwane. ElevenLabs może dodatkowo przechowywać dane zgodnie że swoją polityką prywatności (do 30 dni).
• Dane rachunkowe i podatkowe — 5 lat od końca roku podatkowego, w którym dokonano transakcji (obowiązek prawny).
• Dane analityczne — do 26 miesięcy (ciasteczka analityczne).
• Dane bezpieczeństwa (fingerprint urządzenia, logi zdarzeń, próby nadużyć) — 12 miesięcy, następnie automatyczne usunięcie.
• Dane do dochodzenia roszczeń — do 3 lat od zakończenia świadczenia usługi (termin przedawnienia roszczeń).

Na podstawie RODO przysługują Ci następujące prawa:

1. Prawo dostępu — możesz zażądać informacji o przetwarzanych danych osobowych (art. 15 RODO).
2. Prawo do sprostowania — możesz zażądać poprawienia nieprawidłowych danych (art. 16 RODO).
3. Prawo do usunięcia ("prawo do bycia zapomnianym") — możesz zażądać usunięcia danych, jeśli nie ma podstawy prawnej do dalszego przetwarzania (art. 17 RODO).
4. Prawo do ograniczenia przetwarzania — możesz zażądać ograniczenia przetwarzania w określonych sytuacjach (art. 18 RODO).
5. Prawo do przenoszenia danych — możesz otrzymać swoje dane w ustrukturyzowanym formacie (art. 20 RODO).
6. Prawo do sprzeciwu — możesz wnieść sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 21 RODO).
7. Prawo do cofnięcia zgody — jeśli przetwarzanie opiera się na zgodzie, możesz ją cofnąć w dowolnym momencie (art. 7 ust. 3 RODO).
8. Prawo do wniesienia skargi — możesz złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

Aby skorzystać z powyższych praw, wyślij wiadomość na: kontakt@matura-ustna.pl. Odpowiemy w ciągu 30 dni.

Serwis wykorzystuje pliki cookies (ciasteczka). Są to małe pliki tekstowe przechowywane na urządzeniu Użytkownika.

Rodzaje cookies

Możesz zarządzać cookies w ustawieniach przeglądarki. Wyłączenie cookies niezbędnych może ograniczyć funkcjonalność Serwisu.

Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, w tym:

• Szyfrowanie transmisji danych (TLS/SSL).
• Szyfrowanie danych w bazie (Supabase — szyfrowanie at rest).
• Kontrola dostępu oparta na rolach (Row Level Security w Supabase).
• Regularne aktualizacje oprogramowania.
• Brak przechowywania danych kart płatniczych (obsługa przez Stripe, certyfikat PCI DSS Level 1).
• Hasła użytkowników są przechowywane wyłącznie w postaci zahaszowanej (hash) — nigdy nie przechowujemy haseł w formie jawnej (plaintext).

Zgodnie z RODO Art. 33 i 34, w przypadku stwierdzenia naruszenia ochrony danych osobowych:

• Notyfikacja do UODO: Usługodawca zgłosi naruszenie do Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od jego stwierdzenia, jeżeli istnieje ryzyko naruszenia praw lub wolności osób fizycznych.
• Notyfikacja do Użytkowników: Jeżeli naruszenie powoduje wysokie ryzyko dla praw i wolności Użytkowników, poinformujemy ich bezpośrednio drogą e-mailową bez zbędnej zwłoki, z opisem charakteru naruszenia, jego konsekwencji i podjętych działań zaradczych.
• Zakres notyfikacji: charakter naruszenia, kategorie i przybliżona liczba osób, których dane dotyczą, możliwe konsekwencje, środki zastosowane lub proponowane do zastosowania.
• Dokumentacja: Wszystkie incydenty są dokumentowane i archiwizowane na potrzeby audytu i compliance.

Aby zgłosić podejrzenie naruszenia bezpieczeństwa danych, napisz do nas na: kontakt@matura-ustna.pl z tematem „Incident report”.

Usługodawca świadczy usługi z wykorzystaniem systemów AI i przestrzega wymogów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 (EU AI Act):

• Klasyfikacja ryzyka: System AI wykorzystywany do oceny wypowiedzi maturalnych jest klasyfikowany jako system o ograniczonym ryzyku (limited risk) z elementami systemu wspomagającego edukację. Nie jest to system o wysokim ryzyku w rozumieniu Załącznika III EU AI Act, ponieważ wynik AI nie jest wiążący dla decyzji edukacyjnych ani egzaminacyjnych — ma charakter wyłącznie informacyjny i ćwiczeniowy.
• Transparentność (Art. 50): Użytkownik jest jasno informowany, że wchodzi w interakcję z systemem AI (komunikat „AI Egzaminator”, sekcja w Regulaminie, ta polityka). Wyniki ocen są oznaczone jako wygenerowane przez AI.
• Brak decyzji wiążących: Wyniki AI nie wpływają na rzeczywiste decyzje edukacyjne ani administracyjne — służą jedynie symulacji i nauce.
• Prawo do interwencji ludzkiej: Użytkownik ma prawo zakwestionować ocenę AI i zwrócić się o wyjaśnienie do Usługodawcy (kontakt@matura-ustna.pl).
• Nadzór ludzki: Usługodawca okresowo przegląda jakość ocen AI i koryguje system w przypadku stwierdzenia błędów.
• Risk Assessment: Wewnętrzny dokument oceny ryzyka systemu AI jest aktualizowany i dostępny dla organów nadzoru na żądanie.

Zastrzegamy sobie prawo do aktualizacji niniejszej Polityki prywatności. O istotnych zmianach poinformujemy Użytkowników drogą e-mailową. Aktualna wersja dokumentu jest zawsze dostępna pod adresem matura-ustna.pl/polityka-prywatnosci.

W sprawach dotyczących danych osobowych i prywatności: