Polityka Prywatności
Ostatnia aktualizacja: 14 lipca 2026 r.
1. Administrator danych osobowych
Administratorem danych osobowych jest Denys Nehometianov, prowadzący serwis internetowy Polski B1 (dalej: „Serwis”), dostępny pod adresem polishb1.pl, oraz wydający aplikację mobilną Polski B1 na system iOS / iPadOS (dalej: „Aplikacja”).
Kontakt: kontakt@polishb1.pl
Administrator nie wyznaczył Inspektora Ochrony Danych.
2. Cele i podstawy prawne przetwarzania danych (serwis WWW)
| Cel | Dane | Podstawa prawna |
|---|---|---|
| Newsletter (zapis e-mail przez Brevo) | Adres e-mail | Art. 6 ust. 1 lit. a RODO (zgoda) |
| Pliki cookies sesyjne | Identyfikator sesji | Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — bezpieczeństwo) |
| Bezpieczeństwo i ochrona przed nadużyciami | Adres IP, informacje o urządzeniu | Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes) |
| Reklamy Google Ads (śledzenie konwersji) | Pliki cookies, identyfikator kliknięcia | Art. 6 ust. 1 lit. a RODO (zgoda) |
Konto na stronie internetowej (logowanie)
Logowanie i konto dotyczą wyłącznie strony internetowej polishb1.pl — aplikacja mobilna nadal działa bez konta (zob. sekcja 3). Logowanie jest opcjonalne: z ćwiczeń ocenianych przez AI możesz korzystać także bez konta, po przejściu krótkiej weryfikacji captcha (zob. „Funkcje AI dla gości” poniżej) — zalogowanie znosi captcha; pozostałe ćwiczenia działają zawsze bez logowania. Po zalogowaniu przez Google otrzymujemy i przechowujemy Twój adres e-mail, imię, zdjęcie profilowe oraz identyfikator konta Google, a także daty logowania i potwierdzenie akceptacji Regulaminu i Polityki Prywatności. Podstawa prawna: art. 6 ust. 1 lit. b RODO (świadczenie funkcji AI, o którą prosisz) oraz art. 6 ust. 1 lit. a RODO (zgoda na logowanie).
Twój adres e-mail przechowujemy dodatkowo w postaci nieodwracalnego skrótu (hash), aby egzekwować dzienny limit zapytań AI (40 dziennie na konto) i zapobiegać nadużyciom — art. 6 ust. 1 lit. f RODO; skrót ten pozostaje, nawet jeśli usuniesz i ponownie założysz konto. Twoje odpowiedzi i nagrania są przesyłane do OpenAI w celu oceny bez żadnego identyfikatora użytkownika (anonimowo dla OpenAI), tak samo jak w aplikacji. Dane konta przechowujemy do momentu jego usunięcia — możesz je usunąć na stronie profilu w Serwisie lub pisząc na kontakt@polishb1.pl.
Funkcje AI dla gości — captcha Cloudflare Turnstile
Z ćwiczeń ocenianych przez AI możesz korzystać także bez konta. Przed wysłaniem odpowiedzi jako gość prosimy o rozwiązanie krótkiej captcha (Cloudflare Turnstile), która odróżnia ludzi od botów. W trakcie weryfikacji Cloudflare, Inc. przetwarza dane techniczne, takie jak adres IP oraz sygnały przeglądarki i urządzenia; my otrzymujemy jedynie jednorazowy token potwierdzenia. Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — ochrona przed nadużyciami). Cloudflare, Inc. jest certyfikowana w ramach EU-U.S. Data Privacy Framework (art. 45 RODO; dowód: https://www.cloudflare.com/privacypolicy/ oraz oficjalna lista https://www.dataprivacyframework.gov/list).
Aby egzekwować dzienny limit zapytań AI dla gości, tworzymy nieodwracalny skrót (hash) Twojego adresu IP (dla IPv6 — sieci /64) jako techniczny identyfikator licznika — art. 6 ust. 1 lit. f RODO; skrótu nie da się odwrócić do adresu IP. Odpowiedzi i nagrania gości trafiają do OpenAI bez żadnego identyfikatora użytkownika — tak samo jak w przypadku osób zalogowanych.
3. Aplikacja mobilna Polski B1
Ta sekcja dotyczy aplikacji Polski B1 na system iOS / iPadOS. Aplikacja nie wymaga zakładania konta — wszystkie postępy nauki zapisywane są lokalnie na Twoim urządzeniu (SwiftData) i opcjonalnie synchronizowane przez iCloud między Twoimi urządzeniami Apple (funkcja sterowana przez Ciebie w Profilu). Administrator nie ma dostępu do Twoich postępów ani odpowiedzi.
Aplikacja korzysta z następujących kategorii danych:
| Kategoria | Dane | Cel | Podstawa prawna |
|---|---|---|---|
| Odpowiedzi pisemne | Wpisywane teksty (wypracowania, dialogi, transformacje gramatyczne, opisy zdjęć) | Ocena wypowiedzi przez AI | Art. 6 ust. 1 lit. b RODO (wykonanie usługi) |
| Nagrania głosowe | Krótkie nagrania wypowiedzi (Mówienie, Monolog) | Transkrypcja mowy (Whisper) i ocena AI po transkrypcji | Art. 6 ust. 1 lit. b RODO |
| Postępy nauki | Wyniki ćwiczeń, statystyki dzienne | Śledzenie postępów (wyłącznie lokalnie + iCloud) | Art. 6 ust. 1 lit. b RODO |
| Dane diagnostyczne | Stan urządzenia (Firebase App Check), informacje o awariach | Ochrona przed nadużyciami API | Art. 6 ust. 1 lit. f RODO |
Przetwarzanie AI (podmioty trzecie)
Twoje teksty i nagrania są wysyłane do jednego dostawcy oceny AI bez identyfikatora użytkownika — każde zapytanie jest anonimowe i niepowiązane z Tobą:
- OpenAI Ireland Ltd. — jedyny dostawca, który przetwarza treści wprowadzane przez Ciebie. Otrzymuje wszystkie teksty pisemne (wypracowania, transformacje gramatyczne, opisy zdjęć, dialogi treningowe) w celu oceny merytorycznej oraz wszystkie nagrania głosowe w celu transkrypcji mowy (Whisper). Administratorem w UE jest OpenAI Ireland Ltd.; przetwarzanie może odbywać się w USA. OpenAI nie jest certyfikowane w ramach EU-U.S. Data Privacy Framework, dlatego przekazanie opiera się na standardowych klauzulach umownych UE (art. 46 ust. 2 lit. c RODO) wraz z oceną skutków przekazania (Transfer Impact Assessment) (dowód: https://openai.com/policies/eu-privacy-policy/); z OpenAI zawarto umowę powierzenia przetwarzania danych (art. 28 RODO). OpenAI deklaruje, że dane z API nie są używane do trenowania modeli i są usuwane w ciągu maksymalnie 30 dni.
Pośrednikiem technicznym jest nasz backend hostowany w Fly.io, Inc. (spółka z USA), region serwera Sztokholm (Szwecja). Ponieważ Fly.io jest spółką z USA, przekazanie danych do USA opiera się na EU-U.S. Data Privacy Framework (decyzja stwierdzająca odpowiedni stopień ochrony, art. 45 RODO; Fly.io jest certyfikowane — dowód: https://fly.io/legal/data-privacy-framework/). Backend nie przechowuje Twoich odpowiedzi ani nagrań — przekazuje je w locie do OpenAI i zwraca wynik.
Usługi syntezy mowy (TTS) — nie otrzymują Twoich nagrań ani odpowiedzi
Aplikacja odtwarza nagrania polskich głosów w ćwiczeniach słuchania i kwestiach postaci. Dźwięk generowany jest z naszych własnych tekstów skryptów, a w dialogu interaktywnym — z wygenerowanych odpowiedzi partnera AI (które mogą nawiązywać do treści Twojej rozmowy). Usługi te nigdy nie otrzymują Twoich nagrań ani wpisywanych przez Ciebie odpowiedzi:
- Microsoft Ireland Operations Ltd. (Azure Speech — TTS) — synteza głosu z naszego tekstu (region UE — West Europe, Niderlandy). Nie otrzymuje Twoich nagrań ani odpowiedzi. Dostawcą jest Microsoft Corporation; ewentualne przekazania do USA opierają się na EU-U.S. Data Privacy Framework (decyzja stwierdzająca odpowiedni stopień ochrony, art. 45 RODO; Microsoft jest certyfikowany — dowód: https://www.microsoft.com/en-us/privacy/microsoft-data-privacy-framework-covered-entities oraz oficjalna lista https://www.dataprivacyframework.gov/list).
- Amazon Web Services, Inc. (AWS Polly) — synteza głosu (głosy kobiece polskie; region UE — Frankfurt, eu-central-1). Nie otrzymuje Twoich nagrań ani odpowiedzi. Dostawcą jest Amazon.com, Inc. (AWS jest podmiotem certyfikowanym w ramach DPF); ewentualne przekazania do USA opierają się na EU-U.S. Data Privacy Framework (art. 45 RODO — dowód: https://aws.amazon.com/compliance/eu-us-data-privacy-framework/).
Firebase App Check
Aplikacja korzysta z usługi Firebase App Check (Google Ireland Ltd.) do potwierdzenia, że zapytania pochodzą z autentycznej instalacji aplikacji, a nie ze skryptów. Zgodnie z naszą wiedzą krótkotrwały token generowany przez App Check nie zawiera bezpośredniego identyfikatora użytkownika. Podczas korzystania z usług Google mogą jednak być przetwarzane dane techniczne, takie jak adres IP oraz informacje o urządzeniu i przeglądarce. Jeśli w tym zakresie dane są przekazywane do Google LLC w USA, przekazanie opiera się na EU-U.S. Data Privacy Framework (decyzja stwierdzająca odpowiedni stopień ochrony, art. 45 RODO; Google jest certyfikowany — dowód: https://policies.google.com/privacy/frameworks). Ta sama podstawa dotyczy usług Google Ads i Google Analytics na stronie WWW.
Dane dzieci
Aplikacja przeznaczona jest dla osób uczących się języka polskiego na poziomie B1 — typowo osób dorosłych lub młodzieży. Nie zbieramy świadomie danych osobowych dzieci poniżej 13. roku życia. Jeśli zauważysz, że dziecko korzysta z aplikacji bez zgody rodzica, skontaktuj się z nami na kontakt@polishb1.pl — niezwłocznie usuniemy powiązane dane.
4. Odbiorcy danych
Serwis WWW korzysta z następujących dostawców:
- Brevo (Sendinblue SAS) — obsługa newslettera i przechowywanie adresów e-mail subskrybentów (UE — Francja)
- Google Ireland Ltd. — reklamy, śledzenie konwersji i analiza ruchu na stronie WWW (Google Ads, Google Analytics) — wyłącznie za Twoją zgodą (baner cookies); przekazania do Google LLC w USA opierają się na EU-U.S. Data Privacy Framework (art. 45 RODO; dowód: https://policies.google.com/privacy/frameworks)
- Fly.io, Inc. — hosting strony internetowej oraz backendu aplikacji — Fly.io, Inc. jest spółką z USA; region serwera to Sztokholm (Szwecja), a przekazania do USA opierają się na EU-U.S. Data Privacy Framework (art. 45 RODO; dowód: https://fly.io/legal/data-privacy-framework/)
- Cloudflare, Inc. (Turnstile) — weryfikacja captcha (Turnstile) dla funkcji AI bez logowania — podczas weryfikacji przetwarza adres IP i sygnały przeglądarki; Cloudflare, Inc. jest certyfikowana w ramach EU-U.S. Data Privacy Framework (art. 45 RODO; dowód: https://www.cloudflare.com/privacypolicy/)
Aplikacja korzysta z następujących dostawców — z wyraźnym zaznaczeniem, którzy z nich otrzymują Twoje dane, a którzy nie:
| Odbiorca | Cel | Czy otrzymuje dane użytkownika? | Lokalizacja |
|---|---|---|---|
| OpenAI Ireland Ltd. | Ocena tekstów + transkrypcja Whisper | Tak — teksty i nagrania | UE / USA (SCC + TIA) |
| Microsoft Azure Speech (TTS) | Synteza mowy z naszych tekstów | Nie | UE (West Europe) / USA (DPF) |
| Amazon Web Services (AWS Polly) | Synteza mowy (głosy kobiece) | Nie | UE (Frankfurt) / USA (DPF) |
| Google Ireland Ltd. (Firebase App Check) | Atestacja zapytań z aplikacji | Token atestacji, bez danych osobowych | UE / USA (DPF) |
| Apple Distribution International Ltd. (iCloud) | Synchronizacja postępów użytkownika | Tak, ale bezpośrednio z urządzenia — nie przez nasz backend | UE |
5. Przekazywanie danych
Część przetwarzania odbywa się w UE (Francja — Brevo; Sztokholm/Szwecja — region serwera Fly.io; West Europe/Niderlandy — Azure Speech; Frankfurt/Niemcy — AWS Polly; Irlandia — Apple iCloud). Kilku odbiorców to jednak spółki z USA lub podmioty przekazujące dane do USA. W przypadku Fly.io, Inc. (hosting), Microsoft Corporation (Azure Speech), Amazon.com, Inc. (AWS Polly), Google LLC (Firebase App Check; Google Ads/Analytics) oraz Cloudflare, Inc. (captcha Turnstile) przekazanie opiera się na EU-U.S. Data Privacy Framework (decyzja stwierdzająca odpowiedni stopień ochrony, art. 45 RODO — podmioty te są certyfikowane w ramach DPF; oficjalna lista: https://www.dataprivacyframework.gov/list), a umowy powierzenia z tymi dostawcami przewidują dodatkowo standardowe klauzule umowne jako mechanizm zapasowy. W przypadku OpenAI (ocena tekstów i transkrypcja Whisper) brak certyfikacji DPF — przekazanie opiera się na standardowych klauzulach umownych UE (art. 46 ust. 2 lit. c RODO) wraz z oceną skutków przekazania (Transfer Impact Assessment); administratorem w UE jest OpenAI Ireland Ltd. Dostawcy TTS (Azure, Polly) nie otrzymują Twoich nagrań ani odpowiedzi — generują dźwięk z naszych tekstów skryptów oraz z odpowiedzi partnera AI w dialogu; linki dowodowe do poszczególnych podstaw przekazania znajdziesz w sekcjach 3 i 4.
6. Okres przechowywania danych
- Newsletter (e-mail) — przechowywany do momentu wypisania się z listy mailingowej
- Cookies sesyjne — wygasają po zamknięciu przeglądarki lub po 30 dniach
- Logi serwera — przechowywane przez 30 dni
- Teksty i nagrania przesyłane do OpenAI — przekazywane w locie, nie zachowywane na naszym serwerze. OpenAI deklaruje usunięcie w ciągu maksymalnie 30 dni.
- Azure Speech (TTS), AWS Polly — otrzymują wyłącznie nasze teksty skryptów i odpowiedzi partnera AI w dialogu; nie przechowują Twoich danych.
- Identyfikator gościa (skrót IP) do limitu AI — nieodwracalny skrót adresu IP używany wyłącznie jako dzienny licznik zapytań AI gości; nie pozwala odtworzyć adresu IP.
- Postępy nauki (SwiftData + iCloud) — przechowywane lokalnie na Twoim urządzeniu oraz w Twoim iCloud dopóki sam ich nie usuniesz (dane nigdy nie trafiają na nasze serwery).
7. Prawa użytkownika
Na podstawie RODO przysługują Ci następujące prawa:
- Prawo dostępu do swoich danych (art. 15)
- Prawo do sprostowania danych (art. 16)
- Prawo do usunięcia danych — „prawo do bycia zapomnianym” (art. 17)
- Prawo do ograniczenia przetwarzania (art. 18)
- Prawo do przenoszenia danych (art. 20)
- Prawo do sprzeciwu wobec przetwarzania (art. 21)
W celu realizacji swoich praw skontaktuj się z nami: kontakt@polishb1.pl
8. Cofnięcie zgody
Jeżeli przetwarzanie danych odbywa się na podstawie zgody, masz prawo cofnąć zgodę w dowolnym momencie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.
9. Prawo do skargi
Masz prawo wnieść skargę do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.
10. Pliki cookies i pamięć lokalna
Serwis wykorzystuje pliki cookies oraz pamięć lokalną przeglądarki w następujących celach:
- Niezbędne — cookies sesyjne do utrzymania sesji (nie wymagają zgody)
- Funkcjonalne (lokalnie w przeglądarce) — Aby udostępnić funkcje, z których korzystasz, zapisujemy technicznie niezbędne dane lokalnie w Twojej przeglądarce (localStorage/sessionStorage): Twoje odpowiedzi i postęp w ćwiczeniach, stan zgody na cookies oraz wybrany język. Logowanie ustawia ponadto niezbędne pliki cookie sesji i bezpieczeństwa (NextAuth, ochrona CSRF). Dane te są bezwzględnie konieczne technicznie (art. 399 ustawy z dnia 12 lipca 2024 r. — Prawo komunikacji elektronicznej), nie wymagają zgody i nie są przesyłane do nas.
- Analityczne i marketingowe — Google Analytics (analiza ruchu) i Google Ads (śledzenie konwersji) — wymagają zgody użytkownika; nie stosujemy personalizacji reklam ani remarketingu
Przy pierwszej wizycie wyświetlany jest baner z prośbą o zgodę na cookies analityczne i marketingowe. Zgodę możesz w każdej chwili wycofać lub zmienić — kliknij link „Ustawienia cookies” w stopce strony, aby ponownie otworzyć baner (wycofanie zgody jest równie łatwe jak jej wyrażenie, art. 7 ust. 3 RODO). Plikami cookies możesz też zarządzać w ustawieniach swojej przeglądarki.
11. Dobrowolność podania danych
Podanie danych osobowych jest dobrowolne. Zapis na newsletter wymaga jedynie podania adresu e-mail.
12. Zmiany polityki prywatności
Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności. O istotnych zmianach użytkownicy zostaną poinformowani poprzez komunikat w Serwisie. Aktualna wersja polityki jest zawsze dostępna na tej stronie.
