Polityka Prywatności

Ostatnia Aktualizacja: Marzec 2026

Wprowadzenie

Luxfort Michal Mrotek, prowadzący działalność jako ReadyToSay („my” lub „nasz”), z siedzibą pod adresem ul. Malinowa 8a, Bydgoszcz, Polska, jest administratorem odpowiedzialnym za Twoje dane osobowe. Niniejsza Polityka Prywatności wyjaśnia, w jaki sposób zbieramy, wykorzystujemy, przechowujemy i chronimy Twoje dane podczas korzystania z aplikacji mobilnej ReadyToSay, strony internetowej (readytosay.app) oraz powiązanych usług (łącznie „Usługa”). Zobowiązujemy się do ochrony Twojej prywatności zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych (RODO), Rozporządzeniem UE o Sztucznej Inteligencji (EU AI Act), kalifornijską ustawą CCPA/CPRA oraz innymi obowiązującymi przepisami o ochronie danych.

Dane, Które Zbieramy

Zbieramy następujące kategorie danych w celu świadczenia i doskonalenia Usługi:

Dane konta
Adres e-mail, nazwa wyświetlana i zdjęcie profilowe podczas rejestracji lub logowania przez social login (Google, Apple lub Facebook).
Dane rozmów i sesji
Wiadomości z sesji ćwiczeniowych, odpowiedzi generowane przez AI, feedback z sesji, wyniki, metadane rozmów (czas trwania, typ scenariusza, status ukończenia).
Dane grywalizacji i postępów
Odznaki osiągnięć, punkty doświadczenia (XP), serie, poziomy postępu i statystyki sesji ćwiczeniowych.
Dane subskrypcji i płatności
Plan subskrypcji, cykl rozliczeniowy i status płatności. Dane kart płatniczych są przetwarzane wyłącznie przez Stripe i nigdy nie są przechowywane na naszych serwerach.
Dane techniczne i urządzenia
Typ urządzenia, system operacyjny, wersja aplikacji, typ przeglądarki, adres IP (skrócony na potrzeby analityki), raporty o błędach i metryki wydajności.
Dane analityczne
Wyświetlenia stron, użycie funkcji, wzorce nawigacji i zdarzenia interakcji — zbierane przez Mixpanel wyłącznie za Twoją zgodą.

Nigdy nie zbieramy danych zdrowotnych, biometrycznych, dokładnej lokalizacji GPS ani numerów dokumentów tożsamości.

Jak Wykorzystujemy Twoje Dane

Wykorzystujemy Twoje dane w następujących celach:

  • Świadczenie Usługi — prowadzenie ćwiczeń konwersacyjnych z AI, generowanie spersonalizowanego feedbacku i śledzenie Twoich postępów.
  • Personalizacja — dostosowywanie poziomu trudności rozmów, sugerowanie scenariuszy i indywidualizacja ścieżki nauki na podstawie historii ćwiczeń.
  • Przetwarzanie AI — przesyłanie wiadomości z sesji do zewnętrznych dostawców AI (OpenAI, Google Gemini) w celu generowania realistycznych odpowiedzi rozmówcy i coachingu.
  • Analityka i doskonalenie — analiza sposobu korzystania z Usługi w celu ulepszania funkcji, naprawiania błędów i rozwijania nowych scenariuszy.
  • Zarządzanie kontem — uwierzytelnianie tożsamości, zarządzanie subskrypcją i komunikacja dotycząca konta.
  • Bezpieczeństwo i zapobieganie nadużyciom — wykrywanie i zapobieganie nieautoryzowanemu dostępowi, nadużyciom i oszustwom.

Przetwarzanie AI i Transparentność

ReadyToSay wykorzystuje sztuczną inteligencję do prowadzenia ćwiczeń konwersacyjnych. Zgodnie z Rozporządzeniem UE o Sztucznej Inteligencji (EU AI Act) przekazujemy następujące informacje:

Jakie dane trafiają do AI
Wiadomości z sesji ćwiczeniowych są przesyłane do dostawców AI w celu generowania realistycznych odpowiedzi. Przesyłamy również kontekst scenariusza i wybrany poziom trudności. Nie przesyłamy Twojego imienia, adresu e-mail ani innych danych identyfikujących do dostawców AI.
Dostawcy AI
Korzystamy z OpenAI (modele GPT) i Google (modele Gemini) jako dostawców AI. Dostawcy ci przetwarzają dane na podstawie Umów Powierzenia Przetwarzania Danych (DPA).
Brak trenowania AI na Twoich danych
Twoje dane z rozmów NIE są wykorzystywane do trenowania modeli AI. Zarówno OpenAI, jak i Google przetwarzają nasze zapytania API w ramach umów o zerowej retencji danych (gdzie jest to technicznie możliwe), co oznacza, że Twoje dane nie są przez nich przechowywane poza natychmiastową odpowiedzią API.
Ujawnienie AI
Wszyscy rozmówcy w ReadyToSay są generowani przez AI. Nie są prawdziwymi osobami. Feedback i sugestie coachingowe generowane przez AI służą wyłącznie celom ćwiczeniowym i nie stanowią profesjonalnej porady.
Prawo do przeglądu przez człowieka
Na mocy art. 22 RODO masz prawo nie podlegać decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, które istotnie na Ciebie wpływają. Możesz zażądać przeglądu dowolnej oceny wygenerowanej przez AI przez człowieka, kontaktując się z nami pod adresem privacy@readytosay.app.

Przechowywanie Danych

Przechowujemy Twoje dane przez następujące okresy:

  • Dane sesji konwersacyjnych: 12 miesięcy od utworzenia, następnie automatyczna anonimizacja i agregacja na potrzeby doskonalenia Usługi.
  • Dane konta: przechowywane, dopóki konto jest aktywne. Po usunięciu konta przechowujemy minimalny zapis przez 30 dni (okres karencji), a następnie trwale usuwamy.
  • Dane analityczne: 13 miesięcy (domyślna retencja Mixpanel).
  • Logi serwera: 90 dni, następnie automatyczne usunięcie.
  • Rejestry zgód: 3 lata, zgodnie z wymogami dokumentacji RODO.
  • Dokumentacja płatności: zgodnie z wymogami prawa podatkowego i księgowego (zwykle 5–7 lat dla dokumentów transakcyjnych).

Możesz zażądać usunięcia swoich danych w dowolnym momencie. Szczegóły znajdziesz w sekcji Usunięcie Konta poniżej.

Twoje Prawa

W zależności od Twojej lokalizacji przysługują Ci następujące prawa dotyczące Twoich danych osobowych:

Prawa RODO (Mieszkańcy UE/EOG)

  • Prawo dostępu (art. 15) — uzyskanie kopii swoich danych osobowych.
  • Prawo do sprostowania (art. 16) — poprawienie niedokładnych lub niekompletnych danych.
  • Prawo do usunięcia (art. 17) — żądanie usunięcia danych („prawo do bycia zapomnianym”).
  • Prawo do ograniczenia przetwarzania (art. 18) — ograniczenie sposobu przetwarzania danych.
  • Prawo do przenoszenia danych (art. 20) — otrzymanie danych w ustrukturyzowanym, nadającym się do odczytu maszynowego formacie.
  • Prawo do sprzeciwu (art. 21) — sprzeciw wobec przetwarzania opartego na uzasadnionym interesie.
  • Prawo do wycofania zgody — wycofanie zgody w dowolnym momencie bez wpływu na wcześniejsze przetwarzanie.
  • Prawo do przeglądu przez człowieka (art. 22) — żądanie przeglądu decyzji zautomatyzowanych przez człowieka.
  • Prawo do złożenia skargi do właściwego organu nadzorczego ds. ochrony danych.

Prawa CCPA/CPRA (Mieszkańcy Kalifornii)

  • Prawo do informacji o zbieranych, wykorzystywanych i udostępnianych danych osobowych.
  • Prawo do usunięcia danych osobowych.
  • Prawo do rezygnacji ze sprzedaży danych osobowych. Uwaga: NIE sprzedajemy Twoich danych osobowych.
  • Prawo do niedyskryminacji za korzystanie z praw do prywatności.

Aby skorzystać z któregokolwiek z tych praw, skontaktuj się z nami pod adresem privacy@readytosay.app. Odpowiemy w ciągu 30 dni.

Podwykonawcy i Usługi Zewnętrzne

Udostępniamy Twoje dane następującym podwykonawcom, z których każdy działa na podstawie Umowy Powierzenia Przetwarzania Danych (DPA):

Podwykonawcy i Usługi Zewnętrzne
Usługa Cel Lokalizacja danych
OpenAI Generowanie rozmów AI Stany Zjednoczone
Google Gemini Generowanie rozmów AI Stany Zjednoczone / UE
Neon (PostgreSQL) Główna baza danych UE (Frankfurt)
Cloudflare Workers Hosting API i edge computing Globalnie (najbliższy edge)
Cloudflare R2 Przechowywanie plików i mediów UE
Backblaze B2 Kopie zapasowe UE (Amsterdam)
Stripe Przetwarzanie płatności Stany Zjednoczone / UE
Mixpanel Analityka produktowa UE (endpoint Mixpanel EU)
Resend E-maile transakcyjne Stany Zjednoczone
Sentry Śledzenie błędów i monitoring Stany Zjednoczone
Expo (EAS) Aktualizacje aplikacji mobilnej i powiadomienia Stany Zjednoczone
Apple App Store Dystrybucja aplikacji iOS Stany Zjednoczone
Google Play Store Dystrybucja aplikacji Android Stany Zjednoczone
RevenueCat Zarządzanie subskrypcjami Stany Zjednoczone
Vercel Hosting panelu administracyjnego Stany Zjednoczone / UE
Cloudflare Pages Hosting strony informacyjnej Globalnie (najbliższy edge)

Regularnie weryfikujemy naszych podwykonawców i ich praktyki ochrony danych. Lista jest aktualna na dzień ostatniej aktualizacji powyżej.

Międzynarodowe Transfery Danych

Niektórzy z naszych podwykonawców znajdują się poza Europejskim Obszarem Gospodarczym (EOG). Gdy przekazujemy dane osobowe poza EOG, zapewniamy odpowiednie zabezpieczenia: Standardowe Klauzule Umowne (SKU) zatwierdzone przez Komisję Europejską lub Ramy Ochrony Danych UE-USA (DPF) dla certyfikowanych firm amerykańskich. Nasza główna baza danych (Neon) i kopie zapasowe (Backblaze B2) są hostowane w UE. Dane analityczne (Mixpanel) są przetwarzane przez endpoint Mixpanel EU. Dążymy do minimalizacji transferów danych poza UE wszędzie tam, gdzie jest to technicznie możliwe.

Pliki Cookie i Śledzenie

Na naszej stronie internetowej używamy plików cookie i podobnych technologii:

Niezbędne pliki cookie
Wymagane do podstawowego funkcjonowania strony, w tym preferencji zgody i zarządzania sesją. Nie można ich wyłączyć.
Analityczne pliki cookie
Używane wyłącznie za Twoją wyraźną zgodą do analizy korzystania ze strony przez Mixpanel. Możesz zrezygnować w dowolnym momencie.

Możesz zarządzać preferencjami plików cookie w dowolnym momencie za pomocą .

Aplikacja mobilna ReadyToSay nie używa plików cookie przeglądarki. Analityka w aplikacji jest obsługiwana przez Mixpanel SDK, który jest aktywowany wyłącznie po wyrażeniu zgody na ekranie zgody w aplikacji, zgodnie z wymogami dyrektywy ePrivacy.

Płatności i Subskrypcje

Przetwarzanie płatności dla ReadyToSay jest obsługiwane przez Stripe — certyfikowanego operatora płatności PCI DSS Level 1.

  • Nigdy nie przechowujemy, nie przetwarzamy ani nie mamy dostępu do pełnego numeru karty kredytowej, CVV ani danych konta bankowego.
  • Stripe zbiera i przetwarza dane płatnicze bezpośrednio. Otrzymujemy jedynie tokenizowane odwołanie, status płatności i metadane rozliczeniowe (typ planu, kwota, waluta).
  • W przypadku zakupów w aplikacji na iOS lub Android płatności są przetwarzane odpowiednio przez Apple lub Google, zgodnie z ich własnymi politykami prywatności.
  • Zarządzanie subskrypcjami i weryfikacja paragonów mogą być przetwarzane przez RevenueCat na podstawie Umowy Powierzenia Przetwarzania Danych.

Polityka Prywatności Stripe →

Logowanie Społecznościowe

ReadyToSay umożliwia logowanie przez Google, Apple i Facebook. Gdy korzystasz z logowania społecznościowego:

  • Otrzymujemy jedynie Twój adres e-mail, nazwę wyświetlaną i zdjęcie profilowe od dostawcy logowania społecznościowego.
  • Nie uzyskujemy dostępu do Twoich kontaktów, postów, wiadomości ani żadnych innych danych z Twoich kont w mediach społecznościowych.
  • Możesz cofnąć dostęp ReadyToSay w dowolnym momencie poprzez ustawienia swojego konta Google, Apple lub Facebook.
  • Funkcja „Ukryj mój e-mail” Apple jest w pełni obsługiwana — możesz się zalogować bez udostępniania swojego prawdziwego adresu e-mail.

Prywatność Dzieci

ReadyToSay jest przeznaczony dla użytkowników w wieku 16 lat i starszych. Nie zbieramy świadomie danych osobowych osób poniżej 16 roku życia. Jeśli dowiemy się, że zebraliśmy dane osobowe osoby poniżej 16 lat, podejmiemy kroki w celu niezwłocznego usunięcia takich danych. Jeśli uważasz, że dziecko poniżej 16 roku życia przekazało nam dane osobowe, prosimy o kontakt pod adresem privacy@readytosay.app.

Usunięcie Konta

Możesz zażądać usunięcia swojego konta i powiązanych danych w dowolnym momencie:

  • W aplikacji ReadyToSay: Ustawienia → Konto → Usuń konto.
  • Przez naszą stronę: Odwiedź readytosay.app/delete-account i postępuj zgodnie z instrukcjami.
  • Przez e-mail: Wyślij prośbę na adres privacy@readytosay.app z tematem „Prośba o usunięcie konta”.

Co zostanie usunięte

Informacje profilowe, historia rozmów, dane sesji ćwiczeniowych, postępy i osiągnięcia oraz dane subskrypcji (dokumentacja rozliczeniowa przechowywana zgodnie z wymogami prawa).

Po złożeniu prośby o usunięcie Twoje konto wchodzi w 30-dniowy okres karencji, podczas którego możesz je reaktywować. Po 30 dniach wszystkie dane zostają trwale i nieodwracalnie usunięte.

Niektóre zanonimizowane, zagregowane dane (np. łączna liczba sesji, średnie wyniki) mogą być zachowane na potrzeby doskonalenia Usługi, ale dane te nie mogą być powiązane z Twoją osobą.

Bezpieczeństwo Danych

Wdrażamy standardowe środki bezpieczeństwa branżowego w celu ochrony Twoich danych:

  • Wszystkie dane w tranzycie są szyfrowane przy użyciu TLS 1.2+ (HTTPS).
  • Hasła są haszowane algorytmem Argon2id z unikalnymi solami per użytkownik.
  • Połączenia z bazą danych są szyfrowane, a dostęp ograniczony listami dozwolonych adresów IP.
  • Endpointy API są chronione limitowaniem zapytań, politykami CORS i nagłówkami bezpieczeństwa (CSP, HSTS, X-Frame-Options).
  • Przeprowadzamy regularne przeglądy bezpieczeństwa i skanowanie podatności zależności.
  • Dostęp do systemów produkcyjnych jest ograniczony do upoważnionego personelu z uwierzytelnianiem wieloskładnikowym.

W przypadku naruszenia ochrony danych, które stwarza ryzyko dla Twoich praw, powiadomimy poszkodowanych użytkowników i właściwy organ nadzorczy ds. ochrony danych w ciągu 72 godzin, zgodnie z art. 33 RODO.

Zmiany w Tej Polityce

Możemy od czasu do czasu aktualizować niniejszą Politykę Prywatności. W przypadku istotnych zmian powiadomimy Cię poprzez powiadomienie w aplikacji i/lub e-mail z co najmniej 30-dniowym wyprzedzeniem przed wejściem zmian w życie. Data „Ostatnia Aktualizacja” na górze tej strony wskazuje na najnowszą wersję. Zachęcamy do okresowego przeglądania tej polityki. Dalsze korzystanie z Usługi po wejściu zmian w życie oznacza akceptację zaktualizowanej polityki.

Kontakt

W sprawach związanych z prywatnością, wnioskami o realizację praw podmiotów danych lub w celu skorzystania z przysługujących praw, prosimy o kontakt:

Luxfort Michal Mrotek

ul. Malinowa 8a, Bydgoszcz, Polska

Email: privacy@readytosay.app

Odpowiadamy na wszystkie wnioski w ciągu 30 dni. W przypadku wniosków RODO możemy przedłużyć ten okres o dodatkowe 60 dni w przypadku skomplikowanych wniosków, o czym poinformujemy w ciągu początkowego 30-dniowego okresu.

Jeśli nie jesteś zadowolony z naszej odpowiedzi, masz prawo złożyć skargę do właściwego organu nadzorczego ds. ochrony danych. Dla mieszkańców Polski jest to Prezes Urzędu Ochrony Danych Osobowych (UODO).