Polityka Prywatności (RODO/GDPR) — FizzUp

1. Kim jesteśmy (Administrator danych)

Administratorem danych osobowych jest:

[UZUPEŁNIĆ: nazwa podmiotu prowadzącego, np. Doradca Podatkowy Piotr Wiśniewski]

[UZUPEŁNIĆ: adres]

[UZUPEŁNIĆ: NIP / REGON (jeżeli dotyczy)]

E-mail (sprawy prywatności): [UZUPEŁNIĆ: privacy@...]

E-mail (wsparcie): [UZUPEŁNIĆ: support@...]

Jeżeli powołamy Inspektora Ochrony Danych (IOD), opublikujemy jego dane kontaktowe w tej Polityce.

2. Do kogo jest ta Polityka

Polityka dotyczy:

• odwiedzających stronę www (landing / web build),
• użytkowników aplikacji FizzUp (iOS / Android / web),
• osób kontaktujących się z nami (formularz, e-mail, wsparcie),
• klientów płatnych (subskrypcje) oraz użytkowników w ramach kont firmowych (B2B), jeżeli/na ile taka funkcja zostanie uruchomiona.

3. Jakie dane przetwarzamy (kategorie)

3.1 Dane konta

• e-mail,
• dane uwierzytelnienia (hasło jest przechowywane jako hash),
• nazwa wyświetlana / imię i nazwisko (jeżeli podasz),
• ustawienia profilu i preferencje.

3.2 Dane związane z nauką i korzystaniem z aplikacji

W zależności od używanych funkcji aplikacji przetwarzamy m.in.:

• historię sesji i rozmów tekstowych (np. tematy sesji, treść wypowiedzi w sesjach tekstowych),
• zapisane frazy i elementy „pamięci” (Memory Engine),
• preferencje stylu i sygnały (np. „lubię/nie lubię ten styl”),
• metadane użycia funkcji (np. liczniki użycia i ograniczenia planów).

3.3 Dane głosowe i transkrypcje (mikrofon)

Aplikacja może przetwarzać Twoją mowę w funkcjach głosowych.

W szczególności:

• aplikacja prosi o dostęp do mikrofonu (zgoda systemowa),
• w trybie Speak (Gemini Live) strumień audio oraz transkrypcje mogą być przesyłane bezpośrednio do dostawcy (Google Gemini Live) z Twojego urządzenia (WebSocket),
• w funkcjach STT/TTS realizowanych przez nasz backend audio lub tekst mogą być przekazywane do dostawców usług mowy (np. STT: OpenAI Whisper albo Google Speech-to-Text; TTS: Google Text-to-Speech).

Ważne (stan obecny z kodu): transkrypcje i audio z trybu Gemini Live nie są obecnie zapisywane w naszej bazie po stronie backendu (backend jedynie wydaje token ephemeryczny do połączenia).

3.4 Dane płatności (subskrypcje)

Jeżeli korzystasz z planów płatnych:

• płatności kartowe mogą być obsługiwane przez Stripe (w modelu „Checkout/Portal”),
• nie przechowujemy pełnych danych karty płatniczej (przetwarza je dostawca płatności),
• po naszej stronie mogą być przechowywane dane o statusie subskrypcji, identyfikatory klienta/subskrypcji po stronie Stripe oraz dane rozliczeniowe wymagane przepisami.

3.5 Dane kontaktowe i leady (B2B / demo)

Jeżeli skorzystasz z formularza kontaktowego lub zgłoszenia demo, możemy przetwarzać:

• imię i nazwisko,
• e-mail,
• nazwę firmy, rozmiar zespołu,
• treść wiadomości.

3.6 Dane techniczne i bezpieczeństwa

Możemy przetwarzać dane takie jak:

• adres IP (np. w logach serwerowych),
• informacje o urządzeniu, wersji aplikacji i środowisku,
• logi i zdarzenia bezpieczeństwa.

4. Po co przetwarzamy dane (cele i podstawy prawne)

W zależności od sytuacji przetwarzamy dane w następujących celach:

• świadczenie usługi i realizacja umowy (art. 6 ust. 1 lit. b RODO) — prowadzenie konta, realizacja sesji, funkcje „pamięci”, zapewnienie działania aplikacji,
• zapewnienie bezpieczeństwa i zapobieganie nadużyciom (art. 6 ust. 1 lit. f RODO) — logi, ochrona systemu, wykrywanie nadużyć,
• rozliczenia i obowiązki prawne (art. 6 ust. 1 lit. c RODO) — księgowość, podatki, reklamacje,
• kontakt i wsparcie (art. 6 ust. 1 lit. b lub f RODO) — obsługa zgłoszeń,
• marketing (jeżeli uruchomimy i wyrazisz zgodę) (art. 6 ust. 1 lit. a RODO) — newsletter, komunikaty marketingowe.

W przypadku przetwarzania danych głosowych podstawą prawną co do zasady jest realizacja usługi (art. 6 ust. 1 lit. b RODO) oraz Twoje działanie (uruchomienie funkcji głosowej + zgoda systemowa na mikrofon). Jeżeli w danym wdrożeniu wymagane będzie dodatkowe wyraźne wyrażenie zgody (np. z uwagi na lokalne interpretacje), wdrożymy je w aplikacji i opiszemy w tej Polityce.

5. Komu udostępniamy dane (odbiorcy / podmioty przetwarzające)

Korzystamy z zaufanych dostawców infrastruktury i usług:

• Google — Gemini Live (rozmowy głosowe w czasie rzeczywistym) oraz/lub STT/TTS (w zależności od konfiguracji),
• OpenAI — Whisper (transkrypcja) w zależności od konfiguracji,
• Stripe — obsługa płatności (jeżeli uruchomiona),
• Railway — hosting aplikacji i bazy danych (infrastruktura).

Pełną listę i aktualizacje publikujemy w dokumencie „Lista podmiotów przetwarzających”.

6. Transfery poza EOG

Niektórzy dostawcy mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym (EOG). W takim przypadku stosujemy odpowiednie zabezpieczenia (np. standardowe klauzule umowne) — szczegóły zostaną potwierdzone i opisane w finalnej wersji dokumentów.

7. Jak długo przechowujemy dane (retencja)

Retencja zależy od rodzaju danych i celu:

• dane konta i dane nauki — przez czas trwania konta, chyba że wcześniej usuniesz konto lub dane,
• dane rozliczeniowe — przez okres wymagany przepisami,
• dane leadów/kontaktu — przez czas niezbędny do obsługi sprawy i ewentualnych roszczeń,
• logi bezpieczeństwa — przez rozsądny okres niezbędny do zapewnienia bezpieczeństwa (dokładne okresy zostaną doprecyzowane).

Audio: w aktualnym stanie kodu nie przechowujemy trwałych nagrań z trybu Gemini Live po naszej stronie. Jeżeli wdrożymy przechowywanie audio lub transkryptów z funkcji głosowych, zaktualizujemy tę Politykę oraz zapewnimy kontrolę użytkownika.

8. Twoje prawa (RODO)

Przysługują Ci prawa:

• dostępu do danych,
• sprostowania,
• usunięcia („prawo do bycia zapomnianym”),
• ograniczenia przetwarzania,
• przenoszenia danych,
• sprzeciwu (w zakresie art. 6 ust. 1 lit. f),
• cofnięcia zgody (jeżeli przetwarzamy na podstawie zgody),
• wniesienia skargi do organu nadzorczego (w Polsce: Prezes UODO).

W aplikacji dostępne są funkcje:

• Eksport danych: „What I remember about you” → Export (RODO art. 20),
• Zapomnij pamięć: „What I remember about you” → Forget (czyści pamięć, pozostawia konto),
• Usuń konto: „What I remember about you” → Delete account (RODO art. 17; usuwa sesje/pamięć i redaguje dane identyfikujące).

9. Zautomatyzowane podejmowanie decyzji i profilowanie

FizzUp może tworzyć profile nauki (np. słabe wzorce, preferencje stylu, rekomendacje ćwiczeń) w celu personalizacji i wsparcia nauki. Nie podejmujemy decyzji wywołujących skutki prawne lub podobnie istotnie wpływających na Ciebie wyłącznie w sposób zautomatyzowany.

10. Bezpieczeństwo

Stosujemy środki techniczne i organizacyjne adekwatne do ryzyka (m.in. kontrola dostępu, szyfrowanie transmisji, ograniczony dostęp do środowisk, logowanie zdarzeń). Nie składamy deklaracji certyfikacji, jeśli ich nie posiadamy.

11. Dzieci i wiek

Usługa jest przeznaczona dla osób w wieku 18+. Jeżeli dowiemy się, że konto należy do osoby poniżej 18 lat, możemy je usunąć i zredagować dane, z zastrzeżeniem obowiązków prawnych.

12. Kontakt

W sprawach prywatności napisz do: [UZUPEŁNIĆ: privacy@...]

W sprawach wsparcia: [UZUPEŁNIĆ: support@...]