Polityka prywatności

Administrator danych

Administratorem odpowiedzialnym za przetwarzanie danych osobowych w tym serwisie jest Luca Henrik Stosch, Einzelunternehmen — działający pod nazwą „Nekonbini".

Adres pocztowy: Von-Bargen-Straße 39, 22041 Hamburg, Niemcy
E-mail: luca@sutoshu.com

Inspektor ochrony danych nie został wyznaczony (nie zachodzi żadna z przesłanek z art. 37 RODO).

Jakie dane przetwarzamy

• Konto i logowanie: twój adres e-mail (używany jako identyfikator konta i do e-maili weryfikacyjnych), twoja nazwa wyświetlana, jeśli ją ustawisz, oraz wybrana metoda uwierzytelnienia (jednorazowy kod e-mail, Google lub Apple). Logowanie przez Google i Apple obsługuje Firebase Authentication; od dostawcy tożsamości otrzymujemy wyłącznie twój zweryfikowany adres e-mail oraz (opcjonalnie) nazwę wyświetlaną.
• Stan nauki: twoja biblioteka zapisanych słów i kanji, stan powtórek rozłożonych w czasie (historia powtórek, harmonogram, poziom pudełka), historie, które wygenerowałeś lub zaimportowałeś, postępy na poziomie zdań, liczniki XP i serii, twoje ustawienia (język interfejsu, strefa czasowa, docelowy poziom JLPT, dzienny cel XP) oraz flagi funkcji śledzące ukończenie kroków wprowadzenia. To spersonalizowany stan nauki, dzięki któremu pomoce do czytania, powtórki i adaptacyjne ekrany działają na wszystkich twoich urządzeniach.
• Treści, które przesyłasz: importowane lub wklejone teksty, dokumenty przesyłane do tokenizacji, prompty i odpowiedzi w rozmowach z tutorem AI, układane przez ciebie skojarzenia do kanji oraz reakcje pozostawione przy udostępnionych skojarzeniach społeczności. Część tych treści przekazujemy dostawcom AI (zobacz „Podmioty przetwarzające" poniżej), by wygenerować tłumaczenia, wyjaśnienia i odpowiedzi.
• Dane dotyczące subskrypcji, płatności i użycia AI: aktywny plan (jeśli jest) na twoim koncie, data jego wygaśnięcia oraz rejestr wywołań AI w twoim imieniu — liczba tokenów wejściowych/wyjściowych, użyty dostawca, funkcja, która wywołała zapytanie, i szacunkowy koszt. Płatności kartą obsługuje Stripe (zobacz „Podmioty przetwarzające" poniżej); nie widzimy ani nie przechowujemy pełnych numerów kart.
• Techniczne dane eksploatacyjne: serwerowe logi zapytań (znacznik czasu, ścieżka, kod statusu, adres IP, user-agent) potrzebne do działania i zabezpieczenia serwisu; zdarzenia błędów rejestrowane przez naszą usługę monitorowania błędów (zobacz „Telemetria" poniżej); oraz — wyłącznie za twoją zgodą — zbiorcze zdarzenia analityki odsłon stron (zobacz „Telemetria" poniżej). Kreski, które rysujesz podczas ćwiczenia pisania kanji, są oceniane na serwerze w czasie rzeczywistym, ale nie są przechowywane.

Cele i podstawy prawne

Powyższe dane przetwarzamy w celu świadczenia spersonalizowanej usługi nauki, na którą się zapisałeś (synchronizacja biblioteki, planowanie powtórek, generowanie historii, rozmowy z tutorem AI) na podstawie art. 6 ust. 1 lit. b RODO (wykonanie umowy z tobą); w celu prowadzenia, zabezpieczenia i debugowania serwisu — logi serwerowe, wykrywanie nadużyć, monitorowanie błędów — na podstawie art. 6 ust. 1 lit. f RODO (nasz prawnie uzasadniony interes w utrzymaniu dostępności i bezpieczeństwa usługi); w celu zbiorczego pomiaru użycia produktu na podstawie art. 6 ust. 1 lit. a RODO (twoja zgoda, którą możesz wycofać w każdej chwili); oraz w celu wypełnienia obowiązków prawnych, w szczególności niemieckiego prawa podatkowego i rachunkowego dla planów płatnych, na podstawie art. 6 ust. 1 lit. c RODO, w odpowiednim zakresie.

Analityka, monitorowanie błędów i przechowywanie danych na twoim urządzeniu

Nekonbini korzysta z dwóch zewnętrznych usług telemetrycznych. Traktujemy je odmiennie, bo różne są ich cele.

Analityka — wymagana zgoda

Korzystamy ze zbiorczej usługi analitycznej, by rozumieć, jak używana jest aplikacja. Analityka ładuje się dopiero po akceptacji na banerze zgody; adresy IP nie są przechowywane w formie umożliwiającej identyfikację. Możesz wycofać lub zmienić swój wybór w każdej chwili przez baner zgody lub w ustawieniach konta; zatrzyma to dalsze zdarzenia analityczne na resztę sesji i przy kolejnych wizytach.

Monitorowanie błędów — prawnie uzasadniony interes

Korzystamy z usługi monitorowania błędów, by przechwytywać nieobsłużone błędy i awarie, dzięki czemu możemy je naprawić. Zdarzenia błędów obejmują adres URL strony (z usuniętymi ciągami zapytania, by nie wyciekły tokeny uwierzytelnienia), wersję przeglądarki, ślad stosu oraz — dla zalogowanych użytkowników — wewnętrzny identyfikator użytkownika, by powiązać zgłoszenie z osobą, której dotyczy. Pliki cookie i adresy IP nie są zbierane. Monitorowanie błędów działa na podstawie naszego prawnie uzasadnionego interesu w prowadzeniu sprawnej usługi (art. 6 ust. 1 lit. f RODO); możesz wnieść sprzeciw wobec tego przetwarzania pod adresem kontaktowym podanym powyżej.

Przechowywanie danych na twoim urządzeniu

Twój wybór dotyczący zgody oraz stan uwierzytelnienia są zapisywane w localStorage twojej przeglądarki. Mały zestaw dodatkowych kluczy przechowuje preferencje interfejsu (ostatnio wybrany język, stan układu). To techniczne przechowywanie na twoim własnym urządzeniu, a nie pliki cookie do śledzenia od podmiotów trzecich; wyczyszczenie danych witryny w przeglądarce je usuwa.

Podmioty przetwarzające i usługi zewnętrzne

Wymienione poniżej podmioty przetwarzają dane osobowe w naszym imieniu albo — w zakresie elementów ich usług, którymi sami zarządzają — jako niezależni administratorzy. Lista jest aktualna na dzień podany niżej w polu „Ostatnia aktualizacja"; aktualizujemy ją, zanim nowy podmiot zostanie włączony do usługi.

• Amazon Web Services EMEA SARL (Luksemburg) — hosting aplikacji i bazy danych w Unii Europejskiej (Niemcy). AWS może, jako podwykonawca, korzystać z amerykańskiej spółki macierzystej w oparciu o EU-US Data Privacy Framework i Standardowe Klauzule Umowne UE (zobacz „Transfery międzynarodowe" poniżej).
• Resend (Resend Inc., USA, w oparciu o EU-US Data Privacy Framework i Standardowe Klauzule Umowne UE) — wysyła e-maile transakcyjne, takie jak sześciocyfrowy jednorazowy kod do logowania e-mailem.
• Stripe Payments Europe Ltd. (Irlandia, z transferem do USA do Stripe Inc. w oparciu o EU-US Data Privacy Framework i Standardowe Klauzule Umowne UE) — obsługuje płatności subskrypcyjne.
• Firebase Authentication (Google Ireland Limited / Google LLC) — obsługuje logowanie federacyjne przez Google i Apple. Przekazywane są twój zweryfikowany adres e-mail i (jeśli podany) nazwa wyświetlana. Firebase to usługa amerykańska; podstawę prawną opisuje „Transfery międzynarodowe" poniżej.
• Sentry (instancja UE) — przechwytuje nieobsłużone błędy i awarie. Używana przez nas instancja jest hostowana w Unii Europejskiej; dane zdarzeń pozostają w UE. Zawartość każdego zdarzenia opisuje sekcja „Telemetria" powyżej.
• Google Analytics 4 (Google Ireland Limited / Google LLC) — ładuje się tylko po wyrażeniu zgody na analitykę. Zobacz „Telemetria" powyżej. Google jest podmiotem przetwarzającym z siedzibą w USA; podstawę prawną opisuje „Transfery międzynarodowe" poniżej.
• Podwykonawcami AI są OpenAI (USA), Google (UE/USA), Mistral AI (FR) oraz OpenRouter (USA) jako pośrednik routingu. Gdy korzystasz z funkcji opartej na AI, przekazujemy istotny tekst — na przykład czytane zdanie, twój prompt z czatu lub zaimportowany dokument — wraz z minimalnym kontekstem potrzebnym do odpowiedzi. Aktywny zestaw może się zmieniać, gdy dostrajamy jakość modeli i koszty; aktualizujemy tę listę, zanim nowy dostawca wejdzie na produkcję.

Transfery międzynarodowe danych

Większość danych, które o tobie przechowujemy, znajduje się w Unii Europejskiej. Część wymienionych powyżej podmiotów ma siedzibę w Stanach Zjednoczonych; twoje dane są tam przekazywane, gdy korzystasz z funkcji, która od nich zależy. Opieramy się na decyzji Komisji Europejskiej o odpowiednim stopniu ochrony w ramach EU-US Data Privacy Framework, jeśli odbiorca posiada odpowiednią certyfikację, oraz dodatkowo na Standardowych Klauzulach Umownych UE (Moduł 2, administrator-podmiot przetwarzający).

Jak długo przechowujemy twoje dane

Dane konta, stan nauki i przesłane przez ciebie treści przechowujemy tak długo, jak istnieje twoje konto; gdy poprosisz o jego usunięcie, kasujemy je w ciągu 30 dni. Tam, gdzie obowiązują ustawowe terminy przechowywania dokumentów księgowych (§ 147 niemieckiej Ordynacji podatkowej AO i § 257 niemieckiego Kodeksu handlowego HGB) — czyli przy płatnych subskrypcjach — bazowe dane faktur i rozliczeń są zachowywane przez ustawowy okres (obecnie do 10 lat), po tym jak reszta twojego konta została już usunięta. Zapytania o jednorazowy kod e-mail są usuwane automatycznie po jego użyciu lub wygaśnięciu. Logi serwerowe, zdarzenia błędów i dane analityczne są automatycznie rotowane przez naszych dostawców zgodnie z ich domyślną retencją; nie wydłużamy tych okresów.

Twoje prawa

Zgodnie z RODO przysługują ci następujące prawa dotyczące twoich danych osobowych. Aby skorzystać z któregokolwiek z nich, napisz do nas na adres e-mail podany w sekcji Administrator powyżej, z adresu powiązanego z twoim kontem. Odpowiadamy w ciągu 30 dni od otrzymania wniosku; jeśli sprawa jest wyjątkowo złożona, poinformujemy cię i wyjaśnimy przedłużenie terminu.

• Prawo dostępu (art. 15) — możesz poprosić o kopię danych osobowych, które o tobie przechowujemy.
• Prawo do sprostowania (art. 16) — możesz poprosić o poprawienie nieprawidłowych lub niekompletnych danych.
• Prawo do usunięcia (art. 17) — możesz poprosić o usunięcie konta i powiązanych z nim danych.
• Prawo do przenoszenia danych (art. 20) — możesz poprosić o eksport przekazanych przez ciebie danych w formacie nadającym się do odczytu maszynowego.
• Prawo sprzeciwu (art. 21) — możesz wnieść sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie, w tym logów serwerowych i monitorowania błędów.
• Prawo do wycofania zgody (art. 7 ust. 3) — w przypadku przetwarzania opartego na zgodzie (analityka) możesz ją wycofać w każdej chwili przez baner cookie; nie wpływa to na zgodność z prawem przetwarzania sprzed wycofania.
• Prawo do wniesienia skargi — możesz złożyć skargę do organu nadzorczego w kraju zamieszkania. Dla Hamburga właściwym organem jest Hamburski Pełnomocnik ds. Ochrony Danych i Wolności Informacji (Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit).

Dzieci

Nekonbini jest przeznaczone dla użytkowników w wieku od 16 lat. Świadomie nie zbieramy danych osobowych od osób poniżej 16 roku życia. Jeśli podejrzewasz, że konto założyło dziecko, napisz do nas na adres podany w sekcji Administrator powyżej, a usuniemy to konto.

Bezpieczeństwo

Dane są hostowane w UE na infrastrukturze opartej na umowach. Uwierzytelnianie odbywa się przez podpisane tokeny sesji wystawiane po weryfikacji bez hasła. Nie przechowujemy haseł. Dostęp do środowiska produkcyjnego ma wyłącznie operator.

Zmiany w tej polityce

Zaktualizujemy tę stronę, gdy nasze przetwarzanie istotnie się zmieni — w szczególności gdy dojdzie nowy podmiot przetwarzający lub podwykonawca, albo gdy wprowadzimy funkcje wnoszące nowe kategorie danych. Data „Ostatniej aktualizacji" poniżej zmienia się przy każdej istotnej edycji; o zmianach wpływających na twoje prawa lub wymagających nowej zgody dodatkowo poinformujemy zalogowanych użytkowników w aplikacji.