Jak NexTutor zbiera, przetwarza i chroni Twoje dane osobowe.
Administratorem Twoich danych osobowych jest Marek Nowicki, prowadzący działalność pod marką NexTutor (dalej: „Administrator" lub „NexTutor"), adres e-mail: privacy@nextutor.academy.
W sprawach dotyczących ochrony danych osobowych możesz kontaktować się z nami:— e-mail: privacy@nextutor.academy— przez formularz kontaktowy dostępny na stronie nextutor.academy/kontakt
Dążymy do udzielenia odpowiedzi w ciągu 72 godzin.
Zbieramy tylko te dane, które są niezbędne do świadczenia usług edukacyjnych.
Dane podane przez Ciebie:
— adres e-mail (wymagany do rejestracji)
— imię lub pseudonim (opcjonalne)
— dane płatnicze (przetwarzane przez Stripe — nie przechowujemy numerów kart)
— notatki, pliki PDF i inne materiały wgrane do Serwisu
— odpowiedzi udzielane w quizach i Gap Scannerze
Dane zbierane automatycznie:
— dane o postępach w nauce i statusie opanowania materiału
— czas i częstotliwość korzystania z Serwisu
— adres IP i typ przeglądarki (do celów bezpieczeństwa)
— pliki cookies i podobne technologie (opisane w Polityce Cookies)
Dane dzieci:
Jeśli konto zakłada rodzic dla dziecka poniżej 16. roku życia, przetwarzamy dane dziecka wyłącznie za zgodą i wiedzą rodzica lub opiekuna prawnego. Rodzic ma pełną kontrolę nad kontem dziecka.
Przetwarzamy Twoje dane w następujących celach:
**Świadczenie usług edukacyjnych** (art. 6 ust. 1 lit. b RODO — wykonanie umowy)
— umożliwienie korzystania z lekcji, fiszek, quizów i innych funkcji Serwisu
— personalizacja ścieżki nauki i algorytmu FSRS
— obsługa konta i subskrypcji
**Obsługa płatności** (art. 6 ust. 1 lit. b RODO — wykonanie umowy)
— realizacja transakcji przez operatora Stripe
— wystawianie faktur na żądanie
**Bezpieczeństwo i zapobieganie nadużyciom** (art. 6 ust. 1 lit. f RODO — uzasadniony interes)
— monitorowanie podejrzanej aktywności
— ochrona przed nieuprawnionym dostępem
**Poprawa jakości usług** (art. 6 ust. 1 lit. f RODO — uzasadniony interes)
— analiza zagregowanych danych o korzystaniu z Serwisu
— doskonalenie modeli AI i jakości treści edukacyjnych
**Komunikacja marketingowa** (art. 6 ust. 1 lit. a RODO — zgoda)
— informacje o nowościach i aktualizacjach Serwisu
— wyłącznie jeśli wyraziłeś na to zgodę; możesz ją cofnąć w każdej chwili
**Obowiązki prawne** (art. 6 ust. 1 lit. c RODO)
— przechowywanie dokumentów księgowych przez okres wymagany przepisami
Prywatność Twoich materiałów edukacyjnych jest dla nas priorytetem.
Twoje notatki i materiały:
— Pliki i notatki wgrane do Serwisu są przechowywane zaszyfrowane.
— Są one dostępne wyłącznie dla Ciebie oraz systemów AI NexTutor w celu udzielania odpowiedzi.
— Nie sprzedajemy Twoich notatek ani nie udostępniamy ich osobom trzecim w celach reklamowych.
— Możesz usunąć wszystkie swoje materiały w dowolnej chwili z poziomu ustawień konta.
Rozmowy z AI (Study Companion):
— Treści Twoich rozmów z asystentem AI nie są widoczne dla rodziców ani nauczycieli.
— Rodzic korzystający z Konta Rodzica widzi wyłącznie metryki: czas nauki, postępy, luki w wiedzy — nie treści rozmów.
— Rozmowy mogą być przechowywane przez maksymalnie 90 dni w celu kontynuowania kontekstu sesji.
Modele AI zewnętrznych dostawców:
— Serwis korzysta z modeli AI firmy Google (Gemini) oraz Anthropic (Claude).
— Zapytania do tych modeli mogą być przesyłane na serwery dostawców zgodnie z ich polityką prywatności.
— Dokładamy starań, aby minimalizować ilość danych osobowych przesyłanych do modeli AI.
— Więcej informacji: ai.google/responsibility/privacy, anthropic.com/privacy
Nie sprzedajemy Twoich danych. Dane mogą być przekazywane wyłącznie zaufanym podmiotom w zakresie niezbędnym do świadczenia usług:
**Stripe Inc.** — operator płatności. Przetwarza dane kart płatniczych zgodnie z normą PCI DSS. Polityka prywatności: stripe.com/privacy.
**Supabase Inc.** — dostawca infrastruktury bazy danych (serwery w regionie EU Frankfurt). Przetwarza dane wyłącznie na nasze polecenie. DPA (umowa powierzenia) jest zawarta.
**Google LLC (Google Cloud / Gemini API)** — infrastruktura chmurowa i modele AI. Dane mogą być przetwarzane poza EOG z zachowaniem mechanizmów transferu (standardowe klauzule umowne).
**Anthropic PBC** — modele AI. Dane mogą być przetwarzane w USA z zachowaniem standardowych klauzul umownych.
**PostHog Inc.** — analityka korzystania z Serwisu (zagregowane dane, bez identyfikacji osobowej).
**Organy publiczne** — w przypadku uzasadnionego żądania wynikającego z przepisów prawa (np. sąd, prokuratura).
Wszystkie podmioty przetwarzające działają na podstawie umów powierzenia przetwarzania danych (DPA) lub standardowych klauzul umownych.
Część naszych dostawców (Google, Anthropic, Stripe, PostHog) może przetwarzać dane w Stanach Zjednoczonych lub innych krajach poza EOG.
W każdym przypadku transfer danych odbywa się z zachowaniem odpowiednich zabezpieczeń:— standardowych klauzul umownych zatwierdzonych przez Komisję Europejską,— lub innych mechanizmów zgodnych z art. 46 RODO.
Możesz uzyskać kopię stosowanych mechanizmów transferu, kontaktując się z nami pod adresem privacy@nextutor.academy.
Przechowujemy dane przez okres niezbędny do realizacji celów przetwarzania:
**Dane konta:** przez czas trwania umowy (aktywnego konta) + 30 dni po usunięciu konta (kopie zapasowe).
**Postępy w nauce i historia sesji:** przez czas trwania aktywnego konta. Po usunięciu konta — usuwane w ciągu 30 dni.
**Dane płatnicze i faktury:** przez 5 lat od końca roku podatkowego (obowiązek prawny).
**Notatki i materiały wgrane przez Użytkownika:** do momentu usunięcia przez Użytkownika lub usunięcia konta.
**Logi bezpieczeństwa (IP, aktywność):** przez 90 dni.
**Rozmowy z AI:** przez maksymalnie 90 dni (kontekst sesji), chyba że Użytkownik usunie je wcześniej.
**Dane marketingowe (jeśli zgoda):** do momentu cofnięcia zgody.
Po upływie okresu przechowywania dane są trwale usuwane lub anonimizowane.
Na podstawie RODO przysługują Ci następujące prawa:
Prawo dostępu (art. 15 RODO)
Możesz zażądać informacji o tym, jakie Twoje dane przetwarzamy i w jaki sposób.
Prawo do sprostowania (art. 16 RODO)
Możesz zażądać poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
Prawo do usunięcia (art. 17 RODO)
Możesz zażądać usunięcia swoich danych ("prawo do bycia zapomnianym"), jeśli nie ma podstawy do dalszego przetwarzania.
Prawo do ograniczenia przetwarzania (art. 18 RODO)
Możesz zażądać ograniczenia przetwarzania danych w określonych sytuacjach.
Prawo do przenoszenia danych (art. 20 RODO)
Możesz otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie (np. JSON, CSV).
Prawo do sprzeciwu (art. 21 RODO)
Możesz wnieść sprzeciw wobec przetwarzania opartego na uzasadnionym interesie Administratora.
Prawo do cofnięcia zgody
Jeśli przetwarzanie opiera się na zgodzie, możesz ją cofnąć w każdej chwili bez wpływu na zgodność z prawem wcześniejszego przetwarzania.
Jak skorzystać z praw:
Wyślij wiadomość na adres privacy@nextutor.academy z tytułem "Żądanie RODO". Odpowiemy w ciągu 30 dni. W uzasadnionych przypadkach termin może zostać przedłużony o kolejne 60 dni.
Prawo do skargi:
Jeśli uważasz, że przetwarzamy Twoje dane niezgodnie z prawem, masz prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.
Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony danych przed nieuprawnionym dostępem, utratą lub zniszczeniem:
— szyfrowanie danych w tranzycie (TLS/HTTPS)— szyfrowanie danych w spoczynku (baza danych Supabase, region EU Frankfurt)— uwierzytelnianie dwuskładnikowe dla kont administratorów— ograniczony dostęp do danych produkcyjnych (zasada minimalnych uprawnień)— regularne kopie zapasowe z szyfrowaniem— monitoring bezpieczeństwa i logowanie anomalii
W przypadku naruszenia bezpieczeństwa danych, które może skutkować wysokim ryzykiem dla Twoich praw i wolności, poinformujemy Cię bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od wykrycia naruszenia.
NexTutor jest platformą edukacyjną kierowaną do uczniów szkół średnich (wiek 14–19 lat).
Konta dla dzieci poniżej 16. roku życia:— wymagają zgody rodzica lub opiekuna prawnego— rodzic zakłada konto i ponosi odpowiedzialność za korzystanie z Serwisu przez dziecko— rodzic może w każdej chwili zażądać usunięcia danych dziecka
Konta dla osób w wieku 16–18 lat:— mogą być zakładane samodzielnie— zachęcamy do informowania rodziców o korzystaniu z Serwisu
Nie kierujemy reklam do dzieci. Nie zbieramy danych dzieci w celach marketingowych.
Możemy aktualizować niniejszą Politykę Prywatności w związku ze zmianami w prawie, technologii lub świadczonych usługach.
O istotnych zmianach poinformujemy Cię:— e-mailem na adres powiązany z Twoim kontem— poprzez komunikat w Serwisie
Data ostatniej aktualizacji jest zawsze widoczna na górze strony. Zachęcamy do regularnego zapoznawania się z aktualną wersją Polityki.