Палітыка канфідэнцыяльнасці

PolishReady («мы», «нас», «наш») з'яўляецца аператарам персанальных даных, адказным за апрацоўку вашых персанальных даных у адпаведнасці з гэтай Палітыкай канфідэнцыяльнасці. Па пытаннях апрацоўкі даных звяртайцеся на support@polishready.pl.

Мы збіраем наступныя катэгорыі персанальных даных:

• Даныя акаўнта: электронная пошта, адлюстраванае імя і даныя аўтэнтыфікацыі пры рэгістрацыі праз Supabase Auth, уключаючы даныя знешніх OAuth-правадэраў (напрыклад, Google), калі вы імі карыстаецеся.
• Вучэбныя даныя: абраны ўзровень валодання польскай мовай, родная мова, прагрэс, балы за тэсты і практыкаванні, запісы аб завяршэнні модуляў і аналітыка вынікаў.
• Кантэнт карыстальніка: фатаграфіі рукапісных работ для аўтаматычнай ацэнкі, аўдыязапісы практыкаванняў размоўнай мовы і тэкставыя адказы з практыкаванняў.
• Плацежныя даныя: калі вы афармляеце платную падпіску, плацежныя рэквізіты непасрэдна апрацоўвае Stripe. Мы атрымліваем і захоўваем толькі абмежаваны набор метаданых плацяжу (напрыклад, апошнія чатыры лічбы карткі, краіна разліку, ідэнтыфікатары транзакцый, статус падпіскі). Мы ніколі не захоўваем поўныя нумары картак, CVV або поўныя банкаўскія рэквізіты.
• Тэхнічныя даныя: IP-адрас, тып і версія браўзера, тып прылады, аперацыйная сістэма, рэферы, наведаныя старонкі Сэрвісу, меткі часу і іншыя дыягнастычныя даныя з логаў сервера і хостынгу.
• Файлы cookie: мы выкарыстоўваем толькі неабходныя файлы cookie для аўтэнтыфікацыі і кіравання сесіяй. Падрабязнасці ў раздзеле 8.

Мы апрацоўваем персанальныя даныя на наступных прававых падставах у адпаведнасці з Рэгламентам (ЕС) 2016/679 (GDPR):

• Выкананне дагавора (арт. 6(1)(b)): апрацоўка, неабходная для аказання Сэрвісу, на які вы зарэгістраваліся, уключаючы кіраванне акаўнтам, апрацоўку кантэнту, фарміраванне зваротнай сувязі і кіраванне падпіскай.
• Законныя інтарэсы (арт. 6(1)(f)): апрацоўка, неабходная для ўдасканалення сэрвісу, маніторынгу бяспекі, прадухілення шахрайства, аналітыкі і забеспячэння выканання Умоў выкарыстання, калі нашы інтарэсы не пераважаюць над вашымі правамі і свабодамі.
• Згода (арт. 6(1)(a)): калі мы спытаемся на згоду (напрыклад, для дадатковых паведамленняў), вы можаце адклікаць яе ў любы момант без уплыву на законнасць апрацоўкі да адклікання.
• Юрыдычны абавязак (арт. 6(1)(c)): апрацоўка, неабходная для выканання юрыдычных абавязкаў, уключаючы падатковую справаздачнасць, захаванне фінансавых запісаў і адказы на законныя запыты дзяржаўных органаў.

Мы выкарыстоўваем персанальныя даныя ў наступных мэтах:

• аказанне і праца Сэрвісу, уключаючы фарміраванне зваротнай сувязі для практыкаванняў пісьма і размоўнай мовы;
• Персаналізацыя навучання па ўзроўні і роднай мове;
• апрацоўка плацяжоў падпіскі і разлік праз Stripe;
• камунікацыя па пытаннях акаўнта, абнаўленняў сэрвісу і запытаў у падтрымку;
• аналіз агрэгаваных і ананімізаваных шаблонаў выкарыстання для паляпшэння Сэрвісу, выпраўлення памылак і развіцця функцый;
• выяўленне, прадухіленне і рэагаванне на шахрайства, злоўжыванні, інцыдэнты бяспекі і тэхнічныя праблемы;
• забеспячэнне выканання Умоў выкарыстання і іншых палітык;
• выкананне прымяняльных юрыдычных абавязкаў.

Мы перадаем персанальныя даныя наступным катэгорыям пастаўшчыкоў паслуг толькі ў мэтах, апісаных у гэтай Палітыцы:

• Supabase (Supabase Inc.): аўтэнтыфікацыя, хостынг базы даных і захоўванне файлаў. Даныя акаўнта, вучэбныя запісы і загружаны кантэнт захоўваюцца ў інфраструктуры Supabase.
• Stripe (Stripe Payments Europe, Ltd.): апрацоўка плацяжоў. Stripe атрымлівае плацежныя даныя непасрэдна пры афармленні. Апрацоўку Stripe рэгулююць уласная палітыка канфідэнцыяльнасці Stripe і дамовы аб апрацоўцы даных.
• Resend (Resend, Inc.): транзакцыйная электронная пошта. Адрас электроннай пошты перадаецца Resend для пацвярджэння акаўнта, скіду пароля і сэрвісных паведамленняў.
• Google Cloud / Gemini (Google LLC): аўтаматычная ацэнка і зваротная сувязь. Адпраўлены кантэнт (выявы работ, аўдыё) перадаецца сэрвісам Google для апрацоўкі. Умовы выкарыстання даных вызначаюцца ўмовамі апрацоўкі даных Google і Google Cloud.
• Vercel (Vercel Inc.): хостынг прыкладання і CDN.

Мы не прадаем, не здаем у арэнду і не абменьваем персанальныя даныя трэцім бакам для іх маркетынгу або рэкламы.

Мы можам раскрыць даныя, калі гэтага патрабуе закон, рэгламентаванне, судовы працэс або выканальны запыт дзяржаўнага органа, або калі добрасумленна лічым, што раскрыццё неабходна для абароны прав, уласнасці або бяспекі нас або іншых асоб, або для выяўлення і прадухілення шахрайства або інцыдэнтаў бяспекі.

Вашы персанальныя даныя могуць перадавацца і апрацоўвацца ў краінах за межамі Еўрапейскай эканамічнай прасторы (ЕЭП), уключаючы Злучаныя Штаты, дзе нашы пастаўшчыкі падтрымліваюць інфраструктуру. У такіх выпадках мы забяспечваем адпаведныя гарантыі ў адпаведнасці з главай V GDPR, уключаючы:

• стандартныя дагаворныя палажэнні (SCC), зацверджаныя Еўрапейскай Камісіяй;
• рашэнні аб адэкватнасці, прынятыя Еўрапейскай Камісіяй;
• сертыфікацыі пастаўшчыкоў у прызнаных рамках (напрыклад, EU-U.S. Data Privacy Framework).

Выкарыстоўваючы Сэрвіс, вы прызнаеце і згаджаецеся на перадачу даных у юрысдыкцыі, дзе законы аб абароне даных могуць адрознівацца ад законаў у вашай краіне пражывання.

Мы захоўваем персанальныя даныя толькі столькі, колькі неабходна для мэт гэтай палітыкі або патрабуе закон. Канкрэтныя тэрміны:

• Даныя акаўнта: на працягу дзейнасці актыўнага акаўнта. Пасля запыту на выдаленне мы выдалім або незваротна ананімізуем даныя на працягу 30 дзён, акрамя выпадкаў, калі закон патрабуе далейшага захоўвання.
• Вучэбныя даныя і кантэнт карыстальніка: на працягу дзейнасці актыўнага акаўнта. Ананімізаваныя і агрэгаваныя даныя, атрыманыя з вашага кантэнту, могуць захоўвацца бестэрмінова для паляпшэння Сэрвісу і навучання мадэляў на ананімізаваных даных.
• Плацежныя і фінансавыя запісы: да 7 гадоў пасля даты транзакцыі ў адпаведнасці з падатковым і фінансавым заканадаўствам.
• Тэхнічныя і серверныя логі: да 90 дзён для маніторынгу бяспекі, адладкі і рэагавання на інцыдэнты.

Пасля заканчэння адпаведнага тэрміну персанальныя даныя бяспечна выдаляюцца або незваротна ананімізуюцца.

Мы выкарыстоўваем наступныя катэгорыі файлаў cookie:

• Абавязковыя файлы cookie: патрэбныя для аўтэнтыфікацыі, сесіі і асноўнай працы Сэрвісу. Іх немагчыма адключыць без страты магчымасці карыстацца Сэрвісам.

У цяперашні час мы не выкарыстоўваем рэкламныя cookie, cookie сацыяльных сетак або староннюю аналітыку.

Вы можаце кіраваць наладамі cookie ў браўзеры. Адключэнне абавязковых cookie робіць немагчымым уваход і выкарыстанне Сэрвісу. Працягваючы карыстацца Сэрвісам, вы згаджаецеся на выкарыстанне абавязковых cookie, як апісана вышэй.

Калі вы знаходзіцеся на тэрыторыі Еўрапейскай эканамічнай прасторы, вам належаць наступныя правы па GDPR:

• Права на доступ (арт. 15): атрымаць копію персанальных даных, якія мы захоўваем.
• Права на выпраўленне (арт. 16): патрабаваць выпраўлення неточных або непоўных даных.
• Права на выдаленне (арт. 17): патрабаваць выдалення даных з улікам юрыдычных патрабаванняў захоўвання і законных падставаў далейшай апрацоўкі.
• Права на абмежаванне апрацоўкі (арт. 18): патрабаваць абмежавання апрацоўкі ў пэўных выпадках.
• Права на перанос даных (арт. 20): атрымаць даныя ў структураваным, шырока выкарыстоўваным машыначытальным фармаце.
• Права на запярэчэнне (арт. 21): запярэчыць супраць апрацоўкі на падставе законных інтарэсаў або для прамога маркетынгу.
• Права адклікаць згоду: калі апрацоўка заснавана на згодзе, вы можаце адклікаць яе ў любы момант без уплыву на законнасць апрацоўкі да адклікання.

Каб скарыстацца правамі, напішыце на support@polishready.pl. Мы адкажам на працягу 30 дзён. Можам запытаць пацвярджэнне асобы.

Калі вы лічыце, што парушаны вашы правы на абарону даных, вы маеце права падаць скаргу ў наглядальны орган, у прыватнасці ў дзяржаве-члене ЕС вашага звычайнага месца пражывання, працы або месца меркаванага парушэння.

Калі вы жыхар Каліфорніі, вам могуць належаць дадатковыя правы па California Consumer Privacy Act (CCPA) і California Privacy Rights Act (CPRA):

• Права ведаць: раскрыццё катэгорый і канкрэтных збіраных персанальных звестак, крыніц, дзелавых мэт збору і катэгорый трэціх бакоў, якім даныя перадаюцца.
• Права на выдаленне: запыт на выдаленне персанальнай інфармацыі з улікам законных выключэнняў.
• Права на недыскрымінацыю: мы не будзем дыскрымінаваць вас за выкарыстанне правоў CCPA.

Мы не «прадаем» і не «даем сумесны доступ» да персанальнай інфармацыі ў разуменні CCPA/CPRA.

Сэрвіс не прызначаны для дзяцей малодшых за 16 гадоў, і мы свядома не збіраем персанальныя даныя дзяцей малодшых за 16 гадоў. Калі мы даведаемся, што сабралі даныя дзіцяці малодшага за 16 гадоў без належнай згоды бацькоў або апекуна, мы прымем меры для неадкладнага выдалення такіх даных. Калі вы лічыце, што дзіця малодшае за 16 гадоў перадала нам даныя, неадкладна звярніцеся да нас: support@polishready.pl.

Мы прымяняем адпаведныя тэхнічныя і арганізацыйныя меры для абароны персанальных даных ад несанкцыянаванага доступу, змены, раскрыцця або знішчэння, уключаючы шыфраванне пры перадачы (TLS/SSL), шыфраваныя злучэнні з базай даных, кантроль доступу і аўтэнтыфікацыю, перыядычныя праверкі бяспекі і маніторынг інфраструктуры.

Ніводны спосаб перадачы праз інтэрнэт або электроннага захоўвання не з'яўляецца цалкам бяспечным. Хоць мы імкнемся абараняць даныя разумнымі камерцыйнымі сродкамі, мы не гарантуем абсалютную бяспеку і не нясем адказнасці за парушэнні бяспекі, акрамя выпадкаў, прадугледжаных законам.

Сэрвіс выкарыстоўвае аўтаматызаваную апрацоўку, уключаючы мадэлі машыннага навучання трэціх бакоў, для фарміравання зваротнай сувязі па моўных практыкаваннях (пісьмо і размоўная мова). Гэта апрацоўка з'яўляецца ключавой часткай Сэрвісу і ажыццяўляецца на падставе выканання дагавора.

Такая апрацоўка не выклікае для вас юрыдычных наступстваў або істотна на вас не ўплывае ў разуменні арт. 22 GDPR. Зваротная сувязь мае дарадчы характар і прызначана толькі для навучальных і трэніровачных мэт. Вы не падлягаеце рашэнням, заснаваным выключна на аўтаматызаванай апрацоўцы, якія маюць юрыдычныя наступствы або істотна ўплываюць на вас, як прадугледжана арт. 22 GDPR.

Мы можам перыядычна абнаўляць гэтую Палітыку канфідэнцыяльнасці з улікам змяненняў у практыках, тэхналогіях, юрыдычных патрабаваннях або іншых фактарах. Істотныя змены будуць пазначаны абнаўленнем «Даты ўступлення ў сілу» на пачатку дакумента. Вы адказваеце за перыядычнае азнаямленне з палітыкай. Працяг выкарыстання Сэрвісу пасля публікацыі змен азначае прыняцце абноўленай палітыкі. Калі змены істотна ўплываюць на апрацоўку вашых існуючых даных, мы прымем разумныя намаганні, каб паведаміць вас (напрыклад, электроннай поштай або ў прыкладанні) да ўступлення змен у сілу.

Па пытаннях, заўвагах або запытах адносна персанальных даных або гэтай Палітыкі звяртайцеся:

support@polishready.pl

Па пытаннях GDPR вы таксама маеце права звярнуцца ў адпаведны наглядальны орган па абароне даных у вашай юрысдыкцыі.