← Wróć

Polityka Prywatności

Wersja obowiązująca od: 16 maja 2026 r.

Niniejsza Polityka Prywatności (dalej: „Polityka") opisuje zasady przetwarzania danych osobowych Użytkowników serwisu Yskra, dostępnego pod adresem yskra.pl. Polityka jest sporządzona zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO), ustawą o ochronie danych osobowych z dnia 10 maja 2018 r. oraz ustawą o świadczeniu usług drogą elektroniczną (UŚUDE).

§1. Administrator danych

Administratorem danych osobowych jest BADRED Sp. z o.o. — spółka z ograniczoną odpowiedzialnością wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: 0000751115, z siedzibą ul. Zamknięta 10/1.5, 30-554 Kraków, NIP: 6793175038, REGON: 381442932, kapitał zakładowy: 5 000,00 zł (dalej: „Administrator").

Kontakt w sprawach ochrony danych: contact@yskra.pl lub korespondencja na adres siedziby Administratora.

§2. Inspektor Ochrony Danych (IOD/DPO)

Administrator nie powołał Inspektora Ochrony Danych — z uwagi na charakter, zakres i cele przetwarzania nie zachodzi obowiązek wskazany w art. 37 ust. 1 RODO. Wszystkimi sprawami związanymi z przetwarzaniem danych zajmuje się Administrator osobiście pod adresem e-mail wskazanym w §1.

§3. Jakie dane przetwarzamy

W zależności od sposobu korzystania z Serwisu możemy przetwarzać następujące kategorie danych:

  1. Dane konta: adres e-mail, hasło (przechowywane w postaci skrótu kryptograficznego), imię lub pseudonim, opcjonalnie nazwa wyświetlana, identyfikator konta zewnętrznego (Google/Apple).
  2. Data urodzenia (DOB): wymagana przy rejestracji do weryfikacji ukończenia 18 lat. Przechowywana w celach compliance (RODO art. 8, ustawa o ochronie małoletnich) i na wypadek kontroli (UOKiK, PUODO). Nie jest wyświetlana publicznie.
  3. Dane techniczne: adres IP, identyfikator sesji, typ przeglądarki, system operacyjny, język, strefa czasowa, identyfikatory urządzeń, identyfikatory plików cookies.
  4. Dane behawioralne: historia rozmów z postaciami AI, lista odblokowanych zdjęć, saldo Monet, daty ostatniej aktywności, dni „streaka", preferowane postacie.
  5. Dane płatnicze: kwota i data transakcji, identyfikator transakcji u operatora płatności, metoda płatności (np. „karta", „BLIK"). Pełne dane karty NIE są przechowywane przez Administratora — przetwarza je wyłącznie operator płatności (Stripe).
  6. Dane do rozliczeń: w przypadku żądania faktury — imię, nazwisko, adres, NIP (jeśli dotyczy).
  7. Dane z formularza kontaktowego: e-mail, treść wiadomości.
  8. Dane z subskrypcji push (gdy Użytkownik wyraził zgodę): identyfikator subskrypcji push, status zgód, historia wysłanych komunikatów.

§4. Cele i podstawy prawne przetwarzania

a) Świadczenie usług (umowa)

Cel: zawarcie i wykonywanie umowy o świadczenie usług drogą elektroniczną (utworzenie Konta, prowadzenie czatu z AI, realizacja płatności, odblokowywanie zdjęć).
Podstawa prawna: art. 6 ust. 1 lit. b RODO (umowa).
Okres: przez czas trwania umowy oraz do czasu przedawnienia roszczeń.

b) Obowiązki rachunkowe i podatkowe

Cel: wystawianie faktur, archiwizacja dokumentów księgowych.
Podstawa prawna: art. 6 ust. 1 lit. c RODO w zw. z ustawą o rachunkowości i ustawą o podatku od towarów i usług.
Okres: 5 lat od końca roku obrotowego, w którym wystawiono dokument.

c) Obrona przed roszczeniami i dochodzenie roszczeń

Cel: ustalenie, dochodzenie i obrona przed roszczeniami.
Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora).
Okres: do czasu przedawnienia roszczeń (zwykle 6 lat).

d) Bezpieczeństwo i moderacja treści

Cel: ochrona Serwisu przed nadużyciami, oszustwami, atakami, wykrywanie treści niezgodnych z Regulaminem (CSAM, kryzys samobójczy, przemoc), wykonywanie obowiązków wynikających z Aktu o Usługach Cyfrowych (DSA).
Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes) oraz art. 6 ust. 1 lit. c RODO (obowiązek prawny — DSA, AI Act).
Okres: 12 miesięcy od ostatniej aktywności Konta.

e) Komunikacja marketingowa i powiadomienia

Cel: wysyłka newsletterów oraz powiadomień push w przeglądarce o nowych wiadomościach od postaci AI lub promocjach.
Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda) w zw. z art. 10 UŚUDE (zgoda na informację handlową).
Okres: do czasu cofnięcia zgody.

f) Analityka i poprawa jakości usług

Cel: analiza statystyczna ruchu, zachowań Użytkowników, jakości odpowiedzi AI, wykrywanie problemów z UX. Dane są przetwarzane w sposób zagregowany/zanonimizowany tam gdzie to możliwe.
Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes) lub zgoda dla cookies analitycznych.

§5. Konwersacje z AI — szczególne informacje

  1. Treść Twoich rozmów z postaciami AI jest przekazywana do dostawcy modelu językowego (OpenRouter, Inc. oraz Anthropic, PBC) wyłącznie w celu wygenerowania odpowiedzi. Konfigurujemy dostawców tak, aby Twoje rozmowy nie były wykorzystywane do trenowania modeli.
  2. Część kontekstu rozmowy może być zapisywana po stronie Administratora w postaci podsumowań i wektorów osadzeń (embeddings) w celu zapewnienia ciągłości rozmowy („pamięć" postaci). Dane te są związane z Twoim Kontem.
  3. Próbka rozmów może być przeglądana przez upoważniony personel Administratora w celach moderacji bezpieczeństwa i jakości. Personel jest związany obowiązkiem zachowania poufności.
  4. Podejmujemy zautomatyzowaną moderację treści, która może blokować lub flagować Twoje wiadomości. Decyzja moderacyjna nie wywołuje skutków prawnych ani istotnie nie oddziałuje na Ciebie w rozumieniu art. 22 RODO; w przypadku zablokowania Konta z przyczyn moderacyjnych przysługuje prawo odwołania.

§6. Odbiorcy danych (procesorzy i podmioty współpracujące)

Dane osobowe mogą być przekazywane następującym kategoriom odbiorców, z którymi Administrator zawarł umowy powierzenia przetwarzania danych (zgodnie z art. 28 RODO):

  1. Dostawca infrastruktury chmurowej (hosting): Hetzner Online GmbH (Niemcy) — region serwerów: Unia Europejska.
  2. Operator płatności: Stripe Payments Europe Ltd. (Irlandia) wraz z Stripe, Inc. (USA) — przetwarzanie płatności kartą, BLIK, Apple Pay, Google Pay.
  3. Dostawca modeli językowych AI: OpenRouter, Inc. (USA) oraz Anthropic, PBC (USA) — generowanie odpowiedzi postaci AI w czacie na podstawie promptów Użytkownika.
  4. Dostawca usług e-mail transakcyjnych: Resend, Inc. (USA) — wysyłka maili (rejestracja, potwierdzenia płatności, reset hasła).
  5. Dostawca analityki produktowej: PostHog, Inc. (region UE) — analiza ruchu i zachowań w Serwisie.
  6. Dostawca usług bezpieczeństwa i CDN: Cloudflare, Inc. (USA z punktami obsługi w UE) — ochrona przed atakami DDoS, dostarczanie treści.
  7. System fakturowania: Fakturownia sp. z o.o. (Polska) — wystawianie faktur VAT.
  8. Organy państwowe — wyłącznie na podstawie obowiązku prawnego (np. żądania policji, prokuratury, UOKiK, PUODO).

§7. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)

Niektórzy odbiorcy danych (np. Stripe Inc., OpenRouter, Cloudflare) mają siedzibę w Stanach Zjednoczonych. Przekazywanie danych odbywa się w oparciu o:

  • Decyzję Komisji Europejskiej z dnia 10 lipca 2023 r. w sprawie ramy ochrony danych UE-USA (Data Privacy Framework) — w odniesieniu do podmiotów certyfikowanych w ramach DPF, lub
  • Standardowe Klauzule Umowne (SCC) przyjęte przez Komisję Europejską, uzupełnione o dodatkowe środki bezpieczeństwa (szyfrowanie, kontrola dostępu) — w odniesieniu do podmiotów niecertyfikowanych w DPF.

§8. Twoje prawa

Zgodnie z RODO przysługują Ci następujące prawa:

  1. Prawo dostępu do swoich danych (art. 15 RODO).
  2. Prawo sprostowania danych (art. 16 RODO).
  3. Prawo usunięcia („prawo do bycia zapomnianym", art. 17 RODO).
  4. Prawo ograniczenia przetwarzania (art. 18 RODO).
  5. Prawo do przenoszenia danych (art. 20 RODO).
  6. Prawo sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie (art. 21 RODO).
  7. Prawo cofnięcia zgody w każdej chwili, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
  8. Prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Aby zrealizować dowolne z powyższych praw, skontaktuj się z nami pod adresem contact@yskra.pl. Odpowiadamy w terminie 30 dni od otrzymania żądania.

§9. Pliki cookies

  1. Serwis wykorzystuje pliki cookies oraz podobne technologie (localStorage, sessionStorage, tagi pikselowe). Szczegółowe informacje o stosowanych cookies znajdują się w Polityce Cookies.
  2. Wyróżniamy cookies: niezbędne (działanie podstawowej funkcjonalności — zawsze włączone), analityczne (statystyki ruchu — wymagają zgody), marketingowe (kampanie reklamowe, retargeting — wymagają zgody).
  3. Zgody są zbierane przez baner cookies wyświetlany przy pierwszej wizycie i mogą być modyfikowane w panelu ustawień prywatności.

§10. Bezpieczeństwo danych

  1. Stosujemy odpowiednie środki techniczne i organizacyjne (TLS/SSL, szyfrowanie haseł, ograniczony dostęp personelu, kopie zapasowe, monitoring bezpieczeństwa, audyty okresowe).
  2. W przypadku stwierdzenia naruszenia ochrony danych osobowych informujemy o nim Prezesa UODO oraz Użytkowników, jeżeli wymaga tego art. 33–34 RODO.

§11. Profilowanie i decyzje automatyczne

  1. Stosujemy profilowanie w ograniczonym zakresie — w szczególności rekomendowanie postaci AI dopasowanych do zachowań Użytkownika oraz dopasowywanie zdjęć do treści rozmowy. Profilowanie nie wywołuje wobec Użytkownika skutków prawnych ani istotnie na niego nie wpływa w rozumieniu art. 22 RODO.
  2. Automatyczna moderacja treści (wykrywanie CSAM, treści przemocowych) może skutkować tymczasowym ograniczeniem funkcjonalności Konta — w takich przypadkach Użytkownik ma prawo do interwencji człowieka i wyrażenia własnego stanowiska.

§12. Wiek użytkowników

Serwis jest przeznaczony wyłącznie dla osób, które ukończyły 18 lat. Nie zbieramy świadomie danych osób poniżej 18. roku życia. Jeżeli rodzic lub opiekun prawny dowie się, że osoba małoletnia podała nam swoje dane, prosimy o niezwłoczny kontakt — dane zostaną usunięte.

§13. Zmiany Polityki

Polityka może być aktualizowana w przypadku zmian prawa, wprowadzenia nowych funkcjonalności lub nowych dostawców. O istotnych zmianach informujemy e-mailem oraz komunikatem w Serwisie. Aktualna wersja Polityki dostępna jest zawsze pod adresem /prywatnosc. Data ostatniej aktualizacji znajduje się na początku dokumentu.