Polityka prywatności aplikacji matematycznej NUMBA

 

 

Ostatnia aktualizacja: 02.03.2026

1. Kto jest administratorem danych i jak się z nami skontaktować

Administratorem danych osobowych jest: CraftYou Sp. z o.o. z siedzibą w Gdańsku kod pocztowy 80-890 przy ul. Jana Heweliusza 11/811, wpisaną do KRS pod numerem 0001193785, NIP 5833547630, REGON 542707926, e-mail: info@craftyou.pl, tel: +48 58 585 89 81.

Inspektor ochrony danych (IOD): nie dotyczy – nie mamy obowiązku wyznaczenia IOD i nie wyznaczyliśmy IOD. W sprawach dotyczących ochrony danych osobowych (w tym realizacji praw użytkownika) prosimy o kontakt e-mail: info@craftyou.pl lub listownie na adres: 80-890 Gdansk, ul. Jana Heweliusza 11/811

2. Dla kogo jest aplikacja (wiek)

Aplikacja jest przeznaczona dla młodzieży szkolnej, w szczególności dla uczniów przygotowujących się do egzaminu maturalnego z matematyki na poziomie podstawowym. Podczas zakładania konta użytkownik deklaruje czy ma ukończone 16 lat. Jeśli użytkownik wskaże, że nie ukończył 16 lat, zostanie poproszony o podanie adresu e-mail opiekuna prawnego. Na wskazany adres wyślemy wiadomość z informacją o próbie założenia konta oraz prośbą o wyrażenie zgody poprzez kliknięcie odpowiedniego linku w wiadomości. Utworzenie konta zostanie wstrzymane do momentu otrzymania zgody opiekuna prawnego.

Jeżeli nie otrzymamy zgody opiekuna prawnego w terminie do 14 dni, podane dane zostaną usunięte, a konto nie zostanie utworzone.

3. Jakie dane przetwarzamy

Poniżej opisujemy kategorie danych, które mogą być przetwarzane w zależności od sposobu korzystania z aplikacji.

3.1 Dane konta

  • adres e-mail (wymagany do utworzenia konta),
  • nick (nazwa widoczna w aplikacji),
  • identyfikatory konta (np. wewnętrzny identyfikator użytkownika).
  • Wiek – wskazanie przez użytkownika czy 16 lat czy mniej

Korzystamy z zewnętrznego dostawcy uwierzytelniania (Supabase) w celu zapewnienia rejestracji i logowania do konta. Gdy użytkownik tworzy konto lub loguje się przy użyciu adresu e-mail i hasła, hasło jest przesyłane bezpiecznie do Supabase i przechowywane wyłącznie w postaci hashu (skrót kryptograficzny). Nie przechowujemy haseł w postaci jawnej w naszych bazach danych.
Supabase może przetwarzać dane uwierzytelniające i bezpieczeństwa, takie jak: adres e-mail, unikalny identyfikator użytkownika (user ID), tokeny logowania/sesji, znaczniki czasu logowania oraz – jeżeli dotyczy – adres IP i informacje o urządzeniu.

3.2 Dane ustawień i preferencji nauki (onboarding)

  • preferowany styl nauki (1 z 3 trybów), tj. preferencje nauki, aby dopasować trening i sposób prezentowania treści;
  • cel użytkownika tj. deklarowany wynik procentowy na maturze.

3.3 Dane o aktywności w aplikacji (postęp i statystyki)

  • liczba wykonanych zadań, poprawność (poprawne/niepoprawne),
  • statystyki w ujęciu: dziennym, ostatnie 7 dni, 30 dni i ogółem,
  • postęp w realizacji celu (% do celu),
  • odblokowania funkcji po wykonaniu określonej liczby zadań (np. tryb egzaminu, analityka szczegółowa).
  • Możemy rejestrować metadane konta i aktywności, takie jak: data utworzenia konta (created at), data ostatniej aktywności (last active), data aktualizacji (updated at) oraz wskaźniki postępów (wyniki, poprawność, statystyki).

3.4 Treści tworzone przez użytkownika

  • notatki tworzone w aplikacji,
  • zapisane konwersacje z tutorem AI jako notatki,

3.5 Zdjęcia zadań (OCR) i materiały graficzne

Jeśli użytkownik korzysta z funkcji robienia zdjęcia zadania:

  • obraz/zdjęcie przekazane do przetworzenia na treść zadania,
  • metadane techniczne pliku (tj. parametry zdjęcia)

Funkcja zdjęcia służy wyłącznie do wyodrębnienia treści zadania matematycznego. Aplikacja przetwarza obraz w celu rozpoznania i przeniesienia do aplikacji elementów stanowiących zadanie matematyczne; pozostałe elementy znajdujące się na zdjęciu, które nie mają związku z treścią zadania, są pomijane/odrzucane w ramach procesu przetwarzania. Zalecamy, aby na zdjęciach nie umieszczać danych osobowych (np. imienia i nazwiska, adresu). Jeśli takie dane znajdą się na zdjęciu, mogą zostać przetworzone incydentalnie wyłącznie w zakresie niezbędnym do technicznego wykonania funkcji.

3.6 Dane komunikacji z Tutorem AI

  • treść pytań i wiadomości przesyłanych do modułu AI (w tym treść rozmów z tutorem),
  • kontekst rozmowy (jeśli jest utrzymywany w celu zapewnienia ciągłości odpowiedzi),
  • informacje pomocnicze wykorzystywane do udzielenia odpowiedzi (np. preferencje nauki, cel),
  • dane wynikowe (odpowiedzi AI).

Szczegóły dostawcy AI i zasad przetwarzania danych: patrz pkt 6

3.7 Dane zakupowe (subskrypcje)

Jeśli użytkownik korzysta z wersji Premium, przetwarzamy informacje niezbędne do przyznania i utrzymania dostępu do funkcji płatnych, w szczególności: status subskrypcji, typ konta/plan (freemium/premium), daty subskrypcji (np. rozpoczęcia, zakończenia oraz anulowania), identyfikatory zakupu przekazane przez App Store/Google Play (np. identyfikator transakcji / token zakupu), datę uzyskania dostępu Premium, a także informacje o zdarzeniach związanych z subskrypcją (np. odnowienie, zmiana planu, zwrot), o ile są przekazywane przez platformę. Dane te wykorzystujemy w celu weryfikacji uprawnień, przyznania dostępu do funkcji Premium oraz obsługi zgłoszeń.

Nie przetwarzamy danych kart płatniczych – płatność jest realizowana przez App Store / Google Play.

3.8 Dane techniczne i bezpieczeństwa

Możemy przetwarzać dane techniczne, takie jak: adres IP, informacje o urządzeniu, znaczniki czasu i logi diagnostyczne, dane służące ochronie przed nadużyciami – w zakresie niezbędnym do działania, bezpieczeństwa i rozwiązywania problemów.

4. Skąd mamy dane

Dane otrzymujemy:

  • bezpośrednio od użytkownika (np. e-mail, nick, notatki, zdjęcia, wiadomości do AI),
  • automatycznie z urządzenia w trakcie korzystania z aplikacji (dane techniczne, logi),
  • od platform płatności (Apple/Google) w zakresie niezbędnym do potwierdzenia subskrypcji.

5. W jakich celach i na jakiej podstawie prawnej przetwarzamy dane

Przetwarzamy dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Poniżej wskazujemy cele przetwarzania oraz podstawy prawne:

5.1 Założenie i prowadzenie konta oraz uwierzytelnianie użytkownika

Cel: W celu utrzymania sesji użytkownika i zabezpieczenia konta Supabase przetwarza dane związane z uwierzytelnianiem (m.in. e-mail, user ID, tokeny sesji). Po naszej stronie przechowujemy unikalny identyfikator konta (user ID), aby powiązać konto z profilem użytkownika oraz danymi edukacyjnymi (np. preferencjami nauki, postępami i historią rozmów).
Podstawa prawna: art. 6 ust. 1 lit. b RODO (niezbędność do wykonania umowy / świadczenia usługi).

5.2 Świadczenie usług edukacyjnych, personalizacja nauki oraz działanie funkcji AI

Cel: realizacja podstawowych funkcji aplikacji, w tym dopasowanie poziomu trudności zadań, ścieżki nauki, analityki postępów oraz dopasowanie treści i stylu odpowiedzi tutora AI w oparciu o aktywność użytkownika i jego postępy.
Podstawa prawna: art. 6 ust. 1 lit. b RODO (świadczenie usługi).
Konsekwencja: przetwarzanie danych o postępach i interakcjach z funkcjami aplikacji jest niezbędne do prawidłowego działania personalizacji, analityki oraz funkcji AI; bez tego część funkcji może działać w ograniczonym zakresie lub nie działać.

5.3 Historia rozmów z tutorem AI oraz zapisywanie notatek

Cel: umożliwienie użytkownikowi wglądu do historii czatu, kontynuacji pracy oraz tworzenia notatek (w tym zapisywania fragmentów rozmów z AI jako notatek).
Podstawa prawna: art. 6 ust. 1 lit. b RODO (świadczenie usługi).
Historia rozmów oraz notatki są przechowywane do czasu ich usunięcia przez użytkownika lub do czasu usunięcia konta (zgodnie z pkt 8 i 9).

5.4 Funkcja „zdjęcie zadania” (OCR) i przetwarzanie obrazu

Cel: rozpoznanie treści zadania matematycznego ze zdjęcia i umożliwienie jego rozwiązania w aplikacji.
Podstawa prawna: art. 6 ust. 1 lit. b RODO (świadczenie usługi).
Przechowujemy przesłane przez użytkownika zdjęcia zadań w celu umożliwienia korzystania z funkcji OCR oraz dostępu do historii zadań/konwersacji. Zdjęcia są przechowywane do czasu ich usunięcia przez użytkownika albo do czasu usunięcia konta (zgodnie z pkt 8 i 9). Po przetworzeniu możemy również przechowywać przetworzoną treść zadania jako element historii zadania/konwersacji – na tych samych zasadach.

5.5 Prezentowanie analityki postępów i realizacji celu oraz odblokowywanie funkcji

Cel: prezentowanie statystyk nauki (np. dziennym, 7/30 dni/ogółem), % do celu, wskazanie mocnych stron i obszarów do poprawy oraz odblokowywanie funkcji po spełnieniu warunków aktywności.
Podstawa prawna: art. 6 ust. 1 lit. b RODO (świadczenie usługi).

5.6 Utrzymanie, diagnostyka i bieżące doskonalenie działania aplikacji dla użytkownika (jakość i stabilność)

Cel: zapewnienie prawidłowego działania aplikacji, w tym diagnostyka i poprawa stabilności, oraz bieżące doskonalenie sposobu działania funkcji w odniesieniu do danego użytkownika (np. dostosowanie działania funkcji edukacyjnych i jakości odpowiedzi AI w oparciu o interakcje i postępy użytkownika).
Podstawa prawna: art. 6 ust. 1 lit. b RODO (niezbędność do wykonania umowy / świadczenia usługi).
Retencja: logi techniczne i bezpieczeństwa przechowujemy maksymalnie 14 dni (zgodnie z pkt 8).

5.7 Ulepszanie produktu w ujęciu globalnym (statystyki i rozwój)

Cel: rozwój i ulepszanie aplikacji w ujęciu globalnym (np. ocena skuteczności treści, planowanie rozwoju funkcji, analiza stabilności). Wykorzystujemy dane w formie zagregowanej i/lub zanonimizowanej, tak aby nie identyfikowały użytkowników.
Podstawa prawna: jeżeli dane są zanonimizowane – przetwarzanie odbywa się poza zakresem RODO.

5.8 Bezpieczeństwo i przeciwdziałanie nadużyciom

Cel: zapewnienie bezpieczeństwa aplikacji, przeciwdziałanie nadużyciom, ochrona przed incydentami oraz ustalenie, dochodzenie lub obrona roszczeń.
Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora).

5.9 Obsługa subskrypcji Premium

Cel: przyznanie i utrzymanie dostępu do funkcji Premium, weryfikacja statusu subskrypcji oraz obsługa zgłoszeń dotyczących płatności.
Podstawa prawna: art. 6 ust. 1 lit. b RODO (świadczenie usługi).
jeżeli przechowywanie określonych danych jest wymagane przepisami prawa (np. księgowymi/podatkowymi) – art. 6 ust. 1 lit. c RODO.

5.10 Kontakt i wsparcie użytkownika

Cel: obsługa zapytań, reklamacji i wsparcia technicznego.
Podstawa prawna: art. 6 ust. 1 lit. b RODO (jeśli kontakt dotyczy realizacji usługi) lub art. 6 ust. 1 lit. f RODO (uzasadniony interes – obsługa zgłoszeń).

6. Komu udostępniamy dane. Podmioty przetwarzające (dostawcy usług).

Dane mogą być przekazywane podmiotom przetwarzającym działającym na nasze zlecenie wyłącznie w zakresie niezbędnym do świadczenia usług.
Korzystamy z zaufanych zewnętrznych dostawców usług (“podmiotów przetwarzających”), którzy przetwarzają dane osobowe wyłącznie na nasze polecenie i w zakresie niezbędnym do świadczenia usług (np. uwierzytelnianie, hosting, OCR, generowanie odpowiedzi AI). W zależności od sposobu korzystania z Aplikacji możemy przekazywać dostawcom następujące kategorie danych: identyfikatory konta (np. user ID), adres e-mail, dane profilu (np. nick, preferencje/cel nauki), treści użytkownika (wiadomości, rozmowy z tutorem, przesyłane obrazy/dokumenty) oraz dane techniczne (np. adres IP, informacje o urządzeniu/przeglądarce, znaczniki czasu, logi diagnostyczne).

  • Uwierzytelnianie i baza danych (Supabase): wykorzystujemy Supabase do uwierzytelniania kont oraz przechowywania danych aplikacji. Hasła nie są przechowywane w postaci jawnej; Supabase przechowuje je wyłącznie w postaci hashu. Supabase może przetwarzać także dane sesji oraz dane techniczne związane z bezpieczeństwem (np. znaczniki czasu logowania oraz – jeżeli dotyczy – adres IP), aby chronić konta użytkowników.
  • OCR i przetwarzanie obrazów/dokumentów (Mathpix): jeżeli użytkownik przesyła obraz lub dokument do rozpoznania tekstu, możemy przekazać plik (lub jego istotne fragmenty) do Mathpix w celu wykonania OCR. Może to obejmować treść przesłanego obrazu/dokumentu.
  • Funkcje AI (OpenAI oraz Google Gemini): jeżeli użytkownik korzysta z funkcji tutora AI, możemy przekazać do dostawców AI dane wejściowe użytkownika (np. wiadomości, pytania, tekst pozyskany z OCR) oraz ograniczony, niezbędny kontekst (np. preferencje nauki lub cel), jeżeli jest to potrzebne do wygenerowania odpowiedzi oraz zapewnienia jakości i bezpieczeństwa funkcji. Nie przekazujemy hasła do dostawców AI.
  • Hosting i infrastruktura (Railway): wykorzystujemy Railway do hostowania i utrzymania części backendu. Railway może przetwarzać dane techniczne, takie jak metadane zapytań, adres IP, znaczniki czasu i logi serwera – w celu działania, zabezpieczenia i diagnozowania problemów z usługą.
  • Platformom płatności tj. operatorom sklepów (Apple / Google) – w zakresie niezbędnym do realizacji zakupu i obsługi subskrypcji (w tym potwierdzenia statusu subskrypcji, rozliczeń oraz obsługi zwrotów zgodnie z zasadami danej platformy),
  • Organom publicznym, sądom lub innym uprawnionym podmiotom – jeżeli obowiązek udostępnienia danych wynika z przepisów prawa lub prawomocnych decyzji/żądań uprawnionych organów.
  • podmiotom świadczącym na naszą rzecz usługi księgowe/rachunkowe (np. biuro rachunkowe) – w zakresie niezbędnym do prowadzenia rozliczeń i realizacji obowiązków podatkowych oraz rachunkowych, na podstawie raportów/ zestawień sprzedaży otrzymywanych od platform (Apple/Google).

Minimalizacja danych: dążymy do przekazywania dostawcom wyłącznie danych niezbędnych do realizacji danej funkcji (np. przekazujemy obraz do dostawcy OCR tylko wtedy, gdy użytkownik korzysta z OCR).

7. Przekazywanie danych poza EOG

Dane związane z uwierzytelnianiem oraz przechowywaniem danych aplikacji w Supabase są przetwarzane w Europejskim Obszarze Gospodarczym, w regionie Frankfurt (Niemcy). Jednocześnie niektórzy dostawcy usług mogą przetwarzać dane poza EOG (w tym w Stanach Zjednoczonych), w zależności od sposobu korzystania z Aplikacji (np. w związku z funkcjami AI). W przypadku takich transferów stosujemy wymagane prawem zabezpieczenia, w szczególności standardowe klauzule umowne (SCC) lub inne odpowiednie mechanizmy legalizujące transfer danych.

8. Jak długo przechowujemy dane (retencja)

Przechowujemy dane osobowe przez okres niezbędny do realizacji celów opisanych w niniejszej Polityce, w szczególności do świadczenia usług, zapewnienia bezpieczeństwa oraz spełnienia obowiązków prawnych.

  1. Dane konta (e-mail, nick, ustawienia konta i preferencje z onboardingu). Przechowujemy przez czas posiadania aktywnego konta. Po usunięciu konta dane są usuwane lub zanonimizowane w terminie wskazanym w pkt 9.

  2. Dane postępów i analityki(wyniki zadań, poprawność, statystyki dzienne, z ostatnich7/30 dni/ogółem, realizacja celu, odblokowania funkcji). Przechowujemy przez czas posiadania aktywnego konta, ponieważ dane te są niezbędne do działania kluczowych funkcji aplikacji (personalizacja nauki i analityka). Po usunięciu konta dane są usuwane lub zanonimizowane w terminie wskazanym w pkt 9.

  3. Historia rozmów z tutorem AI. Jeżeli użytkownik korzysta z funkcji rozmowy z tutorem AI, treść rozmów może być przechowywana w ramach historii czatu, aby umożliwić użytkownikowi wgląd do wcześniejszych konwersacji i kontynuację pracy. Historia rozmów jest przechowywana do czasu usunięcia jej przez użytkownika lub do czasu usunięcia konta.

  4. Zdjęcia zadań (OCR) oraz przetworzona treść. Zdjęcie jest wykorzystywane wyłącznie do rozpoznania treści zadania matematycznego (OCR). Po przetworzeniu zdjęcia przechowujemy jako element historii zadania/konwersacji związanej z jego rozwiązywaniem (jeżeli użytkownik korzysta z tej funkcji). Zdjęcie jest przechowywane do czasu usunięcia go przez użytkownika lub do czasu usunięcia konta.

  5. Notatki użytkownikaNotatki tworzone przez użytkownika (w tym notatki tworzone na podstawie zdjęć lub zapisane konwersacje) przechowujemy do czasu ich usunięcia przez użytkownika lub do czasu usunięcia konta.

  6. Logi techniczne i bezpieczeństwa (diagnostyka, bezpieczeństwo, nadużycia)Logi techniczne i bezpieczeństwa przechowujemy przez okres maksymalnie 14 dni, chyba że dłuższe przechowywanie jest konieczne w związku z obsługą incydentu bezpieczeństwa, dochodzeniem roszczeń lub wymogami prawa — wówczas przez okres niezbędny do realizacji tych celów.

  7. Dane związane z subskrypcją PremiumInformacje niezbędne do zapewnienia dostępu do funkcji Premium (np. status subskrypcji, typ planu, identyfikatory zakupu przekazane przez App Store/Google Play, daty obowiązywania — w zakresie, w jakim je przechowujemy) przetwarzamy przez czas trwania konta oraz przez okres niezbędny do rozpatrywania zgłoszeń i zapewnienia rozliczalności.

  8. Dane, które musimy przechowywać ze względu na obowiązki prawne (np. księgowe/podatkowe), przechowujemy przez okres wymagany przepisami prawa.

9. Jak usunąć konto i dane

Użytkownik może zażądać usunięcia konta i powiązanych danych:

  • w aplikacji: Profil/Ustawienia/Usuń konto
  • przez stronę WWW: https://craftyou.pl/pomoc-numba

Po złożeniu żądania usunięcia konta:

  1. konto zostanie usunięte lub trwale zdezaktywowane, a dane powiązane z kontem zostaną usunięte lub zanonimizowane, najpóźniej w terminie do 30 dni, chyba że wcześniejsze usunięcie jest możliwe;
  2. użytkownik utraci dostęp do funkcji wymagających konta, w tym do postępów, analityki oraz treści zapisanych w ramach konta (np. notatek i historii czatu).
  3. możemy zachować ograniczony zakres danych wyłącznie w przypadkach, gdy jest to konieczne:

    • w celu wywiązania się z obowiązków prawnych (np. księgowych/podatkowych),

    • dla zapewnienia bezpieczeństwa i przeciwdziałania nadużyciom,

    • w celu ustalenia, dochodzenia lub obrony roszczeń.
      Zakres i czas przechowywania takich danych ograniczamy do niezbędnego minimum.

Ważne: usunięcie konta w aplikacji nie powoduje automatycznego anulowania subskrypcji zakupionej w App Store lub Google Play. Subskrypcję należy anulować w ustawieniach konta Apple ID lub Google Play

10. Prawa użytkownika (RODO)

Użytkownik ma prawo do:

  • dostępu do danych, sprostowania, usunięcia,
  • ograniczenia przetwarzania, sprzeciwu,
  • wniesienia skargi do organu nadzorczego.

Kontakt do realizacji praw: e-mail: info@craftyou.pl

11. Bezpieczeństwo

Stosujemy odpowiednie środki techniczne i organizacyjne, aby chronić dane osobowe przed utratą, nieuprawnionym dostępem, ujawnieniem lub modyfikacją. Obejmują one w szczególności: szyfrowanie transmisji danych (TLS/HTTPS), kontrolę dostępu i zasadę minimalnych uprawnień, mechanizmy uwierzytelniania oraz monitorowanie i rejestrowanie zdarzeń w celu zapewnienia bezpieczeństwa i niezawodności usług.

12. Zmiany polityki

Możemy aktualizować Politykę prywatności w razie zmian w aplikacji lub przepisach. O istotnych zmianach poinformujemy w aplikacji lub e-mailem. Data aktualizacji będzie widoczna na początku dokumentu. Zaktualizowana Polityka prywatności obowiązuje od dnia jej opublikowania, chyba że w treści wskazano późniejszą datę wejścia w życie.