Polityka prywatności
Wersja z dnia: 8 maja 2026 r. · Administrator: KOBRYN TECHNOLOGIES, Jana Długosza 37/18, 51-162 Wrocław, NIP 8952161140
1. Administrator danych osobowych
Administratorem Twoich danych osobowych jest KOBRYN TECHNOLOGIES, z siedzibą przy ul. Jana Długosza 37/18, 51-162 Wrocław, NIP: 8952161140 (dalej: „Administrator” lub „TestStudio”).
We wszystkich sprawach dotyczących przetwarzania danych osobowych możesz skontaktować się z nami pod adresem e-mail: teststudiopl@gmail.com lub pisemnie na wskazany powyżej adres siedziby.
2. Zbierane dane osobowe
W zależności od sposobu korzystania z Platformy TestStudio przetwarzamy następujące kategorie danych:
Dane rejestracyjne
Adres e-mail, imię i nazwisko (opcjonalne), hasło przechowywane w formie skrótu kryptograficznego (bcrypt, nigdy w postaci jawnej), rola konta (uczeń / rodzic / instytucja), data rejestracji.
Dane profilowe ucznia
Data egzaminu E8, wybrany język obcy na egzaminie, status i przedmiot trialu, preferowana godzina przypomnień.
Dane edukacyjne i aktywności
Odpowiedzi na zadania (treść, poprawność, czas rozwiązywania, użyty poziom podpowiedzi); wyniki testów próbnych; postępy per-przedmiot i per-temat (zliczane poprawne/błędne odpowiedzi); heatmapa aktywności (liczba zadań per dzień, ostatnie 365 dni); zakładkowane zadania; zgłoszenia błędów w zadaniach.
Dane AI Tutora (dane szczególnie wrażliwe w kontekście przetwarzania)
Treść wiadomości wysyłanych do AI Tutora oraz odpowiedzi AI; liczba tokenów zużytych per wiadomość; powiązanie: uczeń ↔ ćwiczenie ↔ data. Dane te przechowywane są przez maksymalnie 90 dni i dostępne są wyłącznie dla Administratora Platformy. Treści wysłane do AI Tutora są przekazywane do infrastruktury Google LLC (Gemini API) — szczegóły w sekcji 4.
Dane gamifikacji
Punkty doświadczenia (XP), poziom, długość passy (streak), data ostatniej aktywności.
Dane techniczne sesji
User-agent przeglądarki zapisywany przy każdym logowaniu (tabela refresh_tokens); hash SHA-256 tokenu sesji (refresh token, ważny 30 dni, przechowywany w ciasteczku httpOnly niedostępnym dla JavaScript); token dostępu JWT (ważny 1 godzinę).
Dane płatności
Identyfikator klienta Stripe (stripe_customer_id) przechowywany u nas; historia subskrypcji (plan, przedmiot, status, daty); dane vouchery instytucjonalnych. Dane kart kredytowych są przechowywane wyłącznie przez Stripe — nie mamy do nich dostępu.
Dane relacji rodzic–uczeń
Adres e-mail rodzica podany przez ucznia przy zaproszeniu; token zaproszenia (przechowywany jako hash, ważny 7 dni); powiązanie rodzic ↔ uczeń po akceptacji zaproszenia.
Dane instytucji
Nazwa szkoły, miasto; klasy i przypisani do nich uczniowie.
3. Cele i podstawy prawne przetwarzania
| Cel przetwarzania | Podstawa prawna (RODO) |
|---|---|
| Rejestracja i prowadzenie konta (Uczeń) | art. 6 ust. 1 lit. b — wykonanie umowy |
| Obsługa płatności i rozliczeń (Stripe) | art. 6 ust. 1 lit. b — wykonanie umowy |
| E-maile transakcyjne (reset hasła, zaproszenia, powiadomienia płatności) | art. 6 ust. 1 lit. b — wykonanie umowy |
| Realizacja praw użytkowników (dostęp, usunięcie, sprostowanie) | art. 6 ust. 1 lit. c — obowiązek prawny |
| Wystawianie faktur i prowadzenie ksiąg rachunkowych | art. 6 ust. 1 lit. c — obowiązek prawny (ustawa o rachunkowości) |
| E-maile edukacyjne i przypomnienia nauki (streak, termin egzaminu, podsumowania tygodniowe) | art. 6 ust. 1 lit. a — zgoda (konfigurowana w ustawieniach) |
| Tokeny sesji — bezpieczeństwo i utrzymanie sesji | art. 6 ust. 1 lit. f — prawnie uzasadniony interes (bezpieczeństwo) |
| Logi AI Tutora — moderacja i jakość usługi | art. 6 ust. 1 lit. f — prawnie uzasadniony interes (bezpieczeństwo, jakość) |
| Analiza działania platformy i poprawa jakości usług | art. 6 ust. 1 lit. f — prawnie uzasadniony interes |
| Zapobieganie nadużyciom i ochrona przed nieuprawnionym dostępem | art. 6 ust. 1 lit. f — prawnie uzasadniony interes |
4. Odbiorcy danych (podmioty przetwarzające)
TestStudio korzysta z następujących podmiotów przetwarzających dane osobowe. Z każdym z nich zawarta jest umowa powierzenia przetwarzania danych lub zapewniony jest inny mechanizm zgodności z RODO (standardowe klauzule umowne — SCCs):
| Podmiot | Jakie dane otrzymuje | Lokalizacja |
|---|---|---|
| Stripe Inc. | Adres e-mail, imię i nazwisko, identyfikator klienta Stripe, dane płatności (karty kredytowe przechowywane wyłącznie przez Stripe) | USA (SCCs) |
| Google LLC (Gemini API) | Treść wiadomości wysyłanych do AI Tutora (tekst ćwiczeń i pytania ucznia). Dane są przetwarzane przez Google wyłącznie w celu realizacji usługi i nie są wykorzystywane do trenowania modeli bez odrębnej zgody. | USA (SCCs) |
| Zoho ZeptoMail | Adres e-mail odbiorcy, treść e-maila transakcyjnego | UE (europejski endpoint) |
| DigitalOcean LLC | Hosting aplikacji i bazy danych, pliki CDN | UE (serwery europejskie) |
| Organy publiczne | Dane przekazywane wyłącznie na podstawie obowiązujących przepisów prawa | PL |
Nie sprzedajemy danych osobowych żadnym podmiotom trzecim w celach reklamowych.
5. Prawa użytkowników
Zgodnie z RODO przysługują Ci następujące prawa:
- Prawo dostępu do swoich danych (art. 15 RODO) — możesz zażądać kopii przetwarzanych danych.
- Prawo do sprostowania danych (art. 16 RODO) — możesz poprosić o poprawienie błędnych lub niepełnych danych.
- Prawo do usunięcia danych („prawo do bycia zapomnianym”, art. 17 RODO) — w przypadkach określonych w RODO.
- Prawo do ograniczenia przetwarzania (art. 18 RODO).
- Prawo do przenoszenia danych (art. 20 RODO) — dane dostarczone na podstawie zgody lub umowy, w ustrukturyzowanym formacie.
- Prawo do sprzeciwu (art. 21 RODO) — w szczególności wobec przetwarzania opartego na prawnie uzasadnionym interesie.
- Prawo do wycofania zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania przed jej wycofaniem.
- Prawo do wniesienia skargi do organu nadzorczego — Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.
Aby skorzystać z powyższych praw, skontaktuj się z nami na adres teststudiopl@gmail.com. Odpowiadamy bez zbędnej zwłoki, nie później niż w terminie jednego miesiąca od otrzymania żądania.
6. Pliki cookies
Platforma TestStudio używa jednego ciasteczka sesyjnego:
- Typ: httpOnly, Secure, SameSite=Strict
- Ważność: 30 dni (od momentu zalogowania)
- Cel: utrzymanie sesji zalogowanego użytkownika
- Dostępność: niedostępne dla JavaScript — ochrona przed atakami XSS
Platforma TestStudio nie używa ciasteczek analitycznych, reklamowych ani śledzenia stron trzecich. Ciasteczko refreshToken jest niezbędne do działania usługi i nie może zostać wyłączone bez utraty możliwości logowania.
7. Okres przechowywania danych
| Kategoria danych | Okres przechowywania |
|---|---|
| Konto (dane rejestracyjne, profilowe) | Do usunięcia konta lub żądania RODO |
| Dane edukacyjne (odpowiedzi, postępy, wyniki testów) | Do usunięcia konta |
| Logi AI Tutora (treść wiadomości) | Maksymalnie 90 dni od daty wysłania |
| Tokeny sesji (refresh tokens) | 30 dni — wygasają automatycznie |
| Zaproszenia rodzica (token zaproszenia) | 7 dni — wygasają automatycznie |
| Tokeny resetowania hasła | 1 godzina — wygasają automatycznie |
| Dane płatności (Stripe ID, historia subskrypcji) | Do usunięcia konta + 5 lat (obowiązek podatkowy) |
| Faktury VAT | 5 lat od końca roku podatkowego (przepisy rachunkowe) |
8. Bezpieczeństwo danych
Stosujemy następujące środki techniczne i organizacyjne w celu ochrony Twoich danych:
- Hasowania haseł: algorytm bcrypt z współczynnikiem kosztu 12 — hasła nigdy nie są przechowywane w postaci jawnej.
- Tokeny sesji: refresh token przechowywany w ciasteczku httpOnly (niedostępnym dla JavaScript) — ochrona przed atakami XSS.
- HTTPS: cała komunikacja z platformą szyfrowana protokołem TLS.
- Nagłówki bezpieczeństwa HTTP: platforma stosuje nagłówki bezpieczeństwa (Helmet.js) ograniczające ryzyko typowych ataków przeglądarkowych.
- Reset hasła: zmiana hasła automatycznie unieważnia wszystkie aktywne sesje (refresh tokeny) na wszystkich urządzeniach.
- Ochrona przed enumeracją adresów e-mail: endpoint resetowania hasła zawsze zwraca odpowiedź 200 OK niezależnie od tego, czy adres e-mail istnieje w bazie — zapobiega skanowaniu kont.
- Rate limiting: maksymalnie 3 żądania resetowania hasła na godzinę z jednego adresu IP.
Mimo stosowania powyższych środków żaden system informatyczny nie może zagwarantować absolutnego bezpieczeństwa. W przypadku wykrycia naruszenia bezpieczeństwa danych poinformujemy Ciebie i organ nadzorczy zgodnie z wymogami RODO (art. 33–34 RODO).
9. Ochrona danych dzieci
Platforma TestStudio jest przeznaczona dla uczniów przygotowujących się do Egzaminu Ósmoklasisty i Matury. W związku z tym przestrzegamy następujących zasad dotyczących danych osób niepełnoletnich:
- Dzieci poniżej 13. roku życia nie mogą samodzielnie rejestrować konta. Wymagane jest konto instytucji (szkoły) lub zaproszenie od rodzica/opiekuna prawnego.
- Rodzic lub opiekun prawny ma pełne prawo do wglądu we wszystkie dane przetwarzane w ramach konta dziecka oraz do żądania ich usunięcia.
- Dane dzieci nie są udostępniane podmiotom zewnętrznym poza wymienionymi w sekcji 4 podmiotami przetwarzającymi, niezbędnymi do świadczenia usługi.
- Konto Rodzica powiązane z kontem ucznia umożliwia wyłącznie podgląd postępów (dostęp read-only) i nie daje możliwości ingerencji w dane edukacyjne ucznia.
10. Zmiany polityki prywatności
Zastrzegamy sobie prawo do zmiany niniejszej Polityki prywatności. O istotnych zmianach poinformujemy Cię drogą e-mail lub poprzez komunikat na platformie z co najmniej 14-dniowym wyprzedzeniem. Aktualna wersja jest zawsze dostępna pod adresem teststudio.pl/polityka-prywatnosci.
11. Kontakt
We wszystkich sprawach związanych z ochroną danych osobowych prosimy o kontakt: