Polityka Prywatności

Ostatnia aktualizacja: 27 lutego 2026

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest:

Paweł Szczabel
NIP: 9910361892
ul. Wygonowa 51/2A, 45-402 Opole
E-mail: pawelszczabel@gmail.com

2. Jakie dane zbieramy

W zależności od sposobu korzystania z Lilapu, przetwarzamy następujące dane:

Dane konta — adres e-mail, imię (podane przy rejestracji przez Clerk).
Dane sesji — adres IP, typ przeglądarki i urządzenia (automatycznie, w celach bezpieczeństwa).
Treści użytkownika — notatki, transkrypcje sesji, nagrania audio, rozmowy z czatem AI. Wszystkie te dane są szyfrowane end-to-end i niedostępne dla Administratora.
Pliki cookie — niezbędne do działania aplikacji (sesja, preferencje). Szczegóły w sekcji 8.

3. Cele i podstawy prawne przetwarzania

Cel	Podstawa prawna (RODO)
Świadczenie usługi (konto, transkrypcja, czat AI)	Art. 6 ust. 1 lit. b — wykonanie umowy
Bezpieczeństwo (logi, ochrona przed nadużyciami)	Art. 6 ust. 1 lit. f — prawnie uzasadniony interes
Lista oczekujących (waitlista)	Art. 6 ust. 1 lit. a — zgoda
Obowiązki prawne (np. rachunkowość)	Art. 6 ust. 1 lit. c — obowiązek prawny

4. Szyfrowanie end-to-end

Wszystkie treści użytkownika (notatki, transkrypcje, rozmowy z AI) są szyfrowane w przeglądarce przed wysłaniem na serwer, z wykorzystaniem silnego algorytmu szyfrowania. Klucz szyfrowania jest wyprowadzany z Twojego prywatnego hasła szyfrowania przy użyciu silnej funkcji kryptograficznej zgodnej z rekomendacjami OWASP.

Administrator nie zna Twojego hasła szyfrowania i nie ma możliwości odszyfrowania Twoich danych.

⚠️ Utrata hasła szyfrowania oznacza nieodwracalną utratę dostępu do zaszyfrowanych danych. Nie istnieje mechanizm odzyskiwania hasła szyfrowania.

5. Odbiorcy danych i podmioty przetwarzające

W celu świadczenia usługi korzystamy z następujących podmiotów:

Usługa	Dostawca	Lokalizacja danych	Cel
Infrastruktura (serwery, AI, transkrypcja)	Oracle Cloud	UE (Frankfurt)	Hosting modeli AI, przetwarzanie transkrypcji i czatu AI (zero-retention — dane przetwarzane wyłącznie w RAM)
Baza danych	Convex	USA	Przechowywanie zaszyfrowanych danych
Uwierzytelnianie i ochrona przed botami	Clerk	USA	Logowanie, MFA, zarządzanie kontem, weryfikacja przy rejestracji
Analityka produktowa	PostHog Inc.	UE (Frankfurt)	Analiza ruchu na stronach publicznych (landing page, demo). Dane przetwarzane na serwerach w UE. Ładowane wyłącznie po wyrażeniu zgody. Nie działa wewnątrz aplikacji (dashboard).
Reklamy	Google LLC	USA	Google Ads (remarketing, konwersje). Ładowane wyłącznie po wyrażeniu zgody.
Reklamy	Meta Platforms Inc.	USA	Meta Pixel (remarketing, konwersje na Facebooku i Instagramie). Ładowane wyłącznie po wyrażeniu zgody.

Ważne: Dane przechowywane w Convex są zaszyfrowane end-to-end — dostawca nie ma dostępu do treści Twoich notatek, transkrypcji ani rozmów z AI.

6. Modele AI wykorzystywane w usłudze

Bielik (SpeakLeash / ACK Cyfronet AGH) — polski model językowy (LLM) używany w czacie AI. Model open-source, hostowany na infrastrukturze Oracle Cloud w UE. Model nie jest trenowany na Twoich danych.
Model rozpoznawania mowy — transkrypcja sesji w czasie rzeczywistym. Hostowany na infrastrukturze Oracle Cloud w UE, zero-retention.
Model transkrypcji notatek głosowych — szybka transkrypcja notatek głosowych. Hostowany na infrastrukturze Oracle Cloud w UE, zero-retention.
Model rozpoznawania mówców — diaryzacja (rozpoznawanie mówców) w nagraniach. Hostowany na infrastrukturze Oracle Cloud w UE, zero-retention.

Wszystkie modele AI działają na infrastrukturze Oracle Cloud w UE. Audio jest przetwarzane wyłącznie w pamięci RAM i usuwane natychmiast po transkrypcji. Żadne dane nie są używane do trenowania tych modeli.

7. Transfer danych poza Europejski Obszar Gospodarczy

Korzystamy z usług Clerk, Convex, Google LLC i Meta Platforms Inc., których serwery znajdują się w USA. Transfer danych odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską oraz w oparciu o EU-US Data Privacy Framework, zapewniając odpowiedni poziom ochrony danych.

PostHog Inc. przetwarza dane analityczne na serwerach w UE (Frankfurt) — dane analityczne nie opuszczają Europejskiego Obszaru Gospodarczego.

Treści użytkownika (notatki, transkrypcje, rozmowy) przechowywane w Convex są zaszyfrowane end-to-end — Convex przechowuje wyłącznie zaszyfrowane dane, do których nie ma dostępu.

8. Pliki cookie

Lilapu używa następujących kategorii plików cookie:

Niezbędne — sesja logowania (Clerk), preferencje interfejsu, zgoda na cookies. Nie wymagają zgody.
Analityczne — PostHog (PostHog Inc., serwery UE) — analiza ruchu na stronach publicznych, nie działa wewnątrz aplikacji. Ładowane wyłącznie po wyrażeniu zgody.
Marketingowe — Google Ads (Google LLC) i Meta Ads (Meta Platforms Inc.) — remarketing i śledzenie konwersji. Ładowane wyłącznie po wyrażeniu zgody.

Przy pierwszej wizycie wyświetlamy baner z możliwością wyboru: „Akceptuję wszystkie" lub „Tylko niezbędne". Szczegółowe informacje o używanych plikach cookie znajdziesz w Polityce plików cookie.

9. Okres przechowywania danych

Oracle Cloud (transkrypcja, AI) — zero-retention. Nieszyfrowane audio jest przetwarzane wyłącznie w pamięci RAM serwera na czas transkrypcji i usuwane natychmiast po jej zakończeniu. Żadne dane użytkownika nie są trwale zapisywane na serwerach Oracle.
Convex (baza danych) — zaszyfrowane dane przechowywane przez czas posiadania konta:
- Zaszyfrowane pliki audio nagrań (szyfrowane w przeglądarce przed uploadem)
- Zaszyfrowane teksty transkrypcji i tytuły
- Zaszyfrowane notatki i rozmowy z AI
Możesz je usunąć w dowolnym momencie z poziomu aplikacji. Convex przechowuje wyłącznie zaszyfrowane dane — nie ma dostępu do ich treści.
Dane konta — przez czas posiadania konta w Lilapu. Po usunięciu konta dane są usuwane w ciągu 30 dni.
Dane waitlisty — do momentu wycofania zgody lub uruchomienia usługi.
Logi bezpieczeństwa — do 90 dni.

10. Twoje prawa

Zgodnie z RODO przysługują Ci następujące prawa:

Prawo dostępu — możesz zażądać informacji o przetwarzanych danych.
Prawo do sprostowania — możesz poprawić nieprawidłowe dane.
Prawo do usunięcia („prawo do bycia zapomnianym") — możesz zażądać usunięcia swoich danych.
Prawo do ograniczenia przetwarzania — możesz ograniczyć sposób przetwarzania danych.
Prawo do przenoszenia danych — możesz otrzymać swoje dane w ustrukturyzowanym formacie.
Prawo do sprzeciwu — możesz sprzeciwić się przetwarzaniu opartemu na prawnie uzasadnionym interesie.
Prawo do wycofania zgody — jeśli przetwarzanie opiera się na zgodzie, możesz ją wycofać w dowolnym momencie.

W celu realizacji swoich praw skontaktuj się z nami: pawelszczabel@gmail.com. Odpowiemy w ciągu 30 dni.

Uwaga: Ze względu na szyfrowanie end-to-end, Administrator nie ma technicznej możliwości odczytania zaszyfrowanych treści. Prawo dostępu do treści zaszyfrowanych realizujesz samodzielnie przez aplikację, korzystając ze swojego hasła szyfrowania.

11. Prawo do skargi

Masz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), jeśli uznasz, że przetwarzanie Twoich danych narusza przepisy RODO.

Prezes Urzędu Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
uodo.gov.pl

12. Zabezpieczenia techniczne i organizacyjne

Szyfrowanie end-to-end — dane szyfrowane w przeglądarce przed wysłaniem na serwer.
Szyfrowanie w trakcie transferu (TLS/HTTPS).
2-etapowa weryfikacja (MFA) przy logowaniu.
Ochrona przed botami przy rejestracji (Clerk).
Confidential Computing — dane zaszyfrowane nawet w pamięci RAM serwera.
Zero-retention na serwerach AI — audio przetwarzane wyłącznie w RAM, natychmiast usuwane.
Infrastruktura w Unii Europejskiej (Oracle Cloud, Frankfurt), zgodna z RODO.

13. Zmiany w polityce prywatności

Polityka prywatności może być aktualizowana w związku ze zmianami w funkcjonalności Lilapu lub w przepisach prawa. O istotnych zmianach poinformujemy za pośrednictwem aplikacji lub e-mail. Aktualna wersja jest zawsze dostępna pod adresem lilapu.com/polityka-prywatnosci.

← Wróć na stronę główną