← Kontakt

Polityka Prywatności

Suwerenne AI — platforma Polskiego Instytutu AI Sp. z o.o.

Wersja: 1.0 | Data wejścia w życie: 15 kwietnia 2026 | Ostatnia aktualizacja: 15 kwietnia 2026

1. Postanowienia ogólne

1.1. Wprowadzenie

Niniejsza Polityka Prywatności (dalej: „Polityka") określa zasady przetwarzania i ochrony danych osobowych Użytkowników platformy Suwerenne AI, dostępnej pod adresem www.suwerenneai.pl (dalej: „Platforma").

Platforma Suwerenne AI to serwis poświęcony suwerenności technologicznej, AI governance oraz problemom i rozwiązaniom związanym z kontrolą nad sztuczną inteligencją — skierowany do osób i organizacji poszukujących merytorycznej wiedzy w tym zakresie.

1.2. Administrator danych osobowych

Administratorem Twoich danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) jest:

Polski Instytut AI Spółka z ograniczoną odpowiedzialnością

KRS: 0001201352 | NIP: 7011283123 | REGON: 543051706

Adres siedziby: ul. Nowogrodzka 50/54, 00-695 Warszawa, Polska

Tel.: +48 222 95 1214

E-mail: biuro@aiinstytut.pl

Strona internetowa Administratora: www.aiinstytut.pl

Strona Platformy: www.suwerenneai.pl

1.3. Kontakt w sprawach ochrony danych

W sprawach związanych z ochroną danych osobowych możesz skontaktować się z Administratorem:

  • E-mail: biuro@aiinstytut.pl (temat: „Ochrona danych — Suwerenne AI")
  • Telefon: +48 222 95 1214
  • Poczta: Polski Instytut AI Sp. z o.o., ul. Nowogrodzka 50/54, 00-695 Warszawa (z dopiskiem „Ochrona danych osobowych — Suwerenne AI")

1.4. Definicje

  • Administrator — Polski Instytut AI Sp. z o.o.
  • Platforma — serwis internetowy dostępny pod adresem www.suwerenneai.pl
  • Użytkownik — każda osoba fizyczna odwiedzająca Platformę lub korzystająca z jej funkcjonalności
  • Członek — Użytkownik, który dokonał rejestracji na Platformie i posiada aktywne konto
  • Komentarz redakcyjny — komentarz opublikowany przez zespół redakcyjny Platformy, oznaczony odpowiednim znacznikiem
  • RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
  • Dane osobowe — informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej

2. Zakres i rodzaje przetwarzanych danych

2.1. Dane podawane przy rejestracji

  • Adres e-mail (wymagany)
  • Hasło (przechowywane wyłącznie jako hash kryptograficzny)
  • Nazwa wyświetlana / pseudonim (wymagana)

2.2. Dane powstające w trakcie korzystania z Platformy

  • Treść komentarzy publikowanych pod artykułami
  • Lista artykułów zapisanych przez Członka
  • Preferencje językowe (PL/EN)
  • Historia zmian profilu

2.3. Dane techniczne (zbierane automatycznie)

  • Skrót (hash) adresu IP — Administrator NIE przechowuje surowych adresów IP. Adres IP jest niezwłocznie przekształcany w nieodwracalny hash kryptograficzny (SHA-256) z użyciem klucza rotowanego co 24 godziny. Po rotacji klucza odtworzenie oryginalnego adresu IP jest technicznie niemożliwe.
  • Typ i wersja przeglądarki internetowej
  • System operacyjny
  • Domena odsyłająca (referrer)
  • Parametry UTM (źródło ruchu)
  • Data i godzina odwiedzin
  • Przeglądane artykuły

2.4. Dane NIE przetwarzane przez Platformę

Administrator wyraźnie oświadcza, że Platforma:

  • NIE zbiera surowych adresów IP
  • NIE stosuje plików cookies reklamowych ani marketingowych
  • NIE przekazuje danych do sieci reklamowych
  • NIE stosuje pikseli śledzących stron trzecich (Facebook Pixel, Google Ads itp.)
  • NIE przetwarza danych szczególnych kategorii (art. 9 RODO)
  • NIE stosuje profilowania wywołującego skutki prawne

3. Cele i podstawy prawne przetwarzania danych

3.1. Świadczenie usługi Platformy

Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy / podjęcie działań przed zawarciem umowy)

Cele: rejestracja konta, logowanie, publikacja komentarzy, zapisywanie artykułów, zarządzanie profilem.

Zakres danych: e-mail, hash hasła, nazwa wyświetlana, treść komentarzy, lista zapisanych artykułów.

Konsekwencja niepodania danych: brak możliwości rejestracji i korzystania z funkcji wymagających konta.

3.2. Bezpieczeństwo Platformy

Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora)

Cele: ochrona przed atakami, nadużyciami, spamem; wykrywanie prób nieautoryzowanego dostępu; utrzymanie integralności systemu.

Zakres danych: hash IP, dane techniczne przeglądarki, logi zdarzeń bezpieczeństwa.

3.3. Analityka i doskonalenie Platformy

Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora)

Cele: analiza ruchu na Platformie, identyfikacja najpopularniejszych treści, optymalizacja wydajności, wykrywanie błędów technicznych.

Zakres danych: hash IP (z rotacją dzienną), dane techniczne, aktywność na Platformie (w formie zagregowanej).

Administrator stosuje zasadę minimalizacji danych w analityce: nie korzysta z zewnętrznych narzędzi analitycznych (Google Analytics itp.), a wszystkie dane analityczne są przetwarzane wewnętrznie, na własnej infrastrukturze, w formie zagregowanej.

3.4. Moderacja treści

Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora)

Cele: weryfikacja komentarzy przed publikacją, usuwanie treści naruszających Regulamin, prowadzenie rejestru działań moderacyjnych.

3.5. Wypełnianie obowiązków prawnych

Podstawa prawna: art. 6 ust. 1 lit. c RODO

Cele: realizacja żądań osób, których dane dotyczą; współpraca z organami nadzorczymi; archiwizacja wymagana przepisami prawa.

4. Odbiorcy danych osobowych

Administrator może powierzyć przetwarzanie danych następującym kategoriom podmiotów:

  • Dostawca infrastruktury backendowej: Supabase Inc. (baza danych, uwierzytelnianie) — serwery w regionie UE
  • Dostawca hostingu i CDN: Cloudflare Inc. (hosting stron, ochrona DDoS) — w ramach standardowych klauzul umownych UE
  • Dostawca usług e-mail transakcyjnych: Resend Inc. (wysyłka e-maili weryfikacyjnych)
  • Dostawca monitoringu błędów: Sentry (diagnostyka błędów aplikacji)

Administrator NIE sprzedaje danych osobowych. Administrator NIE udostępnia danych sieciom reklamowym.

5. Przekazywanie danych poza EOG

Niektórzy dostawcy usług technicznych mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym. W takich przypadkach transfer odbywa się na podstawie:

  • Standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO)
  • Decyzji Komisji Europejskiej o adekwatności poziomu ochrony (art. 45 RODO)

Administrator na bieżąco monitoruje zgodność dostawców z wymogami RODO i w miarę możliwości wybiera dostawców przetwarzających dane w regionie UE.

6. Okres przechowywania danych

Kategoria danych Okres przechowywania
Dane konta (e-mail, nazwa, hash hasła) Do momentu usunięcia konta przez Użytkownika lub na żądanie
Treść komentarzy Do momentu usunięcia przez Użytkownika lub moderatora
Zapisane artykuły Do momentu usunięcia przez Użytkownika
Dane analityczne (hash IP, aktywność) 90 dni od daty zdarzenia
Logi bezpieczeństwa 365 dni
Rejestr audytu (działania administracyjne) 365 dni
Dane po usunięciu konta Usuwane niezwłocznie, z wyjątkiem danych wymaganych prawem

Po upływie okresu przechowywania dane są trwale usuwane lub nieodwracalnie anonimizowane.

7. Pliki cookies

Platforma wykorzystuje wyłącznie cookies niezbędne do działania serwisu:

Nazwa Cel Typ Wygaśnięcie
sb-access-token Uwierzytelnianie sesji (Supabase Auth) Niezbędne, httpOnly Sesja
sb-refresh-token Odświeżanie sesji (Supabase Auth) Niezbędne, httpOnly 7 dni

Platforma NIE stosuje:

  • Plików cookies reklamowych
  • Plików cookies marketingowych
  • Plików cookies analitycznych stron trzecich
  • Pikseli śledzących

Szczegóły dotyczące zarządzania plikami cookies znajdują się w Polityce Plików Cookie.

8. Bezpieczeństwo danych

Administrator stosuje następujące środki techniczne i organizacyjne:

  • Szyfrowanie połączenia SSL/TLS na całej Platformie
  • Uwierzytelnianie oparte na tokenach z rotacją (PKCE flow)
  • Hasła przechowywane wyłącznie jako hashe kryptograficzne (bcrypt)
  • Cookies sesyjne z flagami: httpOnly, Secure, SameSite=Strict
  • Content Security Policy (CSP) z mechanizmem nonce per request
  • Row Level Security (RLS) na poziomie bazy danych — izolacja danych między użytkownikami
  • Ochrona DDoS i WAF (Cloudflare)
  • Ochrona przed botami (Cloudflare Turnstile) przy rejestracji
  • Adresy IP hashowane z codzienną rotacją klucza (salt)
  • Rejestr audytu wszystkich działań administracyjnych
  • Regularne kopie zapasowe bazy danych

9. Prawa osób, których dane dotyczą

Zgodnie z RODO przysługują Ci następujące prawa:

  1. Prawo dostępu (art. 15 RODO) — uzyskanie informacji o przetwarzanych danych oraz ich kopii
  2. Prawo do sprostowania (art. 16 RODO) — poprawienie nieprawidłowych lub uzupełnienie niekompletnych danych
  3. Prawo do usunięcia (art. 17 RODO) — „prawo do bycia zapomnianym"; realizowane także poprzez funkcję usunięcia konta w panelu profilu
  4. Prawo do ograniczenia przetwarzania (art. 18 RODO)
  5. Prawo do przenoszenia danych (art. 20 RODO) — otrzymanie danych w ustrukturyzowanym formacie
  6. Prawo do sprzeciwu (art. 21 RODO) — wobec przetwarzania na podstawie prawnie uzasadnionego interesu
  7. Prawo do wniesienia skargi (art. 77 RODO) — do Prezesa Urzędu Ochrony Danych Osobowych

Jak zrealizować swoje prawa:

  • E-mail: biuro@aiinstytut.pl (temat: „Prawa RODO — Suwerenne AI")
  • Usunięcie konta: dostępne w panelu /member/profil
  • Czas odpowiedzi: do 30 dni kalendarzowych

Organ nadzorczy: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, tel. +48 22 531 03 00, e-mail: kancelaria@uodo.gov.pl, www.uodo.gov.pl

Zachęcamy: przed wniesieniem skargi do UODO prosimy o kontakt bezpośrednio z Administratorem. Dołożymy wszelkich starań, aby rozwiązać problem polubownie.

10. Profilowanie i zautomatyzowane podejmowanie decyzji

Administrator NIE podejmuje decyzji w sposób w pełni zautomatyzowany, które wywołują skutki prawne lub w podobny sposób istotnie wpływają na Użytkowników.

Platforma wykorzystuje wewnętrzne narzędzia analityczne wyłącznie w formie zagregowanej, bez profilowania indywidualnych Użytkowników.

11. Komentarze redakcyjne i systemy wspomagające

Platforma może publikować komentarze oznaczone jako „komentarz redakcyjny". Komentarze te są tworzone lub wspomagane przez zespół redakcyjny Administratora z wykorzystaniem narzędzi technologicznych i podlegają weryfikacji przed publikacją.

Treść artykułów i komentarzy redakcyjnych nie jest generowana w pełni automatycznie bez nadzoru człowieka. Administrator zachowuje pełną kontrolę redakcyjną nad publikowanymi materiałami.

Dane osobowe Użytkowników NIE są wykorzystywane do trenowania modeli AI.

12. Osoby małoletnie

Platforma jest skierowana do szerokiego grona odbiorców zainteresowanych tematyką suwerenności technologicznej i AI. Rejestracja na Platformie wymaga ukończenia 13 lat. W przypadku Użytkowników poniżej 16 roku życia wymagana jest zgoda rodzica lub opiekuna prawnego.

Platforma NIE zawiera treści przeznaczonych wyłącznie dla osób pełnoletnich.

13. Zmiany Polityki Prywatności

Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce. O istotnych zmianach Administrator poinformuje z co najmniej 14-dniowym wyprzedzeniem poprzez powiadomienie na Platformie.

Korzystanie z Platformy po wejściu zmian w życie oznacza ich akceptację.

14. Postanowienia końcowe

W przypadku rozbieżności między postanowieniami niniejszej Polityki a obowiązującymi przepisami prawa, pierwszeństwo mają przepisy prawa.

Niniejsza Polityka została sporządzona w języku polskim. W przypadku tłumaczeń wiążąca jest wersja polska.

Data wejścia w życie: 15 kwietnia 2026 | Wersja: 1.0

© 2026 Polski Instytut AI Sp. z o.o. Wszelkie prawa zastrzeżone.