Polityka Prywatności

Ostatnia aktualizacja: 28 kwietnia 2026 · GHOSTek.pl

1. Administrator danych

UNDER4EST SP. Z O.O.
ul. Związkowa 26, 20-148 Lublin
NIP: 7123416517 · KRS: 0000890615
Email: info@ghostek.pl

2. Jakie dane zbieramy

Adres email — do rejestracji i logowania do panelu
Hasło — przechowywane wyłącznie jako hash bcrypt (nigdy w postaci jawnej)
Adres MAC opaski AI — identyfikator urządzenia, niezbędny do parowania
Lokalizacja (miasto) — opcjonalna, podawana przez użytkownika, używana wyłącznie do pobierania prognozy pogody
Nagrania głosowe — krótkie fragmenty mowy przesyłane do transkrypcji w czasie rzeczywistym; nie są trwale przechowywane na serwerze GHOSTek.pl
Treści rozmów z asystentem AI — przesyłane do modelu językowego w celu wygenerowania odpowiedzi; mogą zawierać dane wrażliwe w rozumieniu art. 9 RODO (np. zdrowie, przekonania, sytuacja rodzinna), jeśli użytkownik przekazał takie informacje w rozmowie
Historia rozmów i pamięć AI — przechowywane lokalnie na serwerze GHOSTek.pl w postaci zaszyfrowanej (AES-256, klucz per-użytkownik). Obie funkcje są domyślnie wyłączone — użytkownik włącza je świadomie w ustawieniach urządzenia

Nie zbieramy danych o lokalizacji GPS, numerów telefonów ani danych płatniczych.

3. Przetwarzanie głosu i rozmów przez AI

Zegarek GHOSTek działa „z pudełka" w konfiguracji standardowej, w której GHOSTek.pl jako operator udostępnia dostęp do zewnętrznych serwisów AI na podstawie własnych umów i kluczy API. Użytkownicy zaawansowani mogą w panelu skonfigurować własne klucze API — w takim przypadku przetwarzanie odbywa się w ramach ich indywidualnych umów z dostawcami.

Rozpoznawanie mowy (ASR) domyślnie

Nagranie głosu jest przesyłane do zewnętrznego serwisu transkrypcji na podstawie klucza API operatora GHOSTek.pl. W konfiguracji standardowej GHOSTek.pl korzysta z jednego z poniższych dostawców:

OpenAI (OpenAI Ireland Limited / OpenAI OpCo LLC, USA) — model transkrypcji gpt-4o-mini-transcribe. Nagranie przetwarzane wyłącznie w celu transkrypcji, nieprzechowywane po przetworzeniu. Transfer danych poza EOG odbywa się na podstawie art. 46 RODO (Standardowe Klauzule Umowne, SCCs) zawartych w Data Processing Addendum OpenAI.

Groq (Groq Inc., Mountain View, USA) — model Whisper Large v3 Turbo. Nagranie przetwarzane wyłącznie w celu transkrypcji. Transfer danych poza EOG odbywa się na podstawie art. 46 RODO (SCCs) zawartych w Data Processing Addendum GroqCloud (Module 2 EU SCCs).

Opcja lokalna: transkrypcja może być wykonywana lokalnie na serwerze GHOSTek.pl (Faster Whisper) — w tym przypadku nagranie nie opuszcza serwera.

Jeśli użytkownik skonfiguruje własny klucz API, transkrypcja odbywa się w ramach jego indywidualnej umowy z wybranym dostawcą — GHOSTek.pl nie jest wtedy stroną tej relacji.

Model językowy (LLM) domyślnie

Treść rozmowy jest wysyłana do zewnętrznego modelu językowego na podstawie klucza API operatora GHOSTek.pl. W konfiguracji standardowej GHOSTek.pl korzysta z jednego z poniższych dostawców:

Mistral AI (Mistral AI SAS, Paryż, Francja — UE) — podmiot unijny podlegający bezpośrednio przepisom RODO. Posiada standardowe klauzule umowne w zakresie przetwarzania danych (DPA). Dane przetwarzane w UE. UE

OpenAI (OpenAI Ireland Limited / OpenAI OpCo LLC, USA) — treść rozmowy przetwarzana wyłącznie w celu wygenerowania odpowiedzi. Transfer danych poza EOG na podstawie art. 46 RODO (SCCs) zawartych w Data Processing Addendum OpenAI. OpenAI posiada certyfikat SOC 2 Type II.

Groq (Groq Inc., Mountain View, USA) — treść rozmowy przetwarzana wyłącznie w celu wygenerowania odpowiedzi. Transfer danych poza EOG na podstawie art. 46 RODO (SCCs) zawartych w Data Processing Addendum GroqCloud (Module 2 EU SCCs).

Aktualnie używany dostawca LLM widoczny jest w panelu administratora.

Alternatywnie: użytkownik może w panelu skonfigurować własny klucz API dowolnego dostawcy — GHOSTek.pl nie jest wtedy stroną tej relacji i nie ponosi odpowiedzialności za przetwarzanie danych przez tego dostawcę.

Synteza mowy (TTS)

Odpowiedź tekstowa asystenta jest przekształcana w mowę przez jeden z dwóch silników:

Piper TTS domyślnie — lokalny silnik syntezy mowy działający w całości na serwerze GHOSTek.pl. Tekst nie jest wysyłany do żadnych zewnętrznych serwisów. Serwis wykorzystuje modele głosowe projektu Piper (rhasspy/piper-voices).

Microsoft Azure Cognitive Services (Azure TTS) UE — opcjonalnie, na żądanie operatora lub użytkownika. Żądania są wysyłane na serwery Microsoft w regionie Sweden Central (UE). Wynikowe audio jest przesyłane strumieniowo do urządzenia i nie jest przechowywane. Przetwarzanie odbywa się na podstawie klucza API operatora GHOSTek.pl lub własnego klucza użytkownika. Microsoft Azure posiada certyfikat ISO 27001 oraz standardowe klauzule umowne RODO (DPA).

Modele Piper — informacje o licencjach:
CC BY 4.0: fr_FR-siwis-medium (SIWIS project, University of Edinburgh); en_GB-alba-medium (Alba Speech Corpus, Valentini-Botinhao & Yamagishi).
CC BY-SA 4.0: fr_FR-upmc-medium (Pierre, Jessica — UPMC/LIP6).
MIT: uk_UA-ukrainian_tts-medium, sv_SE-nst-medium, nl_NL-nathalie-medium, ro_RO-mihai-medium, sk_SK-lili-medium, fr_FR-gilles-low.
CC0 (domena publiczna): pl_PL-mc_speech, en_US-joe, de_DE-thorsten oraz pozostałe.

Wyszukiwanie w internecie domyślnie

Gdy asystent wykonuje wyszukiwanie internetowe (np. na pytanie o aktualne wiadomości lub pogodę), zapytanie jest przekazywane do SearXNG — instancji działającej na własnym serwerze GHOSTek.pl (OVH, Francja, UE). SearXNG agreguje wyniki z Google, Bing i DuckDuckGo. Zapytania wychodzące do tych wyszukiwarek nie zawierają żadnych danych identyfikujących użytkownika — są wysyłane anonimowo przez serwer GHOSTek.pl.

Użytkownik może alternatywnie skonfigurować DuckDuckGo (zapytania anonimowe) lub Tavily (wymaga własnego klucza API).

Prognoza pogody
Gdy użytkownik pyta o pogodę, serwer GHOSTek.pl wysyła nazwę miasta (podaną przez użytkownika w panelu) do Open-Meteo — bezpłatnej usługi pogodowej działającej na serwerach w Niemczech (UE), niewymagającej klucza API. Open-Meteo nie przetwarza danych osobowych. Warunki Open-Meteo

Polityki prywatności dostawców standardowych: Mistral AI · OpenAI · Groq · Microsoft (Azure TTS) · Open-Meteo

Polityki prywatności dostawców opcjonalnych (gdy użytkownik konfiguruje własny klucz): Google · Anthropic

4. Podstawa prawna przetwarzania

Art. 6 ust. 1 lit. b RODO — wykonanie umowy (świadczenie usługi asystenta AI GHOSTek)
Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (bezpieczeństwo systemu, ochrona przed nadużyciami)
Art. 9 ust. 2 lit. a RODO — wyraźna zgoda użytkownika na przetwarzanie danych wrażliwych, udzielana przy świadomym włączeniu historii rozmów lub pamięci AI w ustawieniach urządzenia

5. Podmioty przetwarzające (procesorzy)

GHOSTek.pl korzysta z następujących podmiotów przetwarzających dane w konfiguracji standardowej:

Mistral AI SAS (10 place de la Bourse, 75002 Paryż, Francja) — model językowy (LLM); podmiot unijny, DPA dostępna automatycznie; dane przetwarzane w UE
OpenAI Ireland Limited / OpenAI OpCo LLC (USA) — transkrypcja mowy (ASR) i/lub model językowy (LLM); transfer poza EOG na podstawie art. 46 RODO (SCCs) — Data Processing Addendum OpenAI; certyfikat SOC 2 Type II
Groq Inc. (2607 Midtown Ct, Mountain View, CA, USA) — transkrypcja mowy (ASR) i/lub model językowy (LLM); transfer poza EOG na podstawie art. 46 RODO (SCCs) — Data Processing Addendum GroqCloud, Module 2 EU SCCs
Microsoft Ireland Operations Ltd. (One Microsoft Place, Dublin, Irlandia) — synteza mowy Azure TTS (opcjonalnie), region Sweden Central (dane przetwarzane w UE); DPA w ramach Microsoft Online Services Terms
OVH SAS (2 rue Kellermann, 59100 Roubaix, Francja) — hosting serwera, infrastruktura w UE

6. Przekazywanie danych poza EOG

W konfiguracji standardowej GHOSTek.pl korzysta z dostawców zarówno unijnych, jak i spoza EOG. Mistral AI jest firmą francuską (UE) — dane przetwarzane w UE. OpenAI i Groq mają siedziby w USA — przekazywanie danych poza EOG odbywa się na podstawie art. 46 RODO (Standardowe Klauzule Umowne — SCCs), co stanowi odpowiednie zabezpieczenie w rozumieniu RODO. Oba podmioty posiadają podpisane Data Processing Addendum (DPA) z klauzulami SCCs zatwierdzonymi przez Komisję Europejską. Azure TTS (jeśli aktywny) operuje na centrum danych Sweden Central w UE. Serwer GHOSTek.pl zlokalizowany jest we Francji (OVH).

W przypadku, gdy użytkownik skonfiguruje własnego dostawcę spoza EOG (np. Anthropic — USA, DeepSeek — Chiny), dane są przekazywane do kraju trzeciego na podstawie art. 49 ust. 1 lit. b RODO. Użytkownik robi to świadomie, konfigurując własny klucz API.

7. Okres przechowywania danych

Dane konta (email, hasło) — do momentu usunięcia konta przez użytkownika
Historia rozmów — maksymalnie 14 dni, po czym usuwana automatycznie; użytkownik może usunąć ją wcześniej samodzielnie w panelu (funkcja domyślnie wyłączona)
Pamięć AI — do momentu ręcznego wyczyszczenia przez użytkownika w panelu (funkcja domyślnie wyłączona)
Nagrania głosowe — nieprzechowywane; przetwarzane strumieniowo w czasie rzeczywistym i usuwane natychmiast po transkrypcji
Logi bezpieczeństwa serwera — maksymalnie 7 dni, usuwane automatycznie

8. Prawa użytkownika

Zgodnie z RODO przysługują Ci:

Prawo dostępu — możesz w każdej chwili zobaczyć dane przechowywane w panelu
Prawo do usunięcia — usuń historię, pamięć AI i konto samodzielnie z poziomu panelu lub napisz na info@ghostek.pl
Prawo do sprostowania — poprawienie nieprawidłowych danych
Prawo do sprzeciwu — możesz sprzeciwić się przetwarzaniu danych na podstawie uzasadnionego interesu
Prawo do ograniczenia przetwarzania (art. 18) — na czas rozpatrzenia sprzeciwu lub żądania sprostowania
Prawo do przenoszenia danych (art. 20) — możesz pobrać wszystkie swoje dane w formacie JSON bezpośrednio z panelu (funkcja Eksport danych)
Prawo do skargi — do Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl)

9. Bezpieczeństwo

Hasła hashowane algorytmem bcrypt (koszt 12)
Klucze API operatora i użytkowników szyfrowane algorytmem AES-128 (Fernet) na serwerze
Historia rozmów szyfrowana w spoczynku algorytmem AES-256 — unikalnym kluczem per-użytkownik
Komunikacja wyłącznie przez HTTPS/TLS z nagłówkiem HSTS
Pliki danych dostępne tylko dla procesu serwera (uprawnienia 0600)
Sesje wygasają automatycznie po 24 godzinach

10. Pliki cookie i localStorage

Panel nie używa plików cookie. Do przechowywania danych sesji używamy wyłącznie localStorage przeglądarki — technologii działającej lokalnie na Twoim urządzeniu, nieprzekazywanej do serwera automatycznie:

watchai_token — token sesji po zalogowaniu (niezbędny do działania usługi)
ghostek_lang — wybrany język interfejsu (PL/EN)

Nie stosujemy cookies marketingowych, reklamowych ani śledzących. Baner cookie nie jest wyświetlany, ponieważ nie jest wymagany przez prawo UE.

11. Kontakt

W sprawach dotyczących ochrony danych osobowych skontaktuj się z nami:
info@ghostek.pl