Bezpieczeństwo i dane
Ostatnia aktualizacja: 13 lipca 2026
Podsumowanie
Transept to przestrzeń robocza stworzona z myślą o bezpiecznym tłumaczeniu. Po przesłaniu tekstu wysyłamy go do dostawcy AI w celu przetłumaczenia, przechowujemy wynik w naszej bazie danych i umożliwiamy jego edycję. Ta strona wyjaśnia wszystkie powiązane kwestie – gdzie znajdują się dane, kto ma do nich dostęp i czego obiecujemy z nimi nie robić. Jeśli oceniają Państwo platformy do bezpiecznego tłumaczenia maszynowego i zarządzania projektami tłumaczeniowymi, jest to wersja napisana przystępnym językiem; pełny tekst prawny znajduje się w Polityce prywatności.
- Nie wykorzystujemy Państwa treści do trenowania modeli AI – ani naszych, ani naszych dostawców.
- Państwa dane znajdują się w UE – aplikacja i baza danych są hostowane w Niemczech (Hetzner).
- Szyfrowanie w locie i w spoczynku – TLS 1.2+ dla każdego połączenia, AES-256 na dysku.
- Są Państwo właścicielami swoich treści – posiadamy jedynie wąską licencję na przetwarzanie, bez roszczeń do własności. Po usunięciu konta dane są usuwane wraz z nim.
- Umowa powierzenia przetwarzania danych (DPA) dostępna na życzenie – z klientami biznesowymi podpisujemy umowę obejmującą obowiązki wynikające z art. 28 RODO.
Co robimy z Państwa treściami
Po przesłaniu tekstu do tłumaczenia dzieją się trzy rzeczy:
- Tekst jest zapisywany w naszej bazie danych jako część dokumentu.
- Dla każdego żądania tłumaczenia odpowiedni blok jest wysyłany do dostawcy AI przez szyfrowane połączenie. Dostawca zwraca tłumaczenie, które zapisujemy jako nową wersję bloku.
- Tekst pozostaje w dokumencie do momentu jego usunięcia (lub usunięcia konta). Nigdy nie jest wykorzystywany do trenowania jakiegokolwiek modelu AI.
Czego nie robimy:
- Nie sprzedajemy Państwa danych.
- Nie wykorzystujemy Państwa treści do trenowania modeli – ani naszych, ani niczyich innych.
- Nie udostępniamy Państwa treści reklamodawcom ani zewnętrznym platformom marketingowym.
- Nie skanujemy połączonych przestrzeni roboczych Google Drive ani Notion. Widzimy tylko pliki, które zostały wyraźnie wybrane do zaimportowania.
- Nie prowadzimy własnych modeli bazowych ani nie dostrajamy ich na danych klientów.
Gdzie znajdują się Państwa dane
Serwery aplikacji i baza danych Transept działają w oparciu o Hetzner Online GmbH, europejskiego dostawcę hostingu z centrami danych w Niemczech. Państwa konto, dokumenty, tłumaczenia, glosariusze i przewodniki po stylu – wszystko to znajduje się na infrastrukturze w UE.
Podczas tłumaczenia odpowiedni blok tekstu jest wysyłany do dostawcy AI na czas trwania tego żądania. Większość dostawców AI (Anthropic, OpenAI, Google) przetwarza żądania w USA na podstawie umownych zobowiązań do ochrony danych oraz, w stosownych przypadkach, Ram Ochrony Danych UE-USA (Data Privacy Framework) lub Standardowych Klauzul Umownych (SCC). Po zwróceniu tłumaczenia żadna kopia Państwa treści nie pozostaje u dostawcy poza krótkoterminowymi logami operacyjnymi – szczegółowe informacje znajdują się w polityce prywatności każdego z dostawców.
Szyfrowanie
- W locie – TLS 1.2 lub nowszy dla każdego połączenia między przeglądarką, naszymi serwerami i dostawcami AI. Tylko HTTPS; HTTP jest przekierowywane.
- W spoczynku – baza danych i pamięć dyskowa szyfrowane za pomocą AES-256.
- Kopie zapasowe – szyfrowane w spoczynku, przechowywane przez 30 dni, a następnie nadpisywane.
- Uwierzytelnianie – logowanie bez hasła za pomocą krótkotrwałych jednorazowych kodów e-mail lub Google OAuth. Nie przechowujemy haseł. Tokeny sesji są przechowywane w pamięci lokalnej przeglądarki.
Kto ma dostęp do Państwa danych
Dostęp do środowiska produkcyjnego jest ograniczony do niewielkiej liczby imiennie wskazanych operatorów (obecnie dwóch współzałożycieli), uwierzytelnianych za pomocą kluczy SSH z rejestrowaniem audytów. Treści klientów nie są przeglądane w ramach rutynowych operacji.
W celu zbadania problemu z tłumaczeniem lub innego zgłoszenia do pomocy technicznej, prosimy o zgodę i wskazanie konkretnego dokumentu przed jego otwarciem. Dostęp do kont użytkowników z poziomu panelu administratora jest rejestrowany i podlega audytowi; wrażliwe działania (zmiany ról, podszywanie się, korekty słów) tworzą trwałe wpisy w dzienniku audytu.
Dostawcy AI i trenowanie modeli
Żądania tłumaczenia są wysyłane do jednego z poniższych dostawców, w zależności od wybranego modelu:
- Anthropic – modele z rodziny Claude, za pośrednictwem Anthropic API. Komercyjne API Anthropic nie trenuje na danych wejściowych ani wyjściowych klientów.
- OpenAI – modele z rodziny GPT, za pośrednictwem OpenAI API. Dane z OpenAI API domyślnie nie są wykorzystywane do trenowania modeli dla klientów API.
- Google – modele z rodziny Gemini, za pośrednictwem Vertex AI / Gemini API. Dane klientów przesyłane przez te API nie są wykorzystywane do trenowania modeli bazowych Google.
- Groq – modele z rodziny Llama i inne hostowane na Groq w celu szybkiego wnioskowania. API Groq nie trenuje na danych klientów.
- OpenRouter – dostęp do dodatkowych modeli. Warunki dostawców bazowych różnią się w zależności od modelu. W przypadku zadań, w których rezygnacja z trenowania ma znaczenie, należy przypisać tłumaczenia do znanego dostawcy (Anthropic, OpenAI lub Google).
Żaden z tych dostawców nie trenuje modeli na przesyłanych treściach w ramach poziomów API, z których korzystamy. Transept nie uruchamia własnych modeli bazowych, nie doucza ich na danych klientów i nie przechowuje promptów ani wyników w żadnym celu szkoleniowym.
Dalsze podmioty przetwarzające
Pełna lista stron trzecich, które mogą przetwarzać dane w naszym imieniu – nazwy, region, rola i data ostatniego przeglądu umowy powierzenia przetwarzania danych (DPA) – znajduje się na stronie /subprocessors. Podsumowanie:
- Tłumaczenie AI – Anthropic (USA), OpenAI (USA), Google / Vertex AI (USA, dostępne regiony UE), Groq (USA), OpenRouter (USA). Zobacz wyżej.
- Hetzner Online GmbH (Niemcy, UE) – hosting aplikacji i baz danych.
- Stripe, Inc. (USA / Irlandia) – rozliczenia subskrypcji i zakupy jednorazowe. Nigdy nie widzimy ani nie przechowujemy pełnych numerów kart; Stripe przetwarza wszystkie dane kart zgodnie ze standardem PCI DSS Level 1.
- PostHog (hostowany w UE) – opcjonalna analityka produktu, ładowana tylko za wyraźną zgodą na analitykę (wymagana zgoda każdego odwiedzającego).
- Customer.io (obszar roboczy w UE) – e-maile transakcyjne (kody logowania, powiadomienia o koncie, rachunki) oraz – tylko za wyraźną zgodą na marketing – e-maile z aktualizacjami produktu.
- Google Tag Manager + Google Ads (USA) – analityka i pomiar konwersji reklam, ładowane tylko za wyraźną zgodą i kontrolowane przez Consent Mode v2.
- Meta Platforms (USA) – Pixel + Conversions API do pomiaru konwersji reklam, ładowane tylko za wyraźną zgodą na marketing.
Istotne zmiany na tej liście (nowy podwykonawca, zmiana regionu) będą oznaczane na tej stronie oraz na stronie /subprocessors, zanim wejdą w życie dla nowego przetwarzania.
Zgodność i certyfikaty
Transept to młoda firma. Przestrzegamy merytorycznych obowiązków wynikających z poniższych ram, ale nie posiadamy jeszcze certyfikatów stron trzecich. Jesteśmy transparentni w kwestii tego, co mamy, a czego nie.
- RODO (UE) i UK GDPR – tak. Zapewniamy zgodność jako administrator danych w przypadku danych konta i użytkowania oraz jako podmiot przetwarzający w przypadku przesyłanych treści. Oferujemy pełen zestaw praw osób, których dane dotyczą, rezydencję danych w UE dla przechowywanych treści, powiadamianie o naruszeniach w ciągu 72 godzin oraz umowę powierzenia przetwarzania danych (DPA) na żądanie.
- CCPA / CPRA (Kalifornia) i inne przepisy stanowe USA dotyczące prywatności – tak. Respektujemy prawo do informacji, prawo do usunięcia, prawo do sprostowania oraz prawo do rezygnacji ze sprzedaży lub udostępniania danych dla wszystkich mieszkańców USA (nie sprzedajemy danych osobowych).
- SOC 2 – jeszcze nie. Stosujemy praktyki zgodne z SOC 2 w zakresie kontroli dostępu, szyfrowania, zarządzania zmianami i reagowania na incydenty, ale nie przeszliśmy audytu Type 1 ani Type 2.
- ISO 27001 – brak certyfikatu.
- HIPAA – Transept nie jest platformą zgodną z HIPAA. Prosimy nie przesyłać chronionych informacji zdrowotnych.
- PCI DSS – dane płatnicze są przetwarzane przez Stripe (PCI DSS Level 1). Nigdy nie widzimy ani nie przechowujemy pełnych danych kart.
Umowa powierzenia przetwarzania danych (DPA)
Dla klientów biznesowych udostępniamy umowę powierzenia przetwarzania danych na żądanie. Obejmuje ona nasze obowiązki jako podmiotu przetwarzającego zgodnie z art. 28 RODO – w tym ujawnianie dalszych podmiotów przetwarzających, środki bezpieczeństwa, żądania osób, których dane dotyczą, oraz powiadamianie o naruszeniach.
Aby poprosić o DPA, prosimy wysłać e-mail na adres [email protected], podając adres e-mail konta oraz dane firmy.
Reagowanie na incydenty
Jeśli dowiemy się o naruszeniu ochrony danych osobowych, które może powodować ryzyko naruszenia praw i wolności, zobowiązujemy się:
- Powiadomić dotkniętych użytkowników bez zbędnej zwłoki, a w przypadkach uzasadnionych powagą sytuacji – w ciągu 72 godzin zgodnie z art. 33 RODO.
- Powiadomić odpowiedni organ nadzorczy, jeśli jest to wymagane.
- Przekazać informacje o charakterze naruszenia, danych, których dotyczy, prawdopodobnych konsekwencjach oraz krokach, które podejmujemy w celu jego powstrzymania i naprawy.
W przypadku incydentów wpływających na usługę, które nie są naruszeniami danych (przerwy w działaniu, spadek wydajności), aktualizacje są publikowane za pomocą banera w aplikacji oraz wysyłane e-mailem do aktywnych użytkowników.
Odpowiedzialne ujawnianie
W przypadku znalezienia luki w zabezpieczeniach Transept, prosimy o e-mail na adres [email protected] ze szczegółami. Prosimy o:
- Danie nam rozsądnego czasu na zbadanie i naprawienie problemu przed jego publicznym ujawnieniem.
- Unikanie naruszeń prywatności, niszczenia danych lub zakłócania działania usługi podczas testów.
- Testowanie wyłącznie na własnym koncie lub kontach, do których ma się uprawnienia dostępu.
Obecnie nie prowadzimy płatnego programu bug-bounty, ale potwierdzimy wiarygodne zgłoszenia i – w razie chęci zgłaszającego – publicznie go wyróżnimy po wdrożeniu poprawki.
Więcej informacji
Pełny tekst prawny znajduje się w naszej Polityce prywatności oraz Warunkach świadczenia usług. W sprawach nieomówionych tutaj prosimy o kontakt pod adresem [email protected].