óocrai

Polityka bezpieczeństwa / Informacja o przetwarzaniu danych

Data wejścia w życie: 10.06.2026 · Wersja dokumentu: v1.0

Preambuła

Niniejszy dokument precyzuje standardy bezpieczeństwa wdrażane przez OCRai oraz opisuje ramy odpowiedzialności w zakresie przetwarzania danych szczególnej kategorii i informacji objętych tajemnicą zawodową.

I. Model Ograniczenia Ryzyka i Role w Przetwarzaniu

W zakresie treści dokumentów przesyłanych do konwersji przez Użytkownika, Użytkownik działa jako Administrator tych danych (w rozumieniu RODO), natomiast OCRai występuje w roli Podmiotu Przetwarzającego (Procesora) działającego wyłącznie na wyraźne żądanie i polecenie Użytkownika.

Architektura aplikacji została zaprojektowana w oparciu o zasadę „Privacy by Design", gdzie minimalizacja przetrzymywania informacji stanowi główny wektor bezpieczeństwa.

II. Mechanizm Zero Retencji

Proces przetwarzania przesyłanego dokumentu wygląda następująco:

  1. Przesłanie pliku odbywa się przy użyciu szyfrowanego kanału TLS 1.3.
  2. Plik jest przekazywany w locie przez backend OCRai do podwykonawcy – Google Gemini API.
  3. Po wygenerowaniu pliku wynikowego w wybranym przez Użytkownika formacie, plik jest przekazywany Użytkownikowi.
  4. Natychmiast po udanej lub nieudanej transmisji, plik wejściowy oraz plik wynikowy są nieodwracalnie usuwane z pamięci operacyjnej infrastruktury OCRai.

III. Dane Szczególnej Kategorii i Tajemnica Zawodowa

OCRai udostępnia zautomatyzowane narzędzie, którego ostateczny cel i charakter użycia leży po stronie Użytkownika. W przypadku przetwarzania dokumentów medycznych, akt sądowych, umów czy danych finansowych (dane z art. 9 RODO):

  • Pełna odpowiedzialność: Użytkownik ponosi wyłączną odpowiedzialność za zgodność przetwarzania z wymogami prawa oraz regulacjami branżowymi.
  • Akceptacja standardu: Użytkownik akceptuje fakt, że OCRai stosuje wysokie, lecz zunifikowane standardy ochrony (szyfrowanie w transporcie, autoryzacja sprzętowa, zasada braku retencji), i nie zapewnia odrębnych, izolowanych środowisk dedykowanych wyłącznie dla podmiotów medycznych czy organów ścigania.
  • Klienci obsługujący masowo dane podlegające rygorom ustaw szczególnych mogą zgłosić się na adres kontakt@ocrai.pl w celu zawarcia indywidualnej Umowy Powierzenia Przetwarzania Danych (DPA).

IV. Główne Zabezpieczenia Techniczne

  • Bezpieczeństwo transmisji danych gwarantowane protokołem HTTPS (TLS 1.3).
  • Zabezpieczenie kont i haseł algorytmem szyfrującym bcrypt (realizowane przez Supabase Auth).
  • Uwierzytelnianie przy pomocy krótko żyjących tokenów JWT.
  • Separacja danych w bazie przy użyciu Row-Level Security (RLS) – Użytkownik posiada dostęp wyłącznie do własnych metadanych bilingowych.
  • Zaawansowana ochrona przed atakami Distributed Denial of Service (DDoS) dostarczana przez rozwiązania Cloudflare.

Changelog

  • 10.06.2026 — v1.0 — Publikacja pierwszej wersji Polityki Bezpieczeństwa.