Polityka prywatności

Wersja beta przed pełnym uruchomieniem

Niniejsza Polityka prywatności opisuje sposób przetwarzania danych osobowych przez SciMatch w fazie beta. Zostanie ona zweryfikowana wspólnie z Inspektorem Ochrony Danych Politechniki Wrocławskiej i uzupełniona o wiążącą wersję polskojęzyczną przed pełnym publicznym uruchomieniem pod adresem scimatch.pwr.edu.pl.

1. Kto odpowiada za Twoje dane

Administratorem danych osobowych przetwarzanych przez SciMatch (dalej „Usługa”) jest Politechnika Wrocławska, ul. Wybrzeże Wyspiańskiego 27, 50-370 Wrocław, Polska (dalej „Administrator”).

Z zespołem SciMatch możesz skontaktować się poprzez nasz formularz kontaktowy. Z Inspektorem Ochrony Danych (IOD) Politechniki Wrocławskiej możesz skontaktować się pod adresem IOD@pwr.edu.pl we wszystkich sprawach dotyczących przetwarzania Twoich danych osobowych.

2. Zakres niniejszej polityki

Niniejsza polityka obejmuje dane osobowe przetwarzane przez aplikację internetową SciMatch i wspierające ją interfejsy API. Nie obejmuje stron internetowych podmiotów trzecich, do których możesz dotrzeć przez linki zewnętrzne (na przykład profilu badacza w serwisie ORCID, OpenAlex lub strony instytucjonalnej), które działają na podstawie własnych regulacji prywatności.

3. Co zbieramy i dlaczego

Przetwarzamy następujące kategorie danych osobowych:

Dane konta

Adres e-mail, zaszyfrowane hasło, znacznik czasu rejestracji, czas ostatniego logowania oraz metadane uwierzytelniania.

Cel: tworzenie i zabezpieczanie konta, uwierzytelnianie, ograniczanie rejestracji do dozwolonych domen e-mail. Podstawa prawna: wykonanie umowy (art. 6 ust. 1 lit. b RODO).

Aktywność wyszukiwania

Zapytania wyszukiwania, które przesyłasz, filtry i tryb wyszukiwania, które stosujesz, zwrócone Ci profile badaczy i ich pozycje w rankingu oraz znacznik czasu każdego wyszukiwania. Gdy jesteś zalogowany, zdarzenia te są powiązane z Twoim identyfikatorem użytkownika; w przypadku osób niezalogowanych są przechowywane bez identyfikatora użytkownika.

Cel: prowadzenie usługi wyszukiwania, monitorowanie jakości, debugowanie, ewaluacja zmian w rankingu, tworzenie zagregowanych analiz oraz ulepszanie platformy. Podstawa prawna: nasz prawnie uzasadniony interes polegający na prowadzeniu i ulepszaniu Usługi (art. 6 ust. 1 lit. f RODO).

Rozmowy z asystentem AI

Wiadomości wymieniane z asystentem AI, wynikowe odpowiedzi oraz metadane konwersacji (tytuły, znaczniki czasu).

Cel: udzielanie odpowiedzi na Twoje pytania i przechowywanie historii rozmów, abyś mógł do nich powrócić. Podstawa prawna: wykonanie umowy (art. 6 ust. 1 lit. b RODO).

Przesyłane dokumenty i pochodne metadane

Dokumenty, które przesyłasz do analizy (np. pliki PDF, opisy projektów), wyodrębniony z nich tekst oraz metadane generowane przez AI, takie jak tematy, słowa kluczowe, typ dokumentu i wykryty język.

Cel: realizacja funkcji analizy dokumentów, buforowanie wyników, aby ten sam plik nie wymagał ponownej analizy, oraz sugerowanie odpowiednich badaczy. Podstawa prawna: wykonanie umowy (art. 6 ust. 1 lit. b RODO). Prosimy nie przesyłać dokumentów zawierających dane osobowe osób trzecich, jeśli nie masz ku temu podstawy prawnej.

Kolekcje, notatki i preferencje

Listy badaczy, które tworzysz, ich nazwy, kolory i zapisani badacze; preferencje interfejsu zapisane w Twoim koncie.

Cel: dostarczanie spersonalizowanych funkcji. Podstawa prawna: wykonanie umowy (art. 6 ust. 1 lit. b RODO).

Dane techniczne i dotyczące bezpieczeństwa

Adres IP, identyfikator przeglądarki (user agent), metadane żądań HTTP (endpoint, kod statusu, czas odpowiedzi), dzienniki uwierzytelniania i błędów.

Cel: prowadzenie Usługi, zapobieganie nadużyciom, limitowanie zapytań, debugowanie i dochodzenia związane z bezpieczeństwem. Podstawa prawna: nasz prawnie uzasadniony interes polegający na zapewnieniu bezpiecznej i niezawodnej Usługi (art. 6 ust. 1 lit. f RODO); tam, gdzie jest to wymagane, wykonanie obowiązku prawnego (art. 6 ust. 1 lit. c RODO).

Dane badaczy ze źródeł publicznych

Imiona i nazwiska, afiliacje, identyfikatory ORCID/OpenAlex, listy publikacji, liczby cytowań, publicznie obserwowane adresy e-mail ze stron instytucjonalnych (wyświetlane wyłącznie zalogowanym użytkownikom) oraz podobne metadane akademickie agregowane ze źródeł publicznych, takich jak OpenAlex, strony instytucjonalne oraz, tam gdzie istnieje licencja, Scopus.

Cel: zapewnienie funkcji odkrywania badań, która stanowi istotę Usługi. Podstawa prawna: nasz prawnie uzasadniony interes polegający na wspieraniu badań naukowych i współpracy w środowisku akademickim (art. 6 ust. 1 lit. f RODO). Badacze mogą skorzystać z prawa sprzeciwu — zobacz punkt 9.

4. Kto przetwarza dane w naszym imieniu

Korzystamy z następujących kategorii zaufanych dostawców usług (podmiotów przetwarzających), każdy z nich jest związany pisemną umową powierzenia przetwarzania danych:

• Supabase — zarządzane uwierzytelnianie, baza danych PostgreSQL oraz przechowywanie plików.
• Dostawcy hostingu — hosting aplikacji oraz dostarczanie treści dla aplikacji internetowej i API SciMatch (host frontendu oraz host backendu API).
• Hugging Face — zarządzany punkt końcowy inferencji generujący wektory osadzeń (embeddings) dla zapytań wyszukiwania. Zapytania są przekazywane wyłącznie w celu obliczenia osadzenia i nie są zachowywane przez dostawcę do celów trenowania.
• Dostawcy modeli AI (OpenAI, Anthropic) — przetwarzanie zapytań i przesyłanych dokumentów w celu generowania odpowiedzi AI i metadanych. Treści przesyłane do tych dostawców są ograniczone do tego, co niezbędne do realizacji Twojego żądania, a dostawcy są kontraktowo zobowiązani do nieużywania ich do trenowania swoich modeli.
• Dostawca usług e-mail — do wiadomości transakcyjnych, takich jak potwierdzenie rejestracji, reset hasła i powiadomienia bezpieczeństwa.
• Monitorowanie błędów (Sentry) — odbiera ślady stosu i metadane żądań w przypadku wystąpienia błędu w Usłudze, w celu diagnozy i naprawy problemów. Dane osobowe są w miarę możliwości filtrowane z tych raportów.

Nie sprzedajemy danych osobowych i nie udostępniamy ich w celach reklamowych.

5. Transfery poza EOG

Niektórzy z naszych podmiotów przetwarzających (w szczególności dostawcy modeli AI) mają siedzibę w Stanach Zjednoczonych. W przypadku transferu danych osobowych poza Europejski Obszar Gospodarczy stosujemy odpowiednie zabezpieczenia przewidziane w rozdziale V RODO, w tym certyfikację w ramach EU–US Data Privacy Framework oraz, w stosownych przypadkach, Standardowe Klauzule Umowne Komisji Europejskiej. Możesz zwrócić się do Inspektora Ochrony Danych o kopię tych zabezpieczeń.

6. Jak długo przechowujemy dane

• Dane konta: przez czas istnienia konta, a następnie są usuwane w ciągu 30 dni od usunięcia konta, z wyjątkiem przypadków, gdy ich zatrzymanie jest wymagane przez prawo.
• Aktywność wyszukiwania: przechowywana do 24 miesięcy w celach analitycznych i ewaluacji jakości, po czym wpisy są usuwane lub agregowane do postaci nieidentyfikującej. Po usunięciu konta identyfikator użytkownika jest usuwany z dotychczasowych rekordów wyszukiwania.
• Rozmowy z AI i przesłane dokumenty: przechowywane przez okres aktywności konta lub do momentu ich usunięcia przez Ciebie z poziomu aplikacji.
• Dzienniki techniczne i dotyczące bezpieczeństwa: zwykle przechowywane do 90 dni, dłużej, jeśli wymaga tego dochodzenie w sprawie incydentu.
• Baza danych badaczy: utrzymywana i odświeżana przez czas istnienia Usługi; podlega korekcie lub usunięciu na żądanie (punkt 9).

7. Pliki cookie i pamięć lokalna

SciMatch używa wyłącznie ściśle niezbędnych plików cookie oraz wpisów pamięci lokalnej wymaganych do utrzymania sesji logowania i zapamiętania preferencji interfejsu (na przykład buforowanej migawki statystyk strony głównej). Nie używamy plików cookie do reklam ani śledzenia podmiotów trzecich. Ponieważ te technologie są ściśle niezbędne do działania Usługi, nie wymagają zgody w rozumieniu art. 173 ustawy Prawo telekomunikacyjne.

8. Przetwarzanie AI i decyzje automatyczne

Usługa wykorzystuje modele rankingowe wyszukiwania oraz duże modele językowe do wyświetlania odpowiednich badaczy i generowania odpowiedzi tekstowych. Funkcje te stanowią narzędzia wspierające decyzje: tworzone przez nie rankingi i odpowiedzi nie wywołują wobec osób fizycznych skutków prawnych ani podobnie istotnych skutków w rozumieniu art. 22 RODO, a żadna decyzja dotycząca Ciebie nie jest podejmowana wyłącznie na podstawie tych wyników. Wyniki mogą być niedokładne i powinny być zawsze weryfikowane przed wykorzystaniem w jakiejkolwiek istotnej decyzji.

9. Twoje prawa

Na podstawie RODO przysługuje Ci prawo do:

• dostępu do swoich danych osobowych i uzyskania ich kopii (art. 15),
• żądania sprostowania nieprawidłowych lub niekompletnych danych (art. 16),
• żądania usunięcia swoich danych (art. 17),
• żądania ograniczenia przetwarzania (art. 18),
• przenoszenia danych, które nam przekazałeś i które przetwarzamy w sposób zautomatyzowany (art. 20),
• wniesienia sprzeciwu wobec przetwarzania opartego na naszym prawnie uzasadnionym interesie, w tym sprzeciwu wobec prezentowania Twojego profilu badacza (art. 21),
• wycofania zgody w dowolnym momencie, jeśli przetwarzanie odbywa się na podstawie zgody, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem (art. 7 ust. 3),
• wniesienia skargi do polskiego organu nadzorczego: Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Aby skorzystać ze swoich praw, skontaktuj się z nami poprzez formularz kontaktowy lub napisz do Inspektora Ochrony Danych pod adresem IOD@pwr.edu.pl. Odpowiemy w ciągu jednego miesiąca, z możliwością przedłużenia tego terminu w przypadku skomplikowanych wniosków, zgodnie z art. 12 ust. 3 RODO.

10. Badacze widoczni w bazie danych

Jeśli jesteś badaczem, którego publicznie dostępny profil akademicki pojawia się w SciMatch i chciałbyś, aby Twój wpis został poprawiony lub usunięty, możesz w dowolnym momencie skorzystać z prawa sprzeciwu lub prawa do usunięcia danych. Wyślij wniosek poprzez formularz kontaktowy lub na adres IOD@pwr.edu.pl, a my zrealizujemy go bez zbędnej zwłoki.

11. Czy podanie danych jest obowiązkowe?

Podanie adresu e-mail jest niezbędne do utworzenia konta i korzystania z funkcji powiązanych z kontem. Przesyłanie zapytań wyszukiwania, wiadomości do AI lub dokumentów jest dobrowolne, jednak odpowiednie funkcje nie mogą działać bez tych danych wejściowych.

12. Bezpieczeństwo

Stosujemy środki techniczne i organizacyjne odpowiednie do ryzyka, w tym szyfrowanie w transmisji, kontrolę dostępu na poziomie wierszy w bazie danych, ograniczony dostęp administracyjny, dzienniki audytu i regularne przeglądy bezpieczeństwa. Żadnego systemu nie można uznać za całkowicie bezpieczny; prosimy o zgłaszanie wszelkich podatności poprzez formularz kontaktowy.

13. Dzieci

SciMatch nie jest skierowany do dzieci poniżej 16. roku życia i nie zbieramy świadomie ich danych osobowych. Jeśli sądzisz, że osoba niepełnoletnia przekazała dane osobowe Usłudze, prosimy o kontakt, abyśmy mogli je usunąć.

14. Zmiany niniejszej polityki

Możemy od czasu do czasu aktualizować niniejszą Politykę prywatności. Aktualnie obowiązująca wersja wraz z datą jej wejścia w życie jest zawsze publikowana pod tym adresem URL. O istotnych zmianach będziemy informować poprzez Usługę lub za pośrednictwem wiadomości e-mail wysyłanych do zarejestrowanych użytkowników.

Zobacz także nasz Regulamin.