Read in English ↗
●TL;DR (na serio)
Nie widzimy Twoich rozmów. Nie przechowujemy Twojego klucza API. Nie mamy konta z Twoimi danymi. Jedyne co mamy — Twój e-mail (do wysyłki i wsparcia) i fakt, że kupiłeś NotiBox.
Kto za tym stoi
NotiBox to firma zarejestrowana w Polsce. Nie sprzedajemy reklam, nie zbieramy danych do trenowania modeli, nie odsprzedajemy ich partnerom.
Administrator danych osobowych (RODO): NotiBox [TODO: uzupełnić pełną nazwę prawną podmiotu, adres siedziby i NIP — patrz §1 regulaminu]. W sprawach danych osobowych i prywatności napisz na prywatnosc@notibox.ai.
Co dokładnie zbieramy
Dane zbierane są w trzech miejscach, wyraźnie oddzielonych:
1. Strona notibox.ai (landing)
- Przy zakupie: imię, nazwisko, e-mail, adres wysyłki, dane rozliczeniowe. Przechowywane w Stripe + u nas przez 5 lat (obowiązek podatkowy).
- Przy zapisie na newsletter: tylko e-mail. Możesz się wypisać jednym kliknięciem.
- Analityka: Vercel Analytics — dane agregowane po stronie Vercel, bez cookies, bez fingerprintingu, bez identyfikacji per-user. Zbierane są tylko zagregowane liczniki: ile osób otworzyło stronę, ilu kliknęło „Zarezerwuj", ile rozwinęło dane pytanie FAQ. Bez Google Analytics, bez Facebook Pixela.
2. Twój NotiBox (urządzenie u Ciebie w domu)
- Token Telegrama — zapisany lokalnie w zaszyfrowanym keystore na SSD. Nie wysyłany nigdzie.
- Klucz API dostawcy modelu (np. Google Gemini, Anthropic, OpenAI, xAI) — w trybie BYOK, zapisany lokalnie jak wyżej.
- Historia rozmów — domyślnie przechowywana lokalnie przez 30 dni (konfigurowalne 1–∞ dni lub off).
3. Serwer OTA updates + wsparcia
- Twoje urządzenie codziennie pyta nasz serwer o dostępne aktualizacje. Przekazywane dane: numer seryjny, wersja OS, kraj (z IP). Bez treści rozmów.
- Tailscale VPN — gdy wyślesz ticket wsparcia i włączysz zdalny dostęp, widzę logi systemowe (nie rozmowy).
Lista oczekujących i newsletter
Jeśli zapiszesz się przez formularz „lista oczekujących" w stopce — to osobny, lekki zbiór danych (sam adres e-mail), niezależny od urządzenia i konta Google.
- Co zbieramy: Twój adres e-mail (opcjonalnie źródło zapisu / parametry UTM, jeśli przyszedłeś z konkretnego linku).
- Po co: żeby informować Cię o premierze i nowościach NotiBox.
- Podstawa prawna: Twoja zgoda (art. 6 ust. 1 lit. a RODO), wyrażona zaznaczeniem checkboxa przy zapisie. Stosujemy double opt-in — po zapisie wysyłamy mail z linkiem potwierdzającym; bez kliknięcia nie dodajemy Cię do listy.
- Gdzie przechowujemy: na infrastrukturze NotiBox (serwer w UE, Frankfurt) — nie u zewnętrznego dostawcy list mailingowych.
- Kto wysyła maile: do samej wysyłki korzystamy z dostawcy e-mail (Resend) — wyłącznie po to, by dostarczyć wiadomość.
- Jak długo: do czasu wycofania zgody lub wypisania się.
- Wycofanie zgody: w każdej chwili — link „wypisz się" w stopce maila albo wiadomość na prywatnosc@notibox.ai. Masz też prawo dostępu i usunięcia danych (patrz RODO).
Dostawcy AI i przetwarzanie treści
NotiBox korzysta z zewnętrznych modeli językowych, żeby odpowiadać i działać na Twoich danych. Dostawca modelu może być różny — m.in. Google Gemini, Anthropic Claude, OpenAI czy xAI (lista przykładowa, nie zamknięta). Są dwa tryby dostępu do modelu i mają one różne przepływy danych.
Tryb 1 — własny klucz (BYOK)
Wpisujesz w panelu urządzenia (notibox.local/panel) własny klucz API wybranego dostawcy. Urządzenie łączy się z tym dostawcą bezpośrednio, używając Twojego klucza — ruch idzie urządzenie → dostawca, z pominięciem serwerów NotiBox.
- Klucz wpisujesz na panelu serwowanym przez Twój NotiBox, w Twojej sieci lokalnej. Zostaje zapisany w zaszyfrowanym kontenerze LUKS na SSD i nigdy nie opuszcza Twojego LAN-u.
- Serwery NotiBox nie widzą ani klucza, ani treści, ani nawet faktu, że wysłałeś zapytanie. W tym trybie Twoje dane (w tym dane z Google) w ogóle nie docierają do infrastruktury NotiBox — jesteśmy technicznie niezdolni do wglądu. To najmocniejszy wariant prywatności.
●Wyjątek, który warto znać
Jeśli zgłosisz ticket i wyraźnie pozwolisz operatorowi wejść przez Tailscale — operator ma teoretyczny dostęp do całego systemu plików urządzenia, więc również do zaszyfrowanego kontenera (sesja jako root). W praktyce nigdy nie otwieramy kontenera z kluczami klienta. Ale teoretycznie da się to zrobić. Jeśli to dla Ciebie nie OK — wyłącz Tailscale w panelu, a wsparcie zdalne przestaje działać.
Tryb 2 — plan zarządzany przez NotiBox
Jeśli korzystasz z modelu w ramach planu NotiBox, treść przechodzi przez bramkę na serwerze NotiBox do dostawcy modelu właściwego dla Twojego planu (różny zależnie od planu — np. Gemini dla planów podstawowych, Claude dla wyższych; może to być też OpenAI, xAI lub inny). Bramka (zweryfikowane audytem 21 maja 2026):
- przekazuje treść wyłącznie w tranzycie — nie przechowuje i nie zapisuje jej w logach (kod przekazuje tylko metadane, szczegółowe logowanie wyłączone, baza rozliczeń bez treści, cache trzymany tylko w pamięci RAM),
- w rozliczeniach rejestruje tylko metadane: liczbę tokenów, koszt i nazwę modelu — bez treści wiadomości,
- nie udostępnia treści personelowi ani wsparciu NotiBox — nie mamy dostępu do treści Twoich danych.
W obu trybach wybrany dostawca AI przetwarza treść zgodnie ze swoją własną polityką danych — NotiBox nie kontroluje jego retencji. Komercyjne API głównych dostawców domyślnie nie używają przekazanych danych do trenowania modeli, ale szczegóły zależą od dostawcy i Twojego planu. Warto przeczytać politykę dostawcy, którego wybierasz.
Tailscale i wsparcie zdalne
Każdy NotiBox ma preinstalowanego klienta Tailscale w trybie „ephemeral". Po podłączeniu do Twojego WiFi, urządzenie wchodzi do naszej sieci Tailscale jako anonimowy węzeł z numerem seryjnym (np. nb-0073.tail.notibox.ai).
- Bez Twojego pozwolenia: operator widzi tylko, że urządzenie jest online i jakie ma ACL-e (czyli nic poza metadanymi).
- Z Twoim pozwoleniem (ticket + kliknięcie „pozwól na zdalny dostęp"): operator loguje się po SSH i debuguje. 48h okno, potem auto-expire.
- Wszystkie połączenia są logowane po obu stronach. W panelu widzisz historię: „operator połączył się 14.04 o 9:43, 12 minut".
Telegram
Gdy rozmawiasz ze swoim botem przez Telegram:
- Telegram przesyła Twoją wiadomość do serwerów Telegram.
- Twój NotiBox odbiera ją przez long-polling z Telegram API.
- NotiBox kieruje ją do modelu AI — bezpośrednio do Twojego dostawcy (tryb BYOK) albo przez bramkę planu zarządzanego, zgodnie z sekcją Dostawcy AI i przetwarzanie treści powyżej.
- Odpowiedź wraca tą samą drogą.
Zasady przetwarzania po stronie Telegrama opisuje telegram.org/privacy.
Integracja z kontem Google
NotiBox może — opcjonalnie i tylko za Twoją zgodą — połączyć się z Twoim kontem Google, żeby działać jako asystent na Twojej poczcie Gmail, Dysku, w Kalendarzu, Kontaktach, Arkuszach i Dokumentach. Bez tego połączenia NotiBox dalej działa — integracja Google to dodatkowa funkcja, którą włączasz sam w panelu urządzenia (/integracje) i możesz w każdej chwili wyłączyć.
Jak uzyskujemy dostęp
Łączysz swoje konto Google przez standardowy ekran zgody Google (OAuth). Autoryzujesz dokładnie te zakresy, które widzisz na ekranie zgody.
- Po Twojej zgodzie Google zwraca jednorazowy, krótkożyciowy kod autoryzacyjny. Nasz backplane (
vendor.notibox.ai) pośredniczy wyłącznie w przekazaniu tego kodu do Twojego urządzenia. Kod jest jednorazowy i kasowany natychmiast po odczycie. - Wymiana kodu na token (w tym token odświeżający) odbywa się lokalnie na Twoim urządzeniu. Token trafia do zaszyfrowanego, oddzielnego dla każdego użytkownika magazynu kluczy (keychain) na SSD NotiBoxa.
- Token nigdy nie trafia na nasze serwery. Nie mamy kopii Twojego tokena Google i nie możemy zalogować się na Twoje konto z naszej infrastruktury.
Jak używamy danych z Google
Dane z interfejsów API Google wykorzystujemy wyłącznie do realizacji funkcji asystenta widocznych dla Ciebie: czytanie i streszczanie maili, wysyłanie i porządkowanie poczty, zarządzanie wydarzeniami, praca na dokumentach i arkuszach, adresowanie wiadomości po kontaktach. Nie używamy ich do reklam, profilowania ani do trenowania modeli.
Jak przechowujemy
- Token dostępu i token odświeżający — lokalnie na urządzeniu, w zaszyfrowanym keychainie, oddzielnie per użytkownik. Nie na serwerze.
- Treści (maile, dokumenty) — przetwarzane na bieżąco. Domyślnie nie budujemy trwałej kopii Twojej skrzynki ani Dysku po naszej stronie.
Jak udostępniamy — przetwarzanie przez model AI
Gdy asystent streszcza lub analizuje treść Twoich danych Google (np. maila, dokumentu, wydarzenia), treść ta jest wysyłana do modelu AI w celu realizacji funkcji, o którą poprosisz. Obowiązują te same dwa tryby co przy całej obsłudze AI (patrz Dostawcy AI i przetwarzanie treści):
- Tryb BYOK — dane z Google idą z urządzenia bezpośrednio do Twojego dostawcy i w ogóle nie docierają do serwerów NotiBox.
- Plan zarządzany — treść przechodzi przez bramkę na serwerze NotiBox wyłącznie w tranzycie (bez przechowywania i logowania treści; rozliczenia to tylko metadane; brak dostępu personelu do treści). To jedyny moment, w którym dane z Twojego konta Google mogą przejść przez naszą infrastrukturę — i tylko w tym trybie.
Niezależnie od trybu wybrany dostawca AI przetwarza treść zgodnie ze swoją polityką (retencja, trening) — opisaliśmy to wyżej. Poza tym tranzytem nie sprzedajemy danych z Google i nie przekazujemy ich innym stronom, z wyjątkiem sytuacji opisanych w zasadach Limited Use poniżej.
Jak cofnąć dostęp i usunąć dane
- W panelu urządzenia:
/integracje → „Odłącz konto Google". Token zostaje usunięty z keychaina urządzenia. - Po stronie Google: w ustawieniach konta (myaccount.google.com/permissions) możesz cofnąć dostęp NotiBoxa w dowolnym momencie.
- Odłączenie zatrzymuje wszelkie dalsze odczyty i działania na Twoich danych Google.
Zakresy uprawnień (scopes), o które prosimy
Prosimy tylko o zakresy potrzebne do działania asystenta. Część z nich Google klasyfikuje jako wrażliwe lub z ograniczeniami (RESTRICTED) — wymagają one weryfikacji Google i podlegają zasadom Limited Use opisanym niżej.
| Zakres (scope) | Klasyfikacja | Po co go używamy |
|---|
gmail.modify | RESTRICTED | Czytanie i streszczanie maili, wysyłanie odpowiedzi, porządkowanie skrzynki (etykiety, archiwizacja) na Twoje polecenie. |
gmail.settings.basic | RESTRICTED | Odczyt i zmiana podstawowych ustawień poczty (np. podpis, autoresponder), gdy o to poprosisz. |
gmail.settings.sharing | RESTRICTED | Konfiguracja przekazywania i delegacji poczty, gdy o to poprosisz. |
drive | RESTRICTED (pełny) | Odczyt istniejących plików oraz tworzenie i zapisywanie nowych dokumentów na Twoim Dysku. |
calendar | Wrażliwy | Tworzenie, odczyt i zarządzanie wydarzeniami w Twoim kalendarzu. |
contacts, contacts.other.readonly, directory.readonly | Wrażliwy | Dostęp do kontaktów, by asystent mógł adresować maile i rozpoznawać osoby. |
spreadsheets (+ drive) | Wrażliwy | Odczyt i edycja arkuszy Google. |
documents (+ drive) | Wrażliwy | Odczyt i edycja dokumentów Google. |
openid, email, userinfo.email | Podstawowy | Identyfikacja konta, które łączysz. |
Prosimy o pełny zakres drive i gmail.modify celowo: asystent ma nie tylko czytać, ale też tworzyć i porządkować treści na Twoje polecenie. Zakres realnego dostępu zawsze odpowiada temu, co zatwierdzisz na ekranie zgody Google.
Limited Use — zgodność z polityką Google
Korzystanie przez NotiBox z informacji otrzymanych z interfejsów API Google oraz ich przekazywanie do jakiejkolwiek innej aplikacji odbywa się zgodnie z Google API Services User Data Policy, w tym z wymaganiami Limited Use.
W praktyce oznacza to cztery zobowiązania:
- Dane z Google API wykorzystujemy wyłącznie do udostępniania lub ulepszania funkcji widocznych dla użytkownika w aplikacji (asystent: czytanie i streszczanie maili, zarządzanie kalendarzem, praca na dokumentach itp.).
- Nie przekazujemy danych stronom trzecim, z wyjątkiem: (a) gdy jest to niezbędne do udostępnienia lub ulepszenia funkcji aplikacji i za Twoją zgodą, (b) ze względów bezpieczeństwa, (c) w celu spełnienia wymogów prawa, (d) w ramach fuzji lub przejęcia, po uprzednim powiadomieniu użytkownika.
- Nie wykorzystujemy danych z Google API do wyświetlania reklam (w tym reklam spersonalizowanych, remarketingu ani profilowania reklamowego).
- Nie zezwalamy ludziom (naszym ani usługodawców) na odczyt Twoich danych, chyba że: (a) wyraziłeś wyraźną zgodę na odczyt konkretnych danych, (b) jest to niezbędne ze względów bezpieczeństwa (np. badanie nadużyć), (c) wymaga tego prawo, lub (d) dane są zagregowane i zanonimizowane i służą wewnętrznym operacjom.
Powyższe zobowiązania są spójne z faktycznym działaniem NotiBoxa. Przekazanie treści do wybranego dostawcy AI (zobowiązanie nr 2) odbywa się wyłącznie po to, by zrealizować funkcję widoczną dla Ciebie, którą sam uruchamiasz. Zobowiązanie nr 4 — brak odczytu Twoich danych przez ludzi — dotyczy infrastruktury NotiBox: w trybie BYOK Twoje dane w ogóle do niej nie trafiają, a w planie zarządzanym bramka nie loguje treści (potwierdzone audytem), więc personel i wsparcie nie mają do niej dostępu.
Aktualizacje OTA
Raz dziennie, w nocy, urządzenie sprawdza czy jest nowa wersja NotiBox OS. Sprawdzenie to zwykły HTTPS GET, bez treści. Jeśli aktualizacja jest — pobiera się i instaluje między 2:00 a 5:00 (konfigurowalne). Zawsze możesz cofnąć do poprzedniej wersji: jeden klik w panelu.
Twoje prawa (RODO)
- Dostęp — zgłoś żądanie przez stronę pomocy; wyślemy Ci wszystkie dane jakie mamy o Tobie, w ciągu 14 dni (przez kanał, który wskażesz w zgłoszeniu).
- Sprostowanie — jak wyżej, tylko wskaż co zmienić.
- Usunięcie — usuwamy wszystko oprócz faktur (obowiązek podatkowy, 5 lat).
- Przenoszenie — format JSON, na żądanie.
- Skarga — Prezes UODO.
Zmiany w tej polityce
Wersja bieżąca: 1.0, 12 kwietnia 2026. Jeśli zmienimy coś istotnego — powiadomimy 30 dni przed wejściem w życie.
Kontakt
Wsparcie i wszystkie pozostałe sprawy — przez stronę pomocy.
W sprawach danych osobowych i prywatności: prywatnosc@notibox.ai