📋 Polityka Prywatności

Ostatnia aktualizacja: 16 November 2025

1. Administrator Danych

CraftTechLabs
ul. Wojska Polskiego
46-380 Dobrodzień, Polska
Email: hello@habitwins.app

2. Jakie Dane Zbieramy

WAŻNE: Tryb DEMO (bez rejestracji)

  • ZERO danych na serwerze: w trybie DEMO NIE zbieramy ani NIE przechowujemy żadnych danych na serwerze CraftTechLabs
  • localStorage: wszystkie dane DEMO przechowywane WYŁĄCZNIE lokalnie w przeglądarce Użytkownika
  • Brak dostępu CraftTechLabs: nie mamy dostępu do danych DEMO, są one wyłącznie na urządzeniu Użytkownika
  • IP address: podstawowe logi serwera mogą zawierać adres IP z requestów (standardowa praktyka serwera web)

Dane Osobowe (tylko z zarejestrowanym kontem):

  • Konto użytkownika: email, nazwa użytkownika, imię, nazwisko
  • Weryfikacja wieku: potwierdzenie pełnoletności (18+) przez checkbox
  • Hasło: przechowywane w formie zahashowanej

Dane Aplikacji (tylko z zarejestrowanym kontem):

  • Nawyki i sesje: czas ćwiczeń, typy nawyków, statystyki
  • Kontrakty: własne cele Użytkownika, prywatne samo-nagrody (self-rewards), okres trwania
  • Preferencje: ustawienia aplikacji

Uwaga: "Nagrody" w aplikacji to prywatne notatki Użytkownika - aplikacja nie oferuje ani nie dostarcza żadnych nagród.

Dane Techniczne:

  • Adres IP: automatycznie zbierany (logi serwera)
  • Informacje o urządzeniu: typ przeglądarki, system operacyjny
  • Cookies: do utrzymania sesji użytkownika (tylko z kontem)

3. Cel Przetwarzania Danych

  • Świadczenie usługi: działanie aplikacji do budowania nawyków
  • Weryfikacja wieku: potwierdzenie pełnoletności (18+)
  • Komunikacja: wysyłanie powiadomień email
  • Bezpieczeństwo: ochrona przed nadużyciami
  • Ulepszanie aplikacji: analiza użytkowania i optymalizacja

4. Podstawa Prawna (GDPR)

  • Świadczenie usługi: wykonanie umowy (Art. 6.1.b GDPR)
  • Weryfikacja wieku: zgoda użytkownika (Art. 6.1.a GDPR)
  • Marketing: uzasadniony interes (Art. 6.1.f GDPR)
  • Zgoda: dla opcjonalnych funkcji (Art. 6.1.a GDPR)

5. Udostępnianie Danych

Nie sprzedajemy ani nie udostępniamy Twoich danych osobowych stronom trzecim, z wyjątkiem:

  • Dostawcy usług: hosting (VPS), email (Gmail Workspace)
  • Obowiązek prawny: na żądanie organów państwa
  • Przyszłe integracje: płatności (Stripe, PayPal) - za zgodą

6. Przechowywanie Danych

  • Aktywne konto: przez cały okres korzystania z usługi
  • Po usunięciu konta: 30 dni (backup i bezpieczeństwo)
  • Konta bez zgody: natychmiast usuwane jeśli brak zaznaczenia checkboxów (wiek 18+, regulamin, polityka prywatności)
  • Rejestracja email: checkboxy na formularzu rejestracji - brak zaznaczenia = brak utworzenia konta
  • Rejestracja Google OAuth: checkboxy wyświetlane PO autoryzacji - brak zaznaczenia = usunięcie konta
  • Logi serwera: 12 miesięcy (bezpieczeństwo)

WAŻNE: Zastrzeżenia Dotyczące Integralności Danych

  • Brak gwarancji: nie gwarantujemy integralności, dostępności ani bezpieczeństwa danych przez 100% czasu
  • Możliwa utrata: dane mogą zostać utracone w wyniku awarii, błędów aplikacji, cyberataków lub innych zdarzeń
  • Backupy: robimy codzienne backupy, ale nie gwarantujemy ich skuteczności w każdym przypadku
  • Odpowiedzialność Użytkownika: regularny eksport danych (JSON) jest obowiązkiem Użytkownika
  • Odpowiedzialność: zgodnie z Regulaminem (sekcja 10) oraz przepisami prawa
  • GDPR: powyższe zastrzeżenia nie naruszają praw Użytkownika wynikających z GDPR (patrz sekcja 7)

Proces Usuwania Konta (Soft Delete):

  • Anonimizacja danych: po usunięciu konta dane osobowe są nieodwracalnie anonimizowane (email, hasło, imię, nazwisko)
  • Niemożność logowania: zanonimizowane konto nie może być użyte do ponownego logowania
  • Zachowanie analytics: zanonimizowane dane mogą być zachowane dla celów analitycznych i statystycznych (zgodnie z Art. 89 GDPR)
  • Agregacja danych: szczegółowe dane sesji są agregowane do statystyk (oszczędność miejsca bez utraty wartości analitycznej)
  • GDPR Art. 17: proces ten spełnia wymogi "prawa do zapomnienia" poprzez nieodwracalną anonimizację

8. Bezpieczeństwo

  • Szyfrowanie HTTPS: SSL/TLS dla całej komunikacji
  • Hashowanie haseł: bcrypt z solą
  • Tokenizacja: JWT dla bezpiecznych sesji
  • Monitoring: logi bezpieczeństwa i audit trail
  • Backupy: szyfrowane kopie zapasowe

9. Cookies i Technologie Śledzące

Używamy cookies do:

  • Sesje użytkownika: utrzymanie logowania
  • Preferencje: zapisywanie ustawień
  • Bezpieczeństwo: ochrona CSRF
  • Timery: localStorage dla aktywnych stoperów

Możesz wyłączyć cookies w przeglądarce, ale może to ograniczyć funkcjonalność.

11. Transfery Międzynarodowe

Dane Użytkownika są przetwarzane w:

  • Unia Europejska: serwery VPS w Polsce
  • Google Workspace: USA - Standard Contractual Clauses
  • Przyszłe usługi: tylko dostawcy z odpowiednimi zabezpieczeniami

12. Przyszłe Funkcje

Planujemy dodać:

  • Płatności: subskrypcje premium (Stripe, PayPal)
  • Reklamy: spersonalizowane treści marketingowe
  • Analytics: Google Analytics lub podobne
  • Push notifications: przypomnienia o nawykach

Przed wprowadzeniem poinformujemy Użytkownika i poprosimy o zgodę.

13. Zmiany Polityki

  • Powiadomienia: email 30 dni przed zmianami
  • Akceptacja: dalsze korzystanie = akceptacja zmian
  • Historia: poprzednie wersje dostępne na żądanie
  • Wersja aktualna: zawsze na habitwins.app/privacy-policy

14. Kontakt i Skargi

Pytania o prywatność:
Email: hello@habitwins.app
Odpowiadamy w ciągu 72 godzin.

Skargi GDPR:
Urząd Ochrony Danych Osobowych
uodo.gov.pl

15. Prawo Właściwe

Polityka ta podlega prawu polskiemu i europejskiemu (GDPR). Sąd właściwy dla siedziby administratora danych.

← Powrót do strony głównej