Logo 5m Grid5mGrid

5mGrid

Wersja: 1.0 · Data aktualizacji: 2025-09-29

Polityka prywatności

Administrator danych

Administratorem danych osobowych jest: Piotr Skiba, Sikorz 21, 89-400 Sępólno Krajeńskie, email: [email protected].

Zakres przetwarzanych danych

  • Dane konta: adres email, hasło (hash), opcjonalnie imię i nazwisko.
  • Dane eksploatacyjne w Aplikacji: zadania, markery produktywności, notatki, układy siatek czasu.
  • Dane techniczne: identyfikatory sesji/cookies niezbędnych, logi serwera (adres IP, znacznik czasu) – tylko w celach bezpieczeństwa.
  • Dane lokalne w IndexedDB/local storage – przechowywane na urządzeniu Użytkownika dla funkcji offline.

Cele i podstawy prawne (art. 6 RODO)

  1. Utworzenie i utrzymanie Konta, zapewnienie funkcjonalności Aplikacji – art. 6 ust. 1 lit. b (niezbędne do wykonania umowy).
  2. Bezpieczeństwo i zapobieganie nadużyciom (logi, rate-limiting, kopie zapasowe) – art. 6 ust. 1 lit. f (prawnie uzasadniony interes Administratora).
  3. Obsługa zapytań (support) – art. 6 ust. 1 lit. b/f.
  4. Obowiązki prawne (np. rozliczenia, archiwizacja incydentów) – art. 6 ust. 1 lit. c.
  5. Ustalenie, dochodzenie lub obrona roszczeńart. 6 ust. 1 lit. f (uzasadniony interes Administratora polegający na ochronie przed roszczeniami oraz dochodzeniu roszczeń).

Aplikacja nie prowadzi analityki i nie wysyła komunikacji marketingowej bez odrębnej, dobrowolnej zgody.

Odbiorcy danych (procesorzy)

Dane mogą być przekazywane podmiotom przetwarzającym na zlecenie Administratora:

  • Hetzner (Niemcy, EOG) – hosting/serwer aplikacji; przetwarzanie na podstawie DPA.
  • Google Ireland Limited / Google LLC (Google Workspace) – wysyłka emaili transakcyjnych (potwierdzenia, weryfikacja adresu, reset hasła); przetwarzanie na podstawie DPA; ewentualny transfer poza EOG zgodnie z EU–US Data Privacy Framework lub Standardowymi Klauzulami Umownymi (SCC).
  • Cloudflare, Inc. (USA) / Cloudflare Ltd. (Wielka Brytania) – usługi CDN, DNS, zabezpieczenia i optymalizacja ruchu sieciowego; przetwarzanie na podstawie DPA; ewentualny transfer poza EOG zgodnie z EU–US Data Privacy Framework lub Standardowymi Klauzulami Umownymi (SCC).

Przekazywanie poza EOG

  1. Co do zasady dane przetwarzamy na terenie Europejskiego Obszaru Gospodarczego (EOG).
  2. W związku z korzystaniem z Google Workspace do wysyłki emaili (np. weryfikacja adresu, reset hasła) może dojść do przekazania danych do USA na rzecz Google LLC.
  3. Takie przekazanie odbywa się na podstawie EU–US Data Privacy Framework (DPF), a w razie potrzeby na podstawie Standardowych Klauzul Umownych (SCC). Informacje o stosowanych zabezpieczeniach można uzyskać, kontaktując się z nami pod [email protected].

Okres przechowywania

  • Dane konta i treści użytkowe – przechowywane są do czasu usunięcia Konta przez Użytkownika lub rozwiązania umowy. Kopie zapasowe bazy danych mogą być przechowywane maksymalnie przez 30 dni (do czasu ich nadpisania w ramach cyklu retencji).
  • Logi bezpieczeństwa – przechowywane do 30 dni w celu zapewnienia bezpieczeństwa systemu oraz analizy incydentów. Starsze dane są automatycznie rotowane lub usuwane.
  • Kopie zapasowe – wykonywane codziennie i przechowywane zgodnie z cyklem retencji do 30 dni, po czym są automatycznie nadpisywane. Administrator nie przechowuje starszych kopii.
  • Dane w IndexedDB / local storage – przechowywane lokalnie na urządzeniu Użytkownika do czasu wyczyszczenia przez Użytkownika lub resetu aplikacji. Administrator nie ma dostępu do tych danych.

Prawa Użytkownika

Użytkownikowi przysługuje prawo do: dostępu do danych, sprostowania, usunięcia („prawo do bycia zapomnianym”), ograniczenia przetwarzania, przenoszenia danych, sprzeciwu – w przypadkach przewidzianych prawem. Żądania można kierować na [email protected]. Odpowiemy bez zbędnej zwłoki, nie później niż w ciągu miesiąca, zgodnie z art. 12 ust. 3 RODO. Użytkownik ma też prawo wnieść skargę do Prezesa UODO.

Wymóg podania danych

Podanie adresu email i hasła jest konieczne do utworzenia Konta. Brak tych danych uniemożliwi świadczenie Usługi wymagającej logowania. Dane dodatkowe są opcjonalne.

Bezpieczeństwo danych

  • Hasła przechowywane wyłącznie w formie hashów bcrypt z unikalnym saltem,
  • Szyfrowanie transmisji (HTTPS/TLS), kontrola dostępu, logowanie zdarzeń bezpieczeństwa,
  • Regularne aktualizacje oprogramowania i kopie zapasowe,
  • Minimalizacja danych i zasada prywatności w fazie projektowania.

Pliki cookies i pamięć lokalna

Aplikacja używa wyłącznie niezbędnych plików cookies/sesji do utrzymania logowania oraz pamięci IndexedDB/local storage do przechowywania danych potrzebnych do działania funkcji (np. szkice, dane offline). Nie stosujemy cookies do celów analitycznych ani marketingowych. Wszystkie cookies są plikami first-party. Użytkownik może zarządzać plikami cookies w ustawieniach przeglądarki.

  1. Podstawy prawne:
    • Niezbędne cookies (w tym auth-token, is-logged-in): art. 6 ust. 1 lit. b RODO (wykonanie umowy/świadczenie usługi); zgodnie z dyrektywą ePrivacy dla cookies niezbędnych nie jest wymagana zgoda.
    • Cookies preferencji i bezpieczeństwa (c_banner, l_tag, „sentinel”): art. 6 ust. 1 lit. f RODO (uzasadniony interes: utrzymanie preferencji, bezpieczeństwo i zapobieganie nadużyciom).
  2. Lista cookies:
    • c_banner – przechowywane 30 dni; cel: zapamiętanie akceptacji banera; typ: preferencje/niezbędne dla doświadczenia; atrybuty: SameSite=Lax, Secure, dostępne dla JS (nie httpOnly), first-party.
    • l_tag – przechowywane 360 dni; cel: zapamiętanie wybranego języka; typ: preferencje; atrybuty: SameSite=Lax, Secure, dostępne dla JS (nie httpOnly), first-party.
    • auth-token – przechowywane 7 dni; cel: utrzymanie sesji logowania; typ: niezbędne; atrybuty: httpOnly, SameSite=Lax, Secure (w środowisku produkcyjnym), first-party; usuwane przy wylogowaniu.
    • a_m_e_sentinel, a_d_sentinel, a_t_sentinel, a_c_sentinel, a_a_sentinel, a_e_sentinel – przechowywane 7 dni; cel: ochrona przed nadużyciami/ograniczenie masowych pobrań (rate-limit initial fetch); typ: bezpieczeństwo; atrybuty: httpOnly, SameSite=Lax, Secure (w środowisku produkcyjnym), first-party; usuwane przy wylogowaniu.
    • is-logged-in – przechowywane 7 dni; cel: zapewnienie natychmiastowego przejścia do panelu i poprawnego działania aplikacji w architekturze SSG + SW bez kontaktu z BE (detekcja stanu zalogowania po stronie klienta); typ: niezbędne techniczne; atrybuty: SameSite=Lax, Secure (w środowisku produkcyjnym), dostępne dla JS (nie httpOnly), first-party; usuwane przy wylogowaniu.
  3. IndexedDB/local storage
    • Przechowujemy dane funkcjonalne potrzebne do działania aplikacji, w tym do przywracania stanu po odświeżeniu i pracy offline (np. szkice). Dotyczy to wyłącznie przechowywania na urządzeniu Użytkownika; nie wykorzystujemy tych danych do analityki, profilowania ani marketingu.
    • Zakres danych: fragmenty stanu aplikacji (np. notatki dziennika: treść i data, lista zadań: treść/kategorie, ustawienia/macierze dnia: przypisania czasu do zadań i ikon emocji, preferencje interfejsu jak filtry i daty). Dane logowania (token) nie są tu przechowywane.
    • Miejsce przetwarzania/odbiorcy: dane są przechowywane wyłącznie lokalnie w przeglądarce Użytkownika (IndexedDB/local storage); nie są automatycznie przekazywane do nas ani do podmiotów trzecich.
    • Podstawa prawna: art. 6 ust. 1 lit. b RODO (świadczenie usługi – zapewnienie kluczowych funkcji aplikacji) oraz art. 6 ust. 1 lit. f RODO (uzasadniony interes: ciągłość działania i wygoda korzystania, w tym praca offline). Zgoda na przechowywanie informacji w urządzeniu nie jest wymagana, gdy jest to ściśle niezbędne do usługi żądanej przez Użytkownika (dyrektywa ePrivacy).
    • Okres przechowywania: do czasu wyczyszczenia danych witryny przez Użytkownika w przeglądarce (usunięcie danych strony/IndexedDB) lub resetu w aplikacji (jeśli dostępny).
    • Zarządzanie: Użytkownik może usunąć dane w ustawieniach przeglądarki (dane witryny/IndexedDB/local storage).
    • Bezpieczeństwo: dane te nie są dodatkowo szyfrowane przez aplikację w przeglądarce; dostęp do nich może mieć każdy, kto ma dostęp do urządzenia/konta przeglądarki. Zalecamy zabezpieczenie urządzenia i przeglądarki.
  4. Zarządzanie cookies: większość przeglądarek umożliwia blokowanie i usuwanie cookies (instrukcje dostępne w pomocach przeglądarek). Wyłączenie cookies niezbędnych może uniemożliwić zalogowanie i korzystanie z części funkcji.

Zautomatyzowane podejmowanie decyzji

Nie dochodzi do zautomatyzowanego podejmowania decyzji ani profilowania w rozumieniu RODO.

Kontakt i Inspektor Ochrony Danych

W sprawach danych osobowych prosimy o kontakt: [email protected]. Administrator nie wyznaczył Inspektora Ochrony Danych.

Zmiany Polityki

Polityka może ulec zmianie z przyczyn prawnych lub funkcjonalnych. O istotnych zmianach poinformujemy poprzez Aplikację/email przed wejściem w życie nowej wersji.

Weryfikacja adresu email

W celu potwierdzenia rejestracji wysyłamy wiadomość z linkiem weryfikacyjnym. Przechowujemy techniczny identyfikator/token weryfikacyjny (oraz znacznik czasu i adres IP zdarzenia) przez maks. 24 godziny od wygenerowania – w celu zapobiegania nadużyciom (art. 6 ust. 1 lit. f RODO).

Wymagania techniczne

Do korzystania z Usługi wymagane jest urządzenie z aktualną przeglądarką internetową, dostęp do sieci oraz włączone cookies sesyjne (niezbędne do logowania).

Reklamacje

Reklamacje dotyczące działania Usługi można zgłaszać na [email protected]. Administrator udzieli odpowiedzi w terminie 14 dni od otrzymania zgłoszenia, zgodnie z obowiązującymi przepisami prawa konsumenckiego.

Administrator: Piotr Skiba · Kontakt: [email protected] · Siedziba: Sikorz 21, 89-400 Sępólno Krajeńskie.