Powrót
N

Polityka prywatności

Project-Z · Ostatnia aktualizacja: czerwiec 2026

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest operator platformy Project-Z prowadzący projekt pod adresem project-z.cloud.

Kontakt z Administratorem w sprawach ochrony danych osobowych: kontakt@project-z.cloud

Inspektor Ochrony Danych (IOD): Administrator nie wyznaczył Inspektora Ochrony Danych, gdyż nie jest do tego zobowiązany na podstawie art. 37 RODO. Wszelkie pytania dotyczące ochrony danych kieruj bezpośrednio do Administratora.

2. Jakie dane zbieramy i w jakim celu

Zbieramy wyłącznie dane niezbędne do świadczenia Usługi:

  • Dane rejestracyjne — adres e-mail, nazwa użytkownika, hasło (przechowywane wyłącznie jako skrót bcrypt, nigdy w postaci jawnej), wyświetlana nazwa, kolor avatara.
    Podstawa: art. 6 ust. 1 lit. b RODO (wykonanie umowy).
  • Dane profilu — własny status, zdjęcie avatara (opcjonalnie, przesyłane dobrowolnie), preferencje interfejsu.
    Podstawa: art. 6 ust. 1 lit. b RODO.
  • Dane weryfikacji dwuetapowej (2FA) — jeśli włączysz 2FA, klucz tajny TOTP jest przechowywany w bazie danych w postaci zaszyfrowanej (AES-256-GCM), z dostępem ograniczonym do serwera aplikacji. Klucz służy wyłącznie do weryfikacji logowania i nie jest udostępniany podmiotom trzecim.
    Podstawa: art. 6 ust. 1 lit. b RODO.
  • Klucze szyfrowania E2E — jeśli włączysz szyfrowanie end-to-end wiadomości prywatnych (DM), na serwerze przechowujemy Twój klucz publiczny oraz klucz prywatny zaszyfrowany po stronie klienta (operator nie ma do niego dostępu). Treść zaszyfrowanych DM jest dla nas nieczytelna.
    Podstawa: art. 6 ust. 1 lit. b RODO.
  • Treści użytkownika — wiadomości, pliki, reakcje wysyłane na Platformie.
    Podstawa: art. 6 ust. 1 lit. b RODO.
  • Adres IP i dane techniczne — adres IP przy logowaniu i rejestracji, logi błędów serwera. Dane służą do wykrywania nadużyć i nieautoryzowanego dostępu.
    Podstawa: art. 6 ust. 1 lit. f RODO (uzasadniony interes — bezpieczeństwo). Retencja: 12 miesięcy.
  • Dane aktywności — czas ostatniego logowania, status online/offline, historia połączeń głosowych (tylko czas trwania, bez nagrań).
    Podstawa: art. 6 ust. 1 lit. b RODO.

3. Zautomatyzowane przetwarzanie i profilowanie

Platforma stosuje zautomatyzowane narzędzie moderacji treści (AutoMod), które analizuje wiadomości pod kątem naruszenia zasad serwera i może automatycznie je blokować lub wyciszać konto użytkownika. Stanowi to zautomatyzowane podejmowanie decyzji w rozumieniu art. 22 RODO.

Masz prawo do uzyskania interwencji człowieka w tej sprawie — skontaktuj się z Administratorem lub właścicielem serwera, na którym AutoMod podjął decyzję.

Platforma nie profiluje użytkowników w celach reklamowych ani nie podejmuje innych zautomatyzowanych decyzji mających istotny wpływ na Twoje prawa.

4. Okres przechowywania danych

  • Dane konta — przez czas istnienia konta. Po usunięciu konta dane są kasowane w ciągu 30 dni, z wyjątkiem danych wymaganych przepisami prawa lub niezbędnych do rozwiązania sporów.
  • Wiadomości — do czasu usunięcia przez Ciebie lub właściciela serwera. Usunięcie konta nie kasuje automatycznie wiadomości wysłanych na serwerach osób trzecich.
  • Adresy IP i logi bezpieczeństwa — maksymalnie 12 miesięcy.
  • Tokeny weryfikacji e-mail — 24 godziny, następnie automatycznie usuwane.
  • Logi moderacyjne — 90 dni, chyba że są potrzebne w związku z toczącym się postępowaniem.
  • Rekordy blokady logowania — usuwane automatycznie po pomyślnym zalogowaniu. Maksymalnie 24 godziny.

Platforma jest w fazie testów beta. Dane mogą zostać zresetowane z powodów technicznych po uprzednim powiadomieniu.

5. Odbiorcy danych — transfer do podmiotów trzecich

Nie sprzedajemy Twoich danych osobowych. Dane mogą być przekazywane wyłącznie:

  • OVH SAS (Francja, EOG) — dostawca serwera VPS. Dane przetwarzane w UE.
  • Vercel Inc. (USA, poza EOG) — hosting frontendowy. Transfer na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez KE (art. 46 ust. 2 lit. c RODO). Polityka prywatności Vercel: vercel.com/legal/privacy-policy.
  • Resend, Inc. (USA, poza EOG) — dostawca usługi e-mail, wykorzystywany wyłącznie do wiadomości transakcyjnych (weryfikacja konta, reset hasła, powiadomienia systemowe). Żadne treści wiadomości użytkowników nie są przekazywane. Transfer na podstawie standardowych klauzul umownych (SCC). Samo dostarczanie realizowane jest przez Amazon SES w regionie UE.
  • Organy publiczne i organy ścigania — gdy jest to wymagane przez obowiązujące przepisy prawa lub gdy istnieją uzasadnione podstawy do podejrzenia popełnienia przestępstwa. Przekazanie może nastąpić bez uprzedniego powiadomienia użytkownika.

Żadne dane nie są przekazywane do krajów trzecich poza zakresem opisanym powyżej.

6. Cookie sesyjne i dane lokalne

Po zalogowaniu Platforma ustawia w Twojej przeglądarce cookie sesyjne o nazwie pz_token. Cookie to jest:

  • HttpOnly — niedostępne dla JavaScript, co chroni przed kradzieżą tokena przez ataki XSS;
  • Secure — przesyłane wyłącznie przez połączenia HTTPS;
  • SameSite=Lax — ogranicza wysyłanie w kontekście cross-site, chroniąc przed atakami CSRF;
  • ważne przez czas sesji, usuwane przy wylogowaniu.

Aplikacja desktopowa Project-Z przechowuje token sesji w sessionStorage — jest usuwany po zamknięciu okna aplikacji.

Nie stosujemy trackerów analitycznych (np. Google Analytics), pikseli reklamowych ani narzędzi do fingerprintingu przeglądarki. Nie ustawiamy żadnych cookies śledzących ani reklamowych.

7. Aplikacja desktopowa — dodatkowe dane

Aplikacja desktopowa Project-Z może zbierać dodatkowe dane lokalnie na Twoim urządzeniu:

  • Przypisanie klawisza PTT — klawisz przypisany do PTT jest przechowywany lokalnie na Twoim urządzeniu i nie jest wysyłany na nasze serwery.
  • Globalne hooki klawiatury i myszy — aplikacja używa biblioteki uiohook do wykrywania wciśnięcia przypisanego klawisza PTT globalnie (poza oknem aplikacji). Biblioteka nie rejestruje ani nie przesyła naciśnięć klawiszy — sprawdza wyłącznie, czy w chwili wykrycia został wciśnięty konkretny, przypisany klawisz.
  • Kod odzyskiwania szyfrowania E2E — jeśli zapiszesz kod odzyskiwania na urządzeniu, jest on przechowywany lokalnie w postaci zaszyfrowanej przez mechanizm systemu operacyjnego (Windows DPAPI / Electron safeStorage) i nie jest przesyłany na nasze serwery.

8. Twoje prawa (RODO)

Zgodnie z RODO przysługują Ci następujące prawa. Aby z nich skorzystać, napisz na kontakt@project-z.cloud. Odpowiemy w ciągu 30 dni:

  • Dostęp (art. 15) — prawo do uzyskania kopii przetwarzanych danych i informacji o przetwarzaniu.
  • Sprostowanie (art. 16) — prawo do poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
  • Usunięcie (art. 17) — prawo do żądania usunięcia danych, gdy nie są już niezbędne lub cofasz zgodę.
  • Ograniczenie przetwarzania (art. 18) — prawo do żądania wstrzymania przetwarzania w określonych sytuacjach.
  • Przenoszalność (art. 20) — prawo do otrzymania danych w ustrukturyzowanym formacie (JSON).
  • Sprzeciw (art. 21) — prawo do sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie.
  • Interwencja ludzka (art. 22) — prawo do zakwestionowania decyzji podjętej wyłącznie automatycznie (np. przez AutoMod).

9. Bezpieczeństwo danych

Stosujemy następujące środki ochrony danych:

  • Hasła przechowywane wyłącznie jako skróty bcrypt (koszt 12) — nigdy w formie jawnej.
  • Cała komunikacja szyfrowana TLS 1.2+/HTTPS.
  • Token sesji przechowywany w cookie HttpOnly — niedostępny dla JavaScript.
  • Tokeny JWT podpisane kluczem HMAC-SHA256 z ograniczonym czasem ważności.
  • Dostęp do bazy danych ograniczony do adresów IP serwerów aplikacji.
  • Blokada konta po 5 nieudanych próbach logowania (15 minut) — zapisywana w bazie danych, odporna na restarty serwera.
  • Monitorowanie podejrzanej aktywności: ban IP, rate limiting, detekcja flood.
  • Tokeny weryfikacji e-mail jednorazowego użytku, ważne 24 godziny.
  • Nagłówki bezpieczeństwa: HSTS, X-Frame-Options, X-Content-Type-Options, CORP, COOP.

10. Osoby niepełnoletnie

Platforma nie jest przeznaczona dla osób poniżej 13 roku życia. Osoby w wieku 13–15 lat mogą korzystać z Platformy wyłącznie za zgodą rodzica lub opiekuna prawnego, zgodnie z art. 8 RODO.

Jeśli masz podstawy sądzić, że dziecko poniżej 13 lat posiada konto, skontaktuj się z nami pod adresem kontakt@project-z.cloud — usuniemy konto niezwłocznie.

11. Zmiany Polityki prywatności

O istotnych zmianach tej Polityki poinformujemy e-mailem lub komunikatem w aplikacji z wyprzedzeniem co najmniej 14 dni przed ich wejściem w życie.

12. Skarga do organu nadzorczego

Jeśli uważasz, że przetwarzamy Twoje dane niezgodnie z prawem, masz prawo wnieść skargę do Prezesa UODO:

Zachęcamy jednak do uprzedniego kontaktu z nami — postaramy się rozwiązać problem bezpośrednio.

RegulaminPowrót do Project-Z