Polityka prywatności — ExtremeBaits
Obowiązuje od: 2026-04-27 · Wersja 1.0
TL;DR: Aplikacja ExtremeBaits zbiera tylko dane niezbędne do realizacji zamówień (e-mail, hasło, adres dostawy, historia zamówień). Nie sprzedajemy danych, nie używamy reklam śledzących, nie udostępniamy informacji stronom trzecim poza dostawcami płatności i kurierami.
1. Administrator danych
Administratorem danych osobowych jest Extreme Baits, dane kontaktowe:
E-mail: [email protected]
Strona: https://extreme-baitboat.pl
2. Jakie dane zbieramy
2.1. Dane konta
- Adres e-mail — do logowania, resetu hasła, potwierdzeń zamówień
- Nazwa użytkownika — wybierana przy rejestracji
- Hasło — przechowywane jako hash bcrypt, nigdy w postaci jawnej
2.2. Dane zamówień
- Imię i nazwisko — do wysyłki
- Adres dostawy (ulica, miasto, kod pocztowy, kraj)
- Telefon — do kontaktu w sprawie wysyłki
- Treść zamówienia — receptura kulek (smaki, ziarna, barwnik, waga, parametry)
- Historia zamówień — daty, kwoty, statusy
2.3. Dane techniczne
- JWT tokeny sesji — przechowywane lokalnie na urządzeniu (Flutter Secure Storage / localStorage)
- Logi serwera — adres IP, czas żądania, endpoint API, kod HTTP — do diagnostyki, retencja 30 dni
- Preferencje motywu — wybór 1 z 8 motywów, zapisywany lokalnie (SharedPreferences)
2.4. Czego NIE zbieramy
- Lokalizacji (poza opcjonalnym wyborem paczkomatu — wtedy współrzędne są używane jednorazowo i nie zapisywane)
- Listy kontaktów, kalendarza, zdjęć, mikrofonu, kamery
- Identyfikatorów reklamowych (Google Advertising ID itp.)
- Danych z innych aplikacji
3. Cel przetwarzania (RODO)
- Realizacja umowy sprzedaży (art. 6 ust. 1 lit. b RODO) — przetwarzanie zamówień, wysyłka, obsługa reklamacji
- Obowiązki prawne (art. 6 ust. 1 lit. c RODO) — wystawianie faktur, archiwizacja dokumentów księgowych
- Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) — bezpieczeństwo, diagnostyka, ochrona przed nadużyciami
4. Komu udostępniamy dane
- Dostawcy płatności online (PayU / Przelewy24 / Stripe) — tylko kwota i ID transakcji, NIE dane karty
- Firmy kurierskie (DPD, InPost, GLS) — adres dostawy + telefon
- Hosting — Hetzner Online GmbH (serwer w Niemczech, EU)
- Organy państwowe — wyłącznie na żądanie i w zakresie wymaganym prawem
Nie sprzedajemy danych. Nie używamy reklam śledzących (brak Google Ads SDK, Facebook Pixel, etc.).
5. Jak długo przechowujemy dane
- Konto i preferencje — do momentu usunięcia konta przez użytkownika
- Zamówienia — 5 lat (wymóg ustawowy dla dokumentów księgowych)
- Logi serwera — 30 dni
- Tokeny sesji — do wylogowania lub odinstalowania aplikacji
6. Twoje prawa
- Dostępu do danych (kopia)
- Sprostowania nieprawidłowych danych
- Usunięcia danych („prawo do bycia zapomnianym") — z wyjątkiem danych których przechowywania wymaga prawo (faktury)
- Ograniczenia przetwarzania
- Przenoszenia danych (export w formacie JSON)
- Sprzeciwu wobec przetwarzania
- Cofnięcia zgody w każdej chwili
- Skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO, uodo.gov.pl)
Aby skorzystać z któregokolwiek prawa, napisz: [email protected]
7. Bezpieczeństwo
- Cała komunikacja aplikacja↔serwer szyfrowana TLS 1.2+ (HTTPS)
- Hasła hashowane bcrypt (cost 12)
- Tokeny JWT z 8h ważnością + refresh token
- Backupy bazy danych szyfrowane, dostępne tylko administratorowi
- Regularne aktualizacje serwera
8. Cookies i pamięć lokalna (web)
Wersja webowa aplikacji (/app/) używa localStorage do przechowywania tokenu JWT i preferencji motywu. Nie używamy ciasteczek śledzących ani analitycznych. Brak Google Analytics, brak Facebook Pixel.
9. Dzieci
Aplikacja nie jest skierowana do osób poniżej 16 lat. Nie zbieramy świadomie danych takich osób.
10. Zmiany polityki
O każdej istotnej zmianie polityki prywatności poinformujemy w aplikacji oraz e-mailem na adres podany przy rejestracji co najmniej 14 dni przed wejściem w życie.
Wersja 1.0 obowiązująca od 2026-04-27.
← Powrót do strony głównej