POLITYKA PRYWATNOŚCI
Polityka prywatności serwisu Mysterra.
1. Administrator danych
Administratorem danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) jest FOXCOMPANY ŁUKASZ LIS, NIP 8522652355, adres korespondencyjny: ul. Świętego Ducha 6/11, 70-205 Szczecin, e-mail: contact@mysterra.app. Pytania dotyczące przetwarzania danych można kierować na podany adres e-mail lub korespondencyjnie. Administrator odpowiada w terminie 30 dni od otrzymania wniosku, z możliwością przedłużenia o kolejne 60 dni w sprawach złożonych (art. 12 ust. 3 RODO).
2. Zakres zbieranych danych
Serwis przetwarza następujące dane: - adres e-mail Użytkownika - uwierzytelnianie, komunikacja transakcyjna; - imię - personalizacja interfejsu; - data, godzina i miejsce urodzenia - dane wejściowe silnika numerologii i astrologii; - kontakty wprowadzone przez Użytkownika do listy bliskich (imię, data, opcjonalnie godzina i miejsce urodzenia); - dane techniczne pojedynczej sesji (adres IP, agent przeglądarki) - logi serwera proxy; - dane rozliczeniowe związane z Planem miesięcznym lub Planem dożywotnim, przetwarzane wyłącznie przez operatora płatności i niemagazynowane na serwerze Serwisu; - stan zgody na newsletter - jeżeli Użytkownik wyraził taką zgodę. W przyszłości, na potrzeby rozszerzonej interpretacji w Planie miesięcznym i Planie dożywotnim, do zewnętrznych modeli językowych mogą być przesyłane: data, godzina i miejsce urodzenia oraz imię. Nie wysyłany jest ani adres e-mail, ani nazwisko. Do czasu uruchomienia tej funkcji żadne dane Użytkownika nie są przekazywane do modeli językowych.
3. Cele i podstawy prawne
Dane przetwarzane są w następujących celach i na następujących podstawach: - zawarcie i wykonanie umowy o świadczenie Serwisu (art. 6 ust. 1 lit. b RODO); - realizacja prawnie uzasadnionych interesów Administratora w zakresie bezpieczeństwa Serwisu i przeciwdziałania nadużyciom (art. 6 ust. 1 lit. f RODO); - wypełnienie obowiązków podatkowych i księgowych w zakresie Planu miesięcznego i Planu dożywotniego (art. 6 ust. 1 lit. c RODO); - wysyłka newslettera - na podstawie zgody Użytkownika (art. 6 ust. 1 lit. a RODO), którą można w każdej chwili wycofać; - rozszerzona interpretacja Treści Interpretacyjnej w Planie miesięcznym i Planie dożywotnim z udziałem zewnętrznych modeli językowych - po jej uruchomieniu, jako wykonanie umowy w zakresie wykupionego planu (art. 6 ust. 1 lit. b RODO).
4. Odbiorcy danych
Dane mogą być powierzane następującym podmiotom przetwarzającym: - Supabase, Inc. (Stany Zjednoczone) - hosting bazy danych i uwierzytelnianie; dane przechowywane w regionie Unii Europejskiej (Frankfurt). Transfer danych do podmiotu w Stanach Zjednoczonych odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską; - Stripe Payments Europe, Limited (Irlandia, Europejski Obszar Gospodarczy) - obsługa płatności, z dalszym powierzeniem do Stripe, Inc. (Stany Zjednoczone) na podstawie standardowych klauzul umownych (SCC); - Cloudflare, Inc. (Stany Zjednoczone) - hosting warstwy aplikacyjnej oraz statystyki ruchu (Cloudflare Web Analytics). Transfer danych odbywa się na podstawie standardowych klauzul umownych (SCC). Administrator nie udostępnia danych osobowych podmiotom trzecim w celach marketingowych. Po uruchomieniu funkcji rozszerzonej interpretacji w Planie miesięcznym i Planie dożywotnim, lista podwykonawców zostanie uzupełniona o dostawcę zewnętrznego modelu językowego, a niniejsza Polityka zostanie zaktualizowana.
5. Okres przechowywania
Dane przypisane do Konta są przechowywane do momentu jego usunięcia przez Użytkownika. Po usunięciu Konta adres e-mail w mechanizmie uwierzytelniania Supabase jest zachowywany przez 30 dni w trybie soft-delete, po czym jest trwale usuwany. Dane rozliczeniowe związane z Planem miesięcznym i Planem dożywotnim są przechowywane przez 5 lat od końca roku obrotowego, w którym zostały wystawione (art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości). Kopie zapasowe bazy danych są retencjonowane w cyklu rotacji standardowego planu Supabase (do 7 dni). Dane z logów technicznych (Cloudflare) są usuwane w cyklu maksymalnie 30 dni. Stan zgody na newsletter jest przechowywany do czasu jej wycofania.
6. Prawa Użytkownika
Użytkownikowi przysługują następujące prawa: dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu wobec przetwarzania opartego na art. 6 ust. 1 lit. f RODO oraz wycofania zgody w zakresie, w którym przetwarzanie odbywa się na jej podstawie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Realizacja praw odbywa się samodzielnie z poziomu panelu profilu - przyciski "Pobierz moje dane" oraz "Usuń konto" - lub przez kontakt e-mail z Administratorem (contact@mysterra.app). Administrator odpowiada w terminie 30 dni od otrzymania wniosku, z możliwością przedłużenia o kolejne 60 dni w sprawach złożonych. Niezależnie od powyższego, Użytkownikowi przysługuje prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
7. Pamięć przeglądarki i PWA
Serwis korzysta z pamięci przeglądarki w trzech celach: - przechowywanie sesji uwierzytelniającej (mechanizm Supabase, plik cookie niezbędny do utrzymania zalogowania); - zachowanie ustawień interfejsu (preferencje motywu, stan komponentów aplikacji) - localStorage; - buforowanie zasobów aplikacji w pamięci podręcznej Service Workera dla działania w trybie offline. Serwis nie używa plików cookie ani localStorage do śledzenia, profilowania, reklamy lub mierzenia zachowania w innych serwisach. Proces zakupu Planu miesięcznego lub Planu dożywotniego odbywa się na stronie operatora płatności (Stripe Checkout) - pliki cookie ustawiane przez Stripe podlegają polityce prywatności Stripe.
8. Analityka serwisu
Administrator korzysta z Cloudflare Web Analytics - narzędzia analitycznego pozbawionego plików cookie, niezbierającego identyfikatorów Użytkownika, anonimizującego adres IP po stronie sieciowej oraz nieprowadzącego śledzenia cross-site ani fingerprintingu. Agregowane statystyki ruchu nie wymagają zgody w rozumieniu art. 173 ust. 3 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne, ponieważ nie wykorzystują dostępu do informacji już zapisanych w urządzeniu Użytkownika ani nie zapisują w nim takich informacji. Jeżeli w przyszłości Administrator zdecyduje o wdrożeniu narzędzi analitycznych opartych o pliki cookie lub identyfikatory urządzeniowe, przed ich uruchomieniem na stronie pojawi się baner zgody zgodny z art. 6 ust. 1 lit. a RODO oraz art. 173 Prawa telekomunikacyjnego, a niniejsza Polityka zostanie zaktualizowana o nowego podwykonawcę i wykaz plików cookie.
9. Bezpieczeństwo
Komunikacja z Serwisem odbywa się szyfrowanym kanałem TLS. Dostęp do bazy danych zabezpieczony jest mechanizmem Row Level Security - dane jednego Użytkownika nie są dostępne dla innych Użytkowników. Operator nie przechowuje haseł - system uwierzytelniania opiera się na jednorazowych linkach magic-link, generowanych i weryfikowanych przez Supabase Auth. Kopie zapasowe bazy danych są szyfrowane w spoczynku po stronie Supabase. Ruch sieciowy jest monitorowany na poziomie Cloudflare. W razie wykrycia naruszenia ochrony danych mogącego wpłynąć na prawa lub wolności Użytkowników, Administrator zawiadamia Prezesa Urzędu Ochrony Danych Osobowych w terminie 72 godzin od stwierdzenia naruszenia oraz - jeżeli zachodzi taka potrzeba - również Użytkownika, zgodnie z art. 33 i 34 RODO.
10. Zmiany polityki
Polityka prywatności może być aktualizowana. Data ostatniej zmiany jest podana w stopce dokumentu. Istotne zmiany - w szczególności wprowadzenie nowego podwykonawcy spoza Europejskiego Obszaru Gospodarczego, nowy cel przetwarzania wymagający zgody, zmiana podstaw prawnych przetwarzania - są sygnalizowane Użytkownikowi w panelu Konta z wyprzedzeniem co najmniej 14 dni przed wejściem zmian w życie. Zmiany redakcyjne i aktualizacje danych Administratora wchodzą w życie z chwilą publikacji.