Polityka prywatności

Administratorem Twoich danych osobowych jest właściciel platformy Ruszaki.pl. W sprawach związanych z przetwarzaniem danych możesz skontaktować się z nami pod adresem kontakt@ruszaki.pl.

Przetwarzamy dane zgodnie z RODO (Rozporządzenie Parlamentu Europejskiego i Rady 2016/679) oraz polskim Ustawą o ochronie danych osobowych.

W zależności od sposobu korzystania z Platformy:

• Konto rodzica — imię, nazwisko, adres e-mail, hasło (przechowywane jako hash bcrypt).
• Profile dzieci — imię i data urodzenia (do dopasowania grupy wiekowej do zajęć), opcjonalne notatki.
• Profil organizatora — dane firmy (nazwa, NIP, adres) lub osoby prywatnej, dane kontaktowe, opis działalności, logo.
• Lokalizacja— przybliżona lokalizacja (miasto) podawana przy onboardingu oraz aktualne położenie GPS gdy aktywujesz funkcję „Pokaż w okolicy” (tylko w trakcie używania aplikacji).
• Treść wiadomości — komunikacja z organizatorami w ramach platformy.
• Zdjęcia — wgrywane przez Ciebie awatary i zdjęcia zajęć/wydarzeń.
• Dane techniczne — adres IP, typ urządzenia, wersja aplikacji (dla diagnostyki błędów i bezpieczeństwa).

• Świadczenie usługi — wyszukiwanie zajęć, kontakt z organizatorem, zarządzanie profilem (podstawa prawna: art. 6 ust. 1 lit. b RODO — wykonanie umowy).
• Dopasowanie ofert do dziecka — filtrowanie aktywności po wieku i lokalizacji (art. 6 ust. 1 lit. b RODO).
• Bezpieczeństwo — wykrywanie nadużyć, ochrona przed brute-force i spamem (art. 6 ust. 1 lit. f RODO — uzasadniony interes).
• Diagnostyka błędów — automatyczne raportowanie awarii aplikacji (art. 6 ust. 1 lit. f RODO).
• Wymogi prawne — wystawianie dokumentów księgowych (organizatorzy), reagowanie na żądania organów (art. 6 ust. 1 lit. c RODO).

Nie sprzedajemy Twoich danych. Korzystamy z usługodawców technicznych (procesory danych), którzy przetwarzają dane w naszym imieniu wyłącznie w zakresie niezbędnym do świadczenia usługi:

• Cloudflare R2 (EU) — przechowywanie zdjęć i plików.
• Railway (EU) — hosting backendu i bazy danych PostgreSQL.
• Vercel (EU) — hosting strony www.
• Sentry (EU) — automatyczne raportowanie błędów aplikacji (bez danych osobowych — anonimowy ID urządzenia + stack trace).
• Google Places API — autocomplete adresów obiektów (tylko zapytania tekstowe, bez powiązania z Twoim kontem).
• Resend (EU) — wysyłka maili transakcyjnych (reset hasła, powiadomienia o wniosku organizatora).
• Apple / Google— uwierzytelnianie przez „Zaloguj z Apple” / „Zaloguj z Google” (otrzymujemy tylko e-mail i imię).

Organizatorzy widzą jedynie wiadomości jakie do nich wysyłasz oraz imię i wiek dziecka jeśli wyraźnie to podasz w treści zapytania.

• Dostęp — możesz w każdej chwili pobrać kopię swoich danych (zapytanie na kontakt@ruszaki.pl).
• Sprostowanie— możesz edytować swój profil w zakładce „Profil”.
• Usunięcie konta — napisz na kontakt@ruszaki.pl, usuniemy Twoje konto i wszystkie powiązane dane w ciągu 14 dni (poza wymaganymi prawnie do zachowania — np. dane rozliczeń organizatorów).
• Sprzeciw — możesz sprzeciwić się przetwarzaniu danych w celach uzasadnionego interesu (diagnostyka, bezpieczeństwo).
• Przeniesienie — możemy wyeksportować Twoje dane w formacie JSON.
• Skarga do organu nadzorczego — Prezes Urzędu Ochrony Danych Osobowych (uodo.gov.pl).

Chronimy Twoje dane technicznie i organizacyjnie:

• Hasła przechowywane jako hash bcrypt (nigdy plaintext — nawet my nie możemy ich odczytać).
• Cała komunikacja szyfrowana HTTPS/TLS 1.2+.
• Tokeny JWT z krótkim czasem życia (1h) i httpOnly cookies / Secure Storage na urządzeniu.
• Ograniczenie liczby prób logowania (brute-force protection — 5 prób na 5 minut).
• Regularne backupy bazy danych z retencją 7 dni.

Strona ruszaki.pl używa minimalnej liczby cookies:

• Sesyjny token JWT (httpOnly) — niezbędny do logowania.
• Preferencje — zapamiętanie miasta i ustawień filtrów.

Aplikacja mobilna używa SecureStore (iOS Keychain) zamiast cookies. Nie używamy zewnętrznych narzędzi analytics (Google Analytics, Meta Pixel itp.).

Platforma jest skierowana do rodziców i opiekunów. Profile dzieci tworzone w aplikacji służą wyłącznie dopasowaniu zajęć do wieku i przechowywaniu zapisów na kursy.

Konta na platformie mogą zakładać wyłącznie osoby pełnoletnie. Dzieci nie powinny samodzielnie tworzyć kont — odpowiedzialność za podane informacje o dziecku ponosi rodzic/opiekun.

• Konto aktywne — przez cały okres korzystania z platformy.
• Konto usunięte — dane usuwane w ciągu 14 dni od żądania.
• Wiadomości — przez 24 miesiące od ostatniej aktywności w konwersacji.
• Logi techniczne — 30 dni (Sentry), 7 dni (Railway).
• Dokumenty księgowe (organizatorzy) — 5 lat zgodnie z przepisami podatkowymi.

Możemy aktualizować tę politykę. Najnowsza wersja zawsze znajduje się pod tym adresem, z datą ostatniej aktualizacji na górze strony. Istotne zmiany komunikujemy mailowo do zalogowanych użytkowników z wyprzedzeniem co najmniej 30 dni.