1. Informacje Podstawowe

Administratorem Twoich danych osobowych jest Dawid Kostrzewa.

W sprawach związanych z ochroną danych osobowych możesz skontaktować się z nami pod adresem: kontakt@dkostrzewa.pl

Niniejsza Polityka Prywatności określa zasady przetwarzania i ochrony danych osobowych przekazanych przez Użytkowników w związku z korzystaniem z aplikacji dailybudget.pl.

2. Jakie Dane Zbieramy

Dane konta użytkownika:

• Adres email (wymagany do utworzenia konta)
• Imię i nazwisko (przetwarzane wyłącznie, jeżeli zostaną udostępnione przez dostawcę tożsamości, np. Google, w procesie logowania)
• Identyfikator użytkownika (generowany automatycznie)
• Hasło (przechowywane w formie zaszyfrowanej - hashowanej)

Dane finansowe wprowadzone przez użytkownika:

• Wydatki (kwota, data, kategoria)
• Przychody (źródło, kwota, data, opis)
• Konta i aktywa (nazwa, saldo, typ aktywa)
• Kredyty i pożyczki (nazwa, kwota, oprocentowanie, harmonogram spłat)
• Wydatki cykliczne (nazwa, kwota, częstotliwość)
• Historia wartości netto budżetu domowego
• Kategorie i podkategorie wydatków

Dane techniczne:

• Adres IP (w logach serwera)
• Typ przeglądarki i urządzenia
• Preferencje motywu (jasny/ciemny)
• Informacje o sesji logowania

Dane z obrazów (opcjonalne):

Jeśli korzystasz z funkcji skanowania paragonów, aplikacja przetwarza obrazy paragonów w celu automatycznego rozpoznania tekstu (OCR) i kategoryzacji wydatków. Obrazy są przetwarzane przez usługi zewnętrzne (Google Vision API, OpenAI) i nie są przechowywane na stałe przez Administratora po zakończeniu przetwarzania.

3. Obowiązek lub Dobrowolność Podania Danych

Podanie danych jest:

• obowiązkowe w zakresie adresu email oraz danych niezbędnych do świadczenia usługi (utworzenie i utrzymanie konta),
• dobrowolne w zakresie:
  • korzystania z funkcji OCR i analizy AI,
  • danych przekazywanych przez zewnętrznych dostawców tożsamości (np. imię i nazwisko z Google),
  • cookies analitycznych (Google Analytics).

Niepodanie danych obowiązkowych uniemożliwia utworzenie konta i korzystanie z aplikacji.

4. Cel Przetwarzania Danych

5. Usługi Zewnętrzne (Podwykonawcy)

W celu świadczenia usług korzystamy z następujących dostawców zewnętrznych, którzy mogą przetwarzać Twoje dane:

6. Pliki Cookies i Local Storage

Niezbędne pliki cookies:

• sb-* - cookies sesji Supabase (httpOnly, secure) - niezbędne do utrzymania sesji logowania
• rememberMe - preferencja "zapamiętaj mnie" (tymczasowe)

Cookies analityczne (Google Analytics):

W celach analitycznych możemy używać usługi Google Analytics. Cookies te są instalowane wyłącznie po wyrażeniu przez Ciebie zgody. Szczegóły dotyczące cookies analitycznych, celów ich używania oraz sposobu zarządzania nimi znajdziesz w Regulaminie Cookies.

Local Storage:

• theme-mode - preferencja motywu (jasny/ciemny/systemowy)
• Dane sesji Supabase (zarządzane automatycznie przez bibliotekę)

7. Twoje Prawa (GDPR)

Zgodnie z RODO, przysługują Ci następujące prawa:

• Prawo dostępu - możesz uzyskać informację, jakie dane o Tobie przetwarzamy
• Prawo do sprostowania - możesz poprawić nieprawidłowe dane
• Prawo do usunięcia ("prawo do bycia zapomnianym") - możesz żądać usunięcia wszystkich swoich danych
• Prawo do ograniczenia przetwarzania - możesz ograniczyć sposób, w jaki wykorzystujemy Twoje dane
• Prawo do przenoszenia danych - możesz otrzymać swoje dane w ustrukturyzowanym formacie
• Prawo do sprzeciwu - możesz sprzeciwić się przetwarzaniu danych w określonych celach
• Prawo do skargi - możesz złożyć skargę do organu nadzorczego (w Polsce: Prezes Urzędu Ochrony Danych Osobowych - UODO)

Aby skorzystać z powyższych praw, skontaktuj się z nami pod adresem: kontakt@dkostrzewa.pl

8. Okres Przechowywania Danych

• Dane konta - przechowywane do momentu usunięcia konta przez użytkownika
• Dane finansowe - przechowywane do momentu usunięcia konta przez użytkownika
• Kopie zapasowe - usuwane trwale w ciągu 30 dni od usunięcia konta (rotacja backupów)
• Logi serwera - przechowywane przez 90 dni

Po złożeniu żądania usunięcia konta, wszystkie Twoje dane zostaną usunięte natychmiast z głównej bazy danych. Kopie zapasowe zawierające Twoje dane zostaną usunięte w ciągu 30 dni (rotacja backupów).

9. Bezpieczeństwo Danych

Stosujemy następujące środki bezpieczeństwa w celu ochrony Twoich danych:

• Szyfrowanie HTTPS/TLS - cała komunikacja między Twoją przeglądarką a naszymi serwerami jest szyfrowana
• Hashowanie haseł - hasła są przechowywane w formie zaszyfrowanej (bcrypt/argon2)
• Bezpieczne cookies - cookies sesji są oznaczone jako httpOnly i secure
• Regularne kopie zapasowe - dane są regularnie archiwizowane w bezpiecznej lokalizacji
• Ograniczony dostęp - dostęp do danych mają tylko upoważnione osoby

10. Szyfrowanie i Struktura Danych

W celu zapewnienia wysokiego poziomu bezpieczeństwa przy jednoczesnym zachowaniu funkcjonalności analitycznych aplikacji (wykresy, sumowanie wydatków), stosujemy model selektywnego szyfrowania:

• Dane tekstowe (Szyfrowane): Wszelkie dane tekstowe, które mogą zdradzić szczegóły Twojego życia prywatnego (np. szczegółowe opisy transakcji, nazwy własne kategorii, nazwy kont, uwagi), są szyfrowane.
• Dane liczbowe i daty (Jawne): Kwoty transakcji, salda oraz daty operacji są przechowywane w bazie danych w formacie jawnym.

Dlaczego? Jest to technicznie niezbędne, aby aplikacja mogła wykonywać obliczenia (np. sumować wydatki miesięczne) oraz generować wykresy bezpośrednio na serwerze, bez konieczności pobierania całej historii Twoich transakcji na urządzenie.

Ochrona: Mimo jawnego formatu zapisu, dane te są chronione przez mechanizm blokowania dostęp do nich jakimkolwiek osobom postronnym.

10a. Dostęp Administratora i Procedury Bezpieczeństwa

Jako administrator systemu posiadam techniczny dostęp do infrastruktury bazy danych. W związku z tym, że dane liczbowe (kwoty) nie są szyfrowane, wdrożyłem ścisłe procedury ograniczenia dostępu:

• Zasada braku wglądu: Zobowiązuję się nie przeglądać, nie analizować ani nie wykorzystywać Twoich danych finansowych. Twoje finanse są dla mnie zbiorem anonimowych liczb przypisanych do identyfikatora użytkownika.
• Dostęp wyłącznie techniczny: Bezpośredni dostęp do bazy danych (w tym do tabel z transakcjami) jest wykorzystywany wyłącznie w sytuacjach awaryjnych, takich jak:
  • Krytyczne błędy uniemożliwiające działanie aplikacji
  • Przywracanie danych z kopii zapasowej na wyraźne żądanie użytkownika
  • Weryfikacja integralności struktury bazy danych
• Poufność: W przypadku konieczności technicznego wglądu w dane (np. podczas debugowania błędu zgłoszonego przez Ciebie), zobowiązuję się do zachowania pełnej poufności.

11. Transfer Danych Międzynarodowy

Niektórzy z naszych dostawców usług (Supabase, OpenAI, Vercel) mogą przechowywać dane na serwerach zlokalizowanych w Stanach Zjednoczonych. Transfer danych do USA odbywa się zgodnie z:

• EU-US Data Privacy Framework
• Standardowymi klauzulami umownymi (SCC) zatwierdzonymi przez Komisję Europejską
• Dodatkowymi środkami bezpieczeństwa określonymi przez poszczególnych dostawców

12. Dzieci

Aplikacja dailybudget.pl nie jest przeznaczona dla osób poniżej 16 roku życia. Nie zbieramy świadomie danych osobowych od dzieci. Jeśli jesteś rodzicem lub opiekunem i uważasz, że Twoje dziecko przekazało nam dane osobowe, skontaktuj się z nami, abyśmy mogli podjąć odpowiednie działania.

13. Zmiany Polityki Prywatności

Możemy okresowo aktualizować niniejszą Politykę Prywatności. O wszelkich istotnych zmianach poinformujemy Cię poprzez:

• Wyświetlenie powiadomienia w aplikacji
• Wysłanie wiadomości email na adres podany podczas rejestracji

Data ostatniej aktualizacji jest zawsze widoczna na górze tego dokumentu.

14. Kontakt

W przypadku pytań dotyczących niniejszej Polityki Prywatności lub przetwarzania Twoich danych osobowych, skontaktuj się z nami: