Polityka prywatności

Data wejścia w życie: 31 marca 2026

Niniejsza Polityka prywatności wyjaśnia, w jaki sposób Ritma („my”, „nas”, „nasz”) zbiera, wykorzystuje, przechowuje i chroni dane osobowe użytkowników korzystających z serwisu Ritma („Usługa”). Zobowiązujemy się do ochrony prywatności i do przestrzegania Ogólnego rozporządzenia o ochronie danych (RODO), dyrektywy ePrivacy oraz innych obowiązujących przepisów o ochronie danych.

1. Administrator danych

Ritma jest administratorem danych odpowiedzialnym za dane osobowe użytkowników. Kontakt: legal@ritma.org.

2. Zbierane dane osobowe

Dane konta

Adres e-mail, imię i nazwisko, adres URL awatara, preferowany język, strefa czasowa i chronotyp.

Dane uwierzytelniające

Znaczniki czasu logowań, liczba logowań, adresy IP (bieżący i ostatnie logowanie), dostawca OAuth i identyfikator użytkownika (w przypadku logowania przez Google), skrót hasła (w przypadku uwierzytelniania e-mail).

Dane o użytkowaniu

Nawyki (nazwy, opisy, harmonogramy, zapisy ukończeń), cele (tytuły, opisy, terminy, status), zadania i listy (tytuły, status ukończenia), oceny równowagi życiowej (wyniki w kategoriach, notatki, wyzwalacze) oraz dzienniki aktywności (dzienne liczniki według typu).

Dane techniczne

Logi żądań serwera obejmujące adres IP, identyfikator przeglądarki (user agent), ścieżkę żądania, status odpowiedzi oraz czas trwania żądania. Dane te są przechowywane w celach bezpieczeństwa i eksploatacji.

3. Podstawa prawna przetwarzania

Dane osobowe przetwarzane są na następujących podstawach prawnych zgodnie z art. 6 RODO:

  • Wykonanie umowy (art. 6 ust. 1 lit. b) — w celu świadczenia Usługi zgodnie z Regulaminem świadczenia usług.
  • Zgoda (art. 6 ust. 1 lit. a) — w odniesieniu do funkcji opcjonalnych, w których wyraźnie prosimy o zgodę.
  • Prawnie uzasadniony interes (art. 6 ust. 1 lit. f) — w celach bezpieczeństwa, zapobiegania nadużyciom, doskonalenia Usługi oraz prowadzenia logów operacyjnych.

4. Wykorzystanie danych

Dane osobowe są wykorzystywane w celu: świadczenia i utrzymania Usługi; uwierzytelniania tożsamości; śledzenia nawyków, celów i równowagi życiowej zgodnie z dyspozycją użytkownika; generowania spersonalizowanych informacji i trendów aktywności; wysyłania wiadomości transakcyjnych (reset hasła, powiadomienia o koncie); zapewnienia bezpieczeństwa i integralności Usługi; oraz wypełniania obowiązków prawnych.

5. Podmioty przetwarzające

Dane są udostępniane następującym zewnętrznym dostawcom usług przetwarzającym dane w naszym imieniu:

  • Google Cloud Platform (Cloud Run, Cloud SQL, Cloud Storage) — hosting, baza danych i przechowywanie plików. Przetwarzanie w regionie UE.
  • Google OAuth 2.0 — wyłącznie uwierzytelnianie. Otrzymujemy z Google adres e-mail, imię i nazwisko oraz zdjęcie profilowe przy logowaniu przez Google.
  • Google Fonts — ładowane w przeglądarce w celu wyświetlania aplikacji. Google może zbierać anonimowe dane o użytkowaniu. Szczegóły w polityce prywatności Google.

Dane osobowe nie są sprzedawane, wynajmowane ani wymieniane z podmiotami trzecimi. Dane nie są wykorzystywane do reklamy ani profilowania.

6. Okres przechowywania danych

Dane osobowe są przechowywane przez cały czas aktywności konta. Po zamknięciu konta obowiązuje 30-dniowy okres karencji, po którym dane są trwale usuwane. W przypadku żądania natychmiastowego usunięcia dane są usuwane niezwłocznie. Logi serwera zawierające adresy IP i metadane żądań są przechowywane do 90 dni w celach bezpieczeństwa i eksploatacji, następnie są automatycznie usuwane.

7. Prawa wynikające z RODO

Na podstawie RODO przysługują następujące prawa w zakresie danych osobowych:

  • Prawo dostępu (art. 15) — żądanie kopii wszystkich przechowywanych danych osobowych.
  • Prawo do sprostowania (art. 16) — poprawa nieprawidłowych danych w ustawieniach konta.
  • Prawo do usunięcia danych (art. 17) — żądanie usunięcia danych osobowych. Konto można usunąć w ustawieniach konta.
  • Prawo do przenoszenia danych (art. 20) — pobranie wszystkich danych w formacie JSON czytelnym dla maszyny w ustawieniach konta.
  • Prawo do ograniczenia przetwarzania (art. 18) — żądanie ograniczenia sposobu przetwarzania danych.
  • Prawo sprzeciwu (art. 21) — sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie.
  • Prawo do cofnięcia zgody — cofnięcie zgody w dowolnym momencie w odniesieniu do przetwarzania na podstawie zgody.

Większość tych praw można realizować bezpośrednio w ustawieniach konta. W pozostałych sprawach prosimy o kontakt pod adresem legal@ritma.org. Odpowiedź zostanie udzielona w terminie 30 dni.

8. Prywatność dzieci

Usługa nie jest skierowana do dzieci poniżej 13. roku życia. Świadomie nie zbieramy danych osobowych od dzieci poniżej 13. roku życia. Jeśli okaże się, że zebrano dane od dziecka poniżej 13. roku życia, zostaną one niezwłocznie usunięte. W przypadku przekonania, że dziecko poniżej 13. roku życia przekazało dane osobowe, prosimy o kontakt pod adresem legal@ritma.org.

9. Transfery międzynarodowe

Dane są w pierwszej kolejności przechowywane i przetwarzane na terenie Unii Europejskiej w Google Cloud Platform. W przypadku transferu poza UE (np. do usług Google) dane są chronione odpowiednimi zabezpieczeniami, takimi jak standardowe klauzule umowne (SCC) lub decyzja o odpowiednim poziomie ochrony podjęta przez Komisję Europejską.

10. Bezpieczeństwo danych

Stosowane są odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, w tym: szyfrowanie danych w trakcie transmisji (TLS/HTTPS); szyfrowanie danych w spoczynku; hasła w postaci skrótu (bcrypt z odpowiednim współczynnikiem kosztu); kontrola dostępu oparta na rolach; okresowe przeglądy bezpieczeństwa; nagłówki Content Security Policy. Żadna metoda transmisji ani przechowywania nie zapewnia stuprocentowego bezpieczeństwa, dlatego nie można zagwarantować absolutnego bezpieczeństwa.

11. Zmiany Polityki

Polityka prywatności może być okresowo aktualizowana. W przypadku istotnych zmian powiadomienie zostanie przekazane e-mailem lub w aplikacji co najmniej 30 dni przed wejściem zmian w życie. „Data wejścia w życie” podana u góry wskazuje ostatnią wersję dokumentu.

12. Organ nadzorczy

W przypadku uznania, że kwestie ochrony danych nie zostały należycie rozpatrzone, przysługuje prawo wniesienia skargi do właściwego krajowego organu nadzorczego ds. ochrony danych.

13. Kontakt

W sprawach związanych z prywatnością prosimy o kontakt pod adresem legal@ritma.org.