Polityka prywatności

ver 2.1 — 15 lutego 2026 r.

§ 1. Postanowienia ogólne

  1. Niniejsza Polityka Prywatności określa zasady przetwarzania i ochrony danych osobowych Użytkowników korzystających z platformy TossBros dostępnej pod adresem tossbros.pl (dalej jako „Platforma").
  2. Platforma TossBros to aplikacja webowa umożliwiająca kolekcjonowanie, wymianę i zarządzanie fizycznymi coinami NFC w formie cyfrowej kolekcji.
  3. Korzystanie z Platformy oznacza akceptację zasad przetwarzania danych opisanych w niniejszej Polityce Prywatności.

§ 2. Administrator danych osobowych

  1. Administratorem danych osobowych jest Sebastian Brzeszczak, prowadzący działalność gospodarczą wpisaną do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), pod adresem: ul. Warszawska 32a/33, 05-500 Piaseczno (dalej jako „Administrator").
  2. NIP: 1231404376, REGON: 380735922.
  3. Kontakt w sprawach dotyczących danych osobowych: tossbrosi@gmail.com.

§ 3. Jakie dane osobowe zbieramy

  1. Administrator zbiera i przetwarza następujące dane osobowe Użytkowników:

    DaneŹródłoObowiązkowe
    Adres e-mailLogowanie (link e-mail lub Google OAuth)Tak
    Nickname (pseudonim, 3–20 znaków)Formularz konfiguracji profiluTak
    Zdjęcie profilowe (URL)Google OAuth lub ustawione ręcznieNie
    Imię / nazwa wyświetlanaGoogle OAuth lub ustawione ręcznieNie
    Identyfikator użytkownika (UID)Nadawany automatycznie przy rejestracjiAutomatycznie
    Dane dotyczące kolekcji coinówSkanowanie NFC / przypisywanie i odepinanie coinówAutomatycznie
    Historia zdarzeń coinówPrzypisywanie, odepinanie i skanowanie coinówAutomatycznie
    Historia skanów NFCSkanowanie coinówAutomatycznie
    Adres IPUsługa uwierzytelniania (ochrona przed nadużyciami)Automatycznie

  2. Administrator nie zbiera następujących danych:

    • Haseł — logowanie odbywa się bezhasłowo (link e-mail) lub przez konto Google.
    • Danych płatniczych — Platforma nie posiada systemu płatności.
    • Danych lokalizacyjnych — Platforma nie żąda dostępu do lokalizacji urządzenia.
    • Danych analitycznych — Platforma nie korzysta z Google Analytics ani innych narzędzi śledzących.

§ 4. Cele i podstawy prawne przetwarzania danych

  1. Administrator przetwarza dane osobowe w następujących celach i na następujących podstawach prawnych:

    Cel przetwarzaniaPodstawa prawna (RODO)Kategorie danych
    Utworzenie i obsługa konta użytkownikaArt. 6 ust. 1 lit. b — wykonanie umowyE-mail, nickname, UID
    Kolekcjonowanie coinów NFCArt. 6 ust. 1 lit. b — wykonanie umowyUID, dane coinów, historia skanów
    Przypisywanie i odepinanie coinówArt. 6 ust. 1 lit. b — wykonanie umowyUID, nickname, zdjęcie właściciela
    Wyświetlanie publicznego profiluArt. 6 ust. 1 lit. f — uzasadniony interesNickname, zdjęcie, liczba coinów
    Ochrona przed nadużyciamiArt. 6 ust. 1 lit. f — uzasadniony interesAdres IP, identyfikatory sesji
    Marketing własnych produktów i usługArt. 6 ust. 1 lit. f RODO — uzasadniony interes (treść marketingowa). Wysyłka komunikatów drogą elektroniczną (e-mail, push) dodatkowo wymaga zgody Użytkownika na podstawie art. 172 ustawy — Prawo komunikacji elektronicznej (PKE)E-mail. Zgoda na kanał komunikacji może być cofnięta w każdej chwili; cofnięcie nie wpływa na zgodność z prawem wcześniejszej wysyłki
  2. Podanie danych osobowych jest dobrowolne, lecz niezbędne do korzystania z funkcji Platformy. Bez podania adresu e-mail i nickname'u nie jest możliwe utworzenie konta.
  3. Administrator nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby wobec Użytkownika skutki prawne lub w podobny sposób istotnie na niego wpływały (art. 22 RODO).

§ 5. Publiczność profilu Użytkownika

  1. Profile Użytkowników na Platformie TossBros są publicznie dostępne. Oznacza to, że następujące dane są widoczne dla wszystkich Użytkowników Platformy:
    • Nickname (pseudonim)
    • Zdjęcie profilowe (jeśli ustawione)
    • Liczba posiadanych coinów
    • Data dołączenia do Platformy
  2. Dane dotyczące coinów (aktualny właściciel, historia zdarzeń, numer seryjny) są również publicznie widoczne na stronach poszczególnych coinów.
  3. Historia zdarzeń coinów (przypisanie, odepnięcie, skanowanie) jest publicznie widoczna na stronach poszczególnych coinów.
  4. Publiczna widoczność profili jest niezbędna do prawidłowego funkcjonowania Platformy z następujących powodów:
    • Weryfikowalność unikalnych przedmiotów — każdy coin NFC istnieje w jednym egzemplarzu; publiczny profil właściciela pozwala potwierdzić autentyczność posiadania.
    • Kultura kolekcjonowania — prezentowanie kolekcji jest integralną częścią doświadczenia kolekcjonerskiego.
    • Transparentna historia przedmiotów — jawna historia zdarzeń buduje zaufanie między Użytkownikami i zapobiega oszustwom.
    Podstawą prawną jest uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO).
  5. Ze względu na charakter Platformy (publiczny rejestr kolekcjonerski) nie ma możliwości ustawienia profilu jako prywatnego. Użytkownik, który nie chce, aby jego dane były publicznie widoczne, może usunąć konto (§ 9). Pseudonim (nickname) widoczny publicznie nie musi zawierać prawdziwych danych osobowych Użytkownika.

§ 6. Odbiorcy danych osobowych

  1. Odbiorcami danych osobowych Użytkowników mogą być:

    a) Google LLC

    Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) działa jako podmiot przetwarzający (processor) na podstawie stosownych warunków przetwarzania danych. Google LLC świadczy na rzecz Administratora usługi infrastruktury chmurowej obejmujące:

    • Uwierzytelnianie użytkowników — obsługa logowania (link e-mail, konto Google). Dane: adres e-mail, adres IP, identyfikatory sesji.
    • Przechowywanie danych — baza danych użytkowników i coinów. Dane: dane profilowe, dane transakcyjne.
    • Przetwarzanie logiki biznesowej — obsługa profili, przypisywania/odepinania i skanów coinów. Dane: przetwarzane zgodnie z wykonywaną operacją.
    • Przechowywanie plików — grafiki serii i modele 3D coinów. Dane: pliki mediowe (brak danych osobowych).

    b) Inni Użytkownicy Platformy

    W zakresie publicznie widocznych danych profilu (§ 5) oraz w ramach historii zdarzeń coinów.

    c) Organy państwowe

    Podmioty uprawnione do uzyskania danych na podstawie obowiązującego prawa (np. sądy, organy ścigania) — wyłącznie na podstawie odpowiednich przepisów prawa.

    Na dzień publikacji niniejszej wersji Polityki Prywatności jedynym podmiotem przetwarzającym jest Google LLC. Lista ta może ulec zmianie; każda aktualizacja zostanie odzwierciedlona w nowej wersji dokumentu.

  2. Administrator nie udostępnia danych osobowych agencjom marketingowym, brokerom danych ani innym podmiotom trzecim w celach komercyjnych.

§ 7. Przekazywanie danych do państw trzecich

  1. Dane osobowe Użytkowników mogą być przekazywane do Stanów Zjednoczonych, ponieważ usługi chmurowe Google LLC mogą przechowywać dane na serwerach zlokalizowanych w USA.
  2. Podstawą prawną przekazywania danych jest decyzja Komisji Europejskiej z dnia 10 lipca 2023 r. stwierdzająca odpowiedni stopień ochrony w ramach EU-US Data Privacy Framework (Ramy ochrony danych UE-USA). Decyzja ta została na obecnym etapie utrzymana wyrokiem Sądu Unii Europejskiej z września 2025 r. (sprawa T-553/23). Wyrok ten może zostać zaskarżony do Trybunału Sprawiedliwości UE; w razie zmiany stanu prawnego Administrator niezwłocznie dostosuje stosowane zabezpieczenia i poinformuje Użytkowników.
  3. Google LLC jest aktywnym uczestnikiem EU-US Data Privacy Framework (status możliwy do zweryfikowania na stronie dataprivacyframework.gov) i zobowiązuje się do przestrzegania zasad ochrony danych wynikających z tego programu.
  4. Dodatkowo Google LLC stosuje Standardowe Klauzule Umowne (SCCs) zatwierdzone przez Komisję Europejską jako uzupełniający mechanizm zabezpieczający.
  5. Użytkownik ma prawo uzyskać kopię stosowanych zabezpieczeń, kontaktując się z Administratorem.

§ 8. Okres przechowywania danych

  1. Dane osobowe Użytkowników są przechowywane przez następujące okresy:

    Kategoria danychOkres przechowywania
    Dane konta (e-mail, nickname, zdjęcie)Do czasu usunięcia konta na żądanie Użytkownika
    Dane coinów i historia zdarzeńPrzez cały okres funkcjonowania Platformy (integralność kolekcji). Po usunięciu konta dane identyfikujące Użytkownika w historii są anonimizowane (np. nick → Użytkownik‑1234)
    Adresy IPDo kilku tygodni (zarządzane przez Google)
    Dane tymczasowe (localStorage)Usuwane natychmiast po zakończeniu logowania
  2. Po usunięciu konta dane osobowe Użytkownika zostaną usunięte w ciągu 30 dni, z zastrzeżeniem, że:
    • Zarezerwowany nickname pozostaje zajęty (bez powiązania z danymi osobowymi) w celu zapobiegania podszywaniu się.
    • Historia zdarzeń coinów zostaje zanonimizowana (identyfikatory użytkownika zastępowane są oznaczeniem np. Użytkownik‑1234), ale nie usunięta, ze względu na integralność kolekcji.
    • W przypadku uzasadnionego podejrzenia nadużyć lub toczącego się postępowania reklamacyjnego bądź prawnego Administrator może przedłużyć okres przechowywania danych do czasu zakończenia sprawy (art. 17 ust. 3 lit. e RODO).

§ 9. Prawa Użytkownika

  1. Użytkownikowi przysługują następujące prawa wynikające z RODO:

    • Prawo dostępu do danych (art. 15 RODO) — prawo uzyskania potwierdzenia, czy dane są przetwarzane, oraz otrzymania ich kopii.
    • Prawo do sprostowania danych (art. 16 RODO) — prawo żądania poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
    • Prawo do usunięcia danych (art. 17 RODO) — „prawo do bycia zapomnianym". Zastrzeżenie: nickname pozostaje zarezerwowany w celu zapobiegania podszywaniu się.
    • Prawo do ograniczenia przetwarzania (art. 18 RODO) — prawo żądania ograniczenia przetwarzania w określonych przypadkach.
    • Prawo do przenoszenia danych (art. 20 RODO) — prawo otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (JSON).
    • Prawo do sprzeciwu (art. 21 RODO) — prawo wniesienia sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie, w szczególności wobec marketingu.
    • Prawo do cofnięcia zgody (art. 7 ust. 3 RODO) — w zakresie przetwarzania opartego na zgodzie. Cofnięcie nie wpływa na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
  2. W celu skorzystania z powyższych praw, Użytkownik powinien skontaktować się z Administratorem drogą mailową na adres wskazany w § 2 ust. 3. Administrator udzieli odpowiedzi w terminie 30 dni od otrzymania żądania.
  3. Użytkownikowi przysługuje prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

§ 10. Przetwarzanie danych dzieci

  1. Platforma TossBros jest dostępna również dla osób niepełnoletnich.
  2. Zgodnie z art. 8 RODO oraz polską ustawą o ochronie danych osobowych:
    • Osoby poniżej 13 lat mogą korzystać z Platformy wyłącznie za zgodą i pod nadzorem rodzica lub opiekuna prawnego.
    • Osoby w wieku 13–15 lat mogą korzystać z Platformy za zgodą rodzica lub opiekuna prawnego na przetwarzanie ich danych osobowych.
    • Osoby od 16 lat mogą samodzielnie wyrazić zgodę na przetwarzanie swoich danych osobowych.
  3. Administrator podejmuje rozsądne działania w celu weryfikacji, czy zgoda rodzica lub opiekuna prawnego została udzielona lub autoryzowana, z uwzględnieniem dostępnych technologii. Obecnie weryfikacja odbywa się poprzez oświadczenie składane przy rejestracji. Administrator zastrzega sobie prawo wprowadzenia dodatkowych mechanizmów weryfikacji wieku w przyszłości.
  4. Dane osobowe dzieci nie są wykorzystywane do profilowania, targetowania reklam ani marketingu bezpośredniego.
  5. Rodzic lub opiekun prawny dziecka ma prawo w każdej chwili:
    • Uzyskać dostęp do danych osobowych dziecka.
    • Żądać ich sprostowania lub usunięcia.
    • Cofnąć udzieloną zgodę na przetwarzanie.
  6. W przypadku pytań dotyczących przetwarzania danych dzieci prosimy o kontakt na adres e-mail wskazany w § 2 ust. 3.

§ 11. Pliki cookies i localStorage

  1. Platforma TossBros nie stosuje plików cookies analitycznych, marketingowych, reklamowych ani śledzących aktywność Użytkownika. Platforma nie korzysta z pikseli śledzących (tracking pixels).
  2. Na Platformie stosowane są wyłącznie następujące mechanizmy przechowywania danych w przeglądarce:
    • Cookie preferencji interfejsu — Platforma zapisuje preferencję otwarcia/zamknięcia panelu bocznego w pliku cookie ważnym 7 dni. Jest to cookie funkcjonalne, służące zapamiętaniu ustawienia interfejsu.
    • Cookies usługi uwierzytelniania — usługa logowania może ustawiać cookies techniczne niezbędne do zarządzania sesją. Są to cookies ściśle niezbędne do działania Platformy.
    • Tymczasowy wpis localStorage — podczas logowania bezhasłowego (link e-mail) Platforma zapisuje adres e-mail w pamięci przeglądarki (localStorage). Wpis ten jest usuwany automatycznie natychmiast po zakończeniu logowania.
  3. Użytkownik może w każdej chwili usunąć dane przechowywane w przeglądarce (cookies i localStorage) za pomocą ustawień przeglądarki. Usunięcie cookies sesyjnych może wymagać ponownego zalogowania.
  4. Ze względu na brak cookies wykraczających poza cookies techniczne i funkcjonalne niezbędne do działania Platformy, wyświetlanie bannera zgody na cookies nie jest wymagane.

§ 12. Bezpieczeństwo danych

  1. Administrator stosuje następujące środki techniczne i organizacyjne w celu ochrony danych osobowych:
    • Logowanie bezhasłowe — Platforma nie przechowuje haseł użytkowników. Logowanie odbywa się za pomocą jednorazowych linków e-mail lub konta Google.
    • Kontrola dostępu — reguły bezpieczeństwa zapewniają, że Użytkownicy mają dostęp wyłącznie do danych, do których są uprawnieni.
    • Hashowanie kryptograficzne — wrażliwe dane (tokeny NFC, sekrety coinów) są hashowane przed zapisem w bazie danych.
    • Operacje transakcyjne — krytyczne operacje na danych wykonywane są atomowo, zapobiegając niespójnościom.
    • Szyfrowanie danych w spoczynku — dane przechowywane w infrastrukturze chmurowej są szyfrowane.
    • Logika po stronie serwera — wszystkie wrażliwe operacje (skanowanie coinów, przypisywanie, odepinanie, zarządzanie profilami) wykonywane są po stronie serwera, a nie bezpośrednio z przeglądarki użytkownika.

§ 13. Zmiany Polityki Prywatności

  1. Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności.
  2. O wszelkich zmianach Użytkownicy będą informowani poprzez publikację zaktualizowanej wersji Polityki Prywatności na Platformie, ze wskazaniem daty aktualizacji i numeru wersji dokumentu.
  3. Korzystanie z Platformy po opublikowaniu zmian oznacza akceptację zaktualizowanej Polityki Prywatności.

§ 14. Kontakt

  1. W sprawach związanych z ochroną danych osobowych prosimy o kontakt:
    • E-mail: tossbrosi@gmail.com
    • Adres korespondencyjny: Sebastian Brzeszczak, ul. Warszawska 32a/33, 05-500 Piaseczno
  2. Administrator dołoży starań, aby odpowiedzieć na każde zapytanie w terminie 30 dni od jego otrzymania.