murawa
← Wróć

Polityka prywatności

Transparentne informacje o przetwarzaniu Twoich danych

§ 1. Administrator danych osobowych

  1. Administratorem Twoich danych osobowych jest Ariel Radziuk, zamieszkały pod adresem: ul. Perłowa 1, 83-330 Lniska (dalej: „Administrator”).
  2. W sprawach dotyczących przetwarzania danych osobowych możesz kontaktować się z Administratorem:
    • pocztą elektroniczną: support@murawa.app,
    • pocztą tradycyjną: ul. Perłowa 1, 83-330 Lniska,
    • za pomocą formularza kontaktowego dostępnego w Aplikacji.
  3. Administrator nie powołał Inspektora Ochrony Danych (IOD). Wszelkie zapytania kieruj bezpośrednio na adres podany w ust. 2.
  4. Niniejsza Polityka Prywatności opisuje zasady przetwarzania danych osobowych użytkowników aplikacji internetowej murawa (dalej: „Aplikacja”) zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO/GDPR).

§ 2. Cele i podstawy prawne przetwarzania danych

Administrator przetwarza dane osobowe użytkowników w następujących celach i na następujących podstawach prawnych:

Cel przetwarzaniaPodstawa prawnaOkres retencji
Świadczenie Usługi (wykonanie umowy) — dane konta, trawnika, aktywności, subskrypcjiart. 6 ust. 1 lit. b RODODo usunięcia konta + 14-dniowy okres karencji
Wypełnienie obowiązku prawnego — dane transakcyjne (podatki, rachunkowość)art. 6 ust. 1 lit. c RODO5 lat od końca roku, w którym dokonano transakcji
Prawnie uzasadniony interes Administratora — dane techniczne (IP, rate limiting), logi sesjiart. 6 ust. 1 lit. f RODOTTL: 10 minut (IP) / do wylogowania (sesja)
Zgoda użytkownika — powiadomienia push (VAPID endpoint)art. 6 ust. 1 lit. a RODODo odwołania zgody / wypisania się
Zgoda użytkownika — newsletter (e-mail, data zgody)art. 6 ust. 1 lit. a RODODo cofnięcia zgody lub wypisania się

2.1. Świadczenie Usługi (wykonanie umowy)

Podstawa prawna: art. 6 ust. 1 lit. b RODO — przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą.

Zakres danych:

  • dane konta: adres e-mail, skrót hasła (hash zarządzany przez Supabase Auth), imię (opcjonalnie, z konta Google przy rejestracji przez OAuth),
  • dane trawnika: lokalizacja (współrzędne geograficzne lat/lon wskazane przez użytkownika), rozmiar trawnika, rodzaj gleby, pH, typ trawy/mieszanki,
  • dane aktywności: historia wskaźnika kondycji trawnika (health score), lista zadań pielęgnacyjnych (typy, daty, priorytety), historia wykonanych zabiegów,
  • dane subskrypcji: identyfikator klienta Stripe (stripe_customer_id), status subskrypcji Premium (premium_active), daty aktywacji i wygaśnięcia subskrypcji.

2.2. Wypełnienie obowiązku prawnego

Podstawa prawna: art. 6 ust. 1 lit. c RODO — przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze.

Zakres danych: dane transakcyjne i ich identyfikatory wymagane do wywiązania się z obowiązków podatkowych i rachunkowych (np. przechowywanie dowodów zaksięgowania płatności przez Stripe).

2.3. Prawnie uzasadniony interes Administratora

Podstawa prawna: art. 6 ust. 1 lit. f RODO — przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora.

Zakres danych i uzasadnienie:

  • dane techniczne — adresy IP przechowywane w pamięci podręcznej (Upstash Redis, TTL: 10 minut) na potrzeby ochrony przed nadużyciami (rate limiting),
  • logi sesji uwierzytelniania (Supabase Auth) — w celu zapewnienia bezpieczeństwa kont użytkowników.

2.4. Zgoda użytkownika — powiadomienia push

Podstawa prawna: art. 6 ust. 1 lit. a RODO — osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

Zakres danych: identyfikator subskrypcji powiadomień push (VAPID endpoint).

Przetwarzanie następuje wyłącznie po udzieleniu zgody na powiadomienia push w przeglądarce lub systemie operacyjnym urządzenia w ramach Usługi Premium. Zgoda może być w każdej chwili cofnięta przez wyłączenie powiadomień w ustawieniach urządzenia lub w Aplikacji, co nie wpływa na dostęp do pozostałych funkcjonalności Usługi Premium.

2.5. Zgoda użytkownika — newsletter

Podstawa prawna: art. 6 ust. 1 lit. a RODO — osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

Zakres danych: adres e-mail, data i godzina wyrażenia zgody.

Przetwarzanie danych w tym celu następuje wyłącznie po dobrowolnym zapisaniu się do newslettera murawa. Zgoda może być w każdej chwili cofnięta, co pozostaje bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

§ 3. Odbiorcy danych osobowych i sub-procesorzy

W celu świadczenia Usługi Administrator korzysta z usług zaufanych dostawców zewnętrznych (sub-procesorów), którym powierza przetwarzanie danych osobowych w określonym zakresie:

Supabase (AWS eu-central-1)

Cel: Baza danych, uwierzytelnianie (Auth), przechowywanie danych konta i trawnika

Lokacja: Frankfurt, UE

Podstawa transferu: SCC/DPA

Vercel

Cel: Hosting i serwowanie aplikacji

Lokacja: Serwery brzegowe — UE i globalnie

Podstawa transferu: SCC/DPA

Stripe

Cel: Obsługa płatności subskrypcyjnych

Lokacja: USA

Podstawa transferu: SCC

Anthropic, Inc.

Cel: Generowanie spersonalizowanego planu pielęgnacji trawnika przez AI (Claude API)

Lokacja: USA

Podstawa transferu: SCC

Google LLC

Cel: Uwierzytelnianie przez konto Google (OAuth 2.0) — wyłącznie przy rejestracji/logowaniu przez Google

Lokacja: USA

Podstawa transferu: SCC

Open-Meteo

Cel: Pobieranie danych pogodowych na podstawie lokalizacji

Lokacja: UE

Dane: dane nieosobowe — wyłącznie współrzędne geograficzne

Upstash Redis

Cel: Rate limiting (tymczasowe logi IP)

Lokacja: Dublin, UE

Podstawa transferu: SCC/DPA

Resend

Cel: Wysyłka wiadomości e-mail (potwierdzenia rejestracji, reset hasła)

Lokacja: USA

Podstawa transferu: SCC

MailerLite

Cel: Wysyłka newslettera (wyłącznie za zgodą użytkownika)

Lokacja: UE

Podstawa transferu:

PostHog

Cel: Analityka produktowa — rejestrowanie zdarzeń w Aplikacji (np. kliknięcia, przejścia między ekranami, lejki konwersji) w celu poprawy Usługi

Lokacja: Frankfurt, UE (AWS eu-central-1)

Podstawa transferu: SCC/DPA

Administrator nie udostępnia danych osobowych podmiotom trzecim poza wymienionymi powyżej, chyba że obowiązek taki wynika z przepisów prawa lub prawomocnego orzeczenia sądu.

§ 4. Transfery danych do państw trzecich

  1. Dane osobowe użytkowników są przekazywane do państw trzecich (poza Europejskim Obszarem Gospodarczym — EOG) wyłącznie w zakresie niezbędnym do świadczenia Usługi. Dotyczy to następujących dostawców:
    • Stripe, Inc. (USA) — dane transakcyjne; podstawa transferu: standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską,
    • Anthropic, Inc. (USA) — dane trawnika i odpowiedzi z formularza planu pielęgnacji, przekazywane wyłącznie w celu wygenerowania odpowiedzi AI; podstawa transferu: standardowe klauzule umowne (SCC). Anthropic nie wykorzystuje danych użytkowników do trenowania modeli AI.
    • Resend (USA) — adres e-mail w celu dostarczenia wiadomości transakcyjnych; podstawa transferu: standardowe klauzule umowne (SCC),
    • Vercel, Inc. (USA) — hosting i serwowanie Aplikacji za pośrednictwem globalnej sieci serwerów brzegowych; podstawa transferu: standardowe klauzule umowne (SCC) i umowa powierzenia przetwarzania danych (DPA),
    • Google LLC (USA) — uwierzytelnianie przez konto Google (OAuth 2.0), wyłącznie przy rejestracji lub logowaniu przez Google za zgodą użytkownika; podstawa transferu: standardowe klauzule umowne (SCC),
    • Supabase, Inc. (USA) — baza danych i uwierzytelnianie; dane przechowywane wyłącznie na serwerach w regionie Frankfurt (UE), dostęp spółki matki (USA) objęty standardowymi klauzulami umownymi (SCC) i umową powierzenia przetwarzania danych (DPA),
    • Upstash, Inc. (USA) — rate limiting; dane przechowywane wyłącznie na serwerach w Dublinie (UE), dostęp spółki matki (USA) objęty standardowymi klauzulami umownymi (SCC) i umową powierzenia przetwarzania danych (DPA),
    • PostHog, Inc. (USA) — analityka produktowa; dane przechowywane wyłącznie na serwerach PostHog Cloud EU w regionie Frankfurt (UE), dostęp spółki matki (USA) objęty standardowymi klauzulami umownymi (SCC) i umową powierzenia przetwarzania danych (DPA).
  2. Administrator zawarł z dostawcami umowy powierzenia przetwarzania danych (DPA), obejmujące standardowe klauzule umowne zatwierdzone przez Komisję Europejską. W każdym przypadku Administrator dba o zapewnienie odpowiednich zabezpieczeń chroniących prawa i wolności osób, których dane dotyczą, zgodnie z wymogami rozdziału V RODO.
  3. Na żądanie użytkownika Administrator udostępnia kopię stosowanych standardowych klauzul umownych.

§ 5. Okres przechowywania danych

Kategoria danychOkres przechowywania
Dane konta (e-mail, hash hasła, imię)Do usunięcia konta przez użytkownika + 14-dniowy okres karencji
Dane trawnika i aktywnościDo usunięcia konta + 14-dniowy okres karencji; po jego upływie dane są trwale usuwane, chyba że użytkownik zażąda wcześniejszego usunięcia
Dane subskrypcji w systemie Administratora (Supabase)Do usunięcia konta + 14-dniowy okres karencji
Dane transakcyjne w systemie StripePrzez okres wymagany przepisami podatkowymi i rachunkowymi (co do zasady 5 lat od końca roku, w którym dokonano transakcji) — Stripe przechowuje dane transakcyjne niezależnie od konta w Aplikacji, zgodnie z własnymi obowiązkami regulacyjnymi (AML/PSD2)
Logi rate limitingu (IP)TTL: 10 minut (automatycznie usuwane przez Upstash Redis)
Logi sesji uwierzytelnianiaDo wylogowania lub wygaśnięcia sesji
Subskrypcje push (VAPID endpoint)Do odwołania zgody / wypisania się z powiadomień w ustawieniach urządzenia lub Aplikacji
Dane do newsletteraDo cofnięcia zgody lub wypisania się

§ 6. Prawa osób, których dane dotyczą

Na podstawie przepisów RODO przysługują Ci następujące prawa:

  1. Prawo dostępu (art. 15 RODO) — możesz uzyskać informację o tym, jakie dane Administrator przetwarza na Twój temat oraz otrzymać ich kopię. Eksport danych dostępny jest bezpośrednio w Aplikacji (format JSON lub CSV) lub na żądanie przesłane na adres support@murawa.app — w terminie 30 dni.
  2. Prawo do sprostowania (art. 16 RODO) — możesz żądać niezwłocznego sprostowania danych nieprawidłowych lub uzupełnienia danych niekompletnych.
  3. Prawo do usunięcia danych (art. 17 RODO) — możesz żądać usunięcia swoich danych, w szczególności gdy dane nie są już niezbędne do celów, w których zostały zebrane. Usunięcie konta jest możliwe bezpośrednio z poziomu Aplikacji. Po przesłaniu żądania obowiązuje 14-dniowy okres karencji, w trakcie którego możesz cofnąć decyzję o usunięciu.
  4. Prawo do ograniczenia przetwarzania (art. 18 RODO) — możesz żądać ograniczenia przetwarzania danych w przypadkach określonych w RODO (np. gdy kwestionujesz ich prawidłowość lub wniesiesz sprzeciw wobec przetwarzania).
  5. Prawo do przenoszenia danych (art. 20 RODO) — masz prawo otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (JSON lub CSV) oraz prawo do przesłania ich innemu administratorowi.
  6. Prawo do sprzeciwu (art. 21 RODO) — możesz w dowolnym momencie wnieść sprzeciw wobec przetwarzania Twoich danych na podstawie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO), w tym wobec przetwarzania na potrzeby marketingu bezpośredniego.
  7. Prawo do cofnięcia zgody — w każdej chwili możesz cofnąć zgodę na przetwarzanie danych do celów newslettera. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, które miało miejsce przed jej cofnięciem.

Żądania dotyczące realizacji powyższych praw kieruj na adres: support@murawa.app. Administrator odpowie w terminie 30 dni od dnia otrzymania żądania. W uzasadnionych przypadkach termin może zostać przedłużony o kolejne 60 dni, o czym Administrator poinformuje użytkownika.

§ 7. Prawo wniesienia skargi do organu nadzorczego

Jeżeli uważasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO, masz prawo wnieść skargę do organu nadzorczego właściwego dla miejsca Twojego zamieszkania. W Polsce organem nadzorczym jest:

Urząd Ochrony Danych Osobowych (UODO)

ul. Stawki 2, 00-193 Warszawa

e-mail: kancelaria@uodo.gov.pl

tel.: 606 950 000

www.uodo.gov.pl

§ 8. Pliki cookies i podobne technologie

8.1. Czym są pliki cookies

Pliki cookies to niewielkie pliki tekstowe zapisywane na urządzeniu użytkownika przez przeglądarkę internetową w trakcie odwiedzania strony internetowej. Aplikacja murawa korzysta z plików cookies oraz z mechanizmu localStorage przeglądarki.

8.2. Cookies niezbędne (techniczne)

Cookies i tokeny sesji niezbędne do działania Aplikacji — bez nich korzystanie z Aplikacji jest niemożliwe. Nie wymagają zgody użytkownika.

Nazwa / typCelDostawcaCzas życia
Token sesji (JWT)Utrzymanie zalogowania użytkownikaSupabase AuthDo wylogowania / wygaśnięcia sesji (domyślnie 1 h, z możliwością odświeżenia)
CSRF tokenOchrona przed atakami Cross-Site Request ForgerySupabaseSesja
Google OAuth tokenAutoryzacja przez konto Google (tylko przy rejestracji/logowaniu przez Google)Google LLCSesja

8.3. localStorage — preferencje interfejsu

Aplikacja może przechowywać w localStorage przeglądarki następujące preferencje użytkownika: ustawienia widoku kalendarza, motyw interfejsu. Dane te nie są przekazywane na serwer ani do podmiotów trzecich.

8.4. Narzędzie analityczne — PostHog

Aplikacja korzysta z narzędzia analitycznego PostHog (PostHog, Inc.) w celu analizy sposobu korzystania z Aplikacji — rejestrowania zdarzeń takich jak kliknięcia, przejścia między ekranami oraz ścieżki użytkownika (lejki konwersji). Dane te służą wyłącznie do poprawy jakości Usługi.

Podstawa prawna: art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora (analiza produktowa niewiążąca się z profilowaniem reklamowym ani udostępnianiem danych podmiotom trzecim).

Dane zbierane przez PostHog: anonimowy identyfikator sesji, zdarzenia interakcji z Aplikacją, typ urządzenia i przeglądarki, czas trwania sesji. PostHog nie zbiera imienia, adresu e-mail ani danych trawnika.

Lokalizacja danych: serwery PostHog Cloud EU w regionie Frankfurt (AWS eu-central-1) — dane pozostają w Europejskim Obszarze Gospodarczym.

Możesz wnieść sprzeciw wobec tego przetwarzania na podstawie art. 21 RODO, wysyłając wiadomość na adres support@murawa.app.

8.5. Zarządzanie cookies

Możesz kontrolować i usuwać pliki cookies za pomocą ustawień przeglądarki internetowej. Usunięcie cookies sesji spowoduje konieczność ponownego zalogowania się do Aplikacji. Szczegółowe instrukcje dotyczące zarządzania cookies w popularnych przeglądarkach dostępne są na stronach ich producentów.

§ 9. Bezpieczeństwo danych

  1. Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed nieuprawnionym dostępem, utratą lub zniszczeniem, w szczególności:
    • szyfrowanie transmisji danych przy użyciu protokołu TLS/SSL (HTTPS),
    • przechowywanie haseł wyłącznie w postaci skrótów kryptograficznych (hash) zarządzanych przez Supabase Auth — Administrator nie ma wglądu w hasła użytkowników,
    • ograniczenie dostępu do danych osobowych do podmiotów niezbędnych do świadczenia Usługi,
    • rate limiting (Upstash Redis) chroniący przed atakami brute-force i nadużywaniem API.
  2. W przypadku naruszenia ochrony danych osobowych, Administrator — zgodnie z art. 33 i 34 RODO — dokona zgłoszenia do UODO w terminie 72 godzin od powzięcia informacji o naruszeniu, a w razie potrzeby poinformuje również dotkniętych użytkowników.

§ 10. Zautomatyzowane przetwarzanie danych i sztuczna inteligencja

  1. Aplikacja korzysta z modeli AI (Claude Sonnet i Claude Haiku, Anthropic, Inc.) w celu generowania spersonalizowanych rekomendacji pielęgnacji trawnika oraz dziennych briefingów pogodowych.
  2. Rekomendacje generowane przez AI mają wyłącznie charakter doradczy i pomocniczy. Nie stanowią one zautomatyzowanych decyzji w rozumieniu art. 22 RODO, które wywoływałyby skutki prawne lub w podobny sposób istotnie wpływały na sytuację użytkownika. Ostateczną decyzję o wykonaniu jakiegokolwiek zabiegu pielęgnacyjnego podejmuje wyłącznie użytkownik.
  3. Dane przekazywane do Anthropic w celu generowania rekomendacji obejmują wyłącznie anonimowy profil trawnika (lokalizacja, gleba, typ trawy, stan) oraz odpowiedzi z formularza. Anthropic nie wykorzystuje tych danych do trenowania modeli AI.

§ 11. Zmiany Polityki Prywatności

  1. Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności, w szczególności w przypadku:
    • zmian w funkcjonalnościach Aplikacji wpływających na zakres przetwarzanych danych,
    • zmian w gronie sub-procesorów,
    • zmian w przepisach prawa dotyczących ochrony danych osobowych.
  2. O każdej zmianie Polityki Prywatności użytkownicy zostaną poinformowani poprzez komunikat w Aplikacji oraz wiadomość e-mail na adres wskazany w Koncie.
  3. Zmiany wchodzą w życie w terminie wskazanym w informacji o zmianie, nie krótszym niż 7 dni od daty powiadomienia użytkownika.

§ 12. Postanowienia końcowe

  1. Aktualna wersja Polityki Prywatności obowiązuje od dnia 10.04.2026.
  2. Polityka Prywatności podlega prawu polskiemu.
  3. W sprawach nieuregulowanych w niniejszej Polityce Prywatności zastosowanie mają przepisy RODO oraz polskiej ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Polityka Prywatności przygotowana dla aplikacji murawa (Ariel Radziuk), zgodna z RODO/GDPR.

Ostatnia aktualizacja: 10 kwietnia 2026