Polityka prywatności

Ostatnia aktualizacja: 26 maja 2026
Uwaga redakcyjna (do usunięcia przed publikacją): dokument zawiera placeholdery [...] wymagające uzupełnienia danymi rejestrowymi Administratora. Przed publikacją wymagany przegląd kancelarii prawnej specjalizującej się w RODO/IT.

1. Administrator danych osobowych

Administratorem danych osobowych przetwarzanych w związku z korzystaniem z aplikacji BlackWire PRO (dalej: „Aplikacja” lub „Usługa”) jest:

2. Inspektor Ochrony Danych (IOD)

[WYBIERZ JEDNĄ Z OPCJI — usunąć drugą]

Opcja A — IOD wyznaczony: Administrator wyznaczył Inspektora Ochrony Danych, z którym można się kontaktować we wszystkich sprawach dotyczących przetwarzania danych osobowych oraz korzystania z praw związanych z przetwarzaniem: [Imię i Nazwisko IOD, e-mail].

Opcja B — IOD niewyznaczony: Administrator nie wyznaczył Inspektora Ochrony Danych, ponieważ nie zachodzą przesłanki z art. 37 ust. 1 RODO. W sprawach związanych z przetwarzaniem danych osobowych prosimy o kontakt pod adresem [email protected].

3. Zakres przetwarzanych danych

W zależności od używanych funkcji aplikacji możemy przetwarzać następujące kategorie danych:

3.1. Dane konta

3.2. Dane techniczne i metadane

3.3. Treść wiadomości i połączeń

3.4. Dane subskrypcji PRO

3.5. Dane diagnostyczne (Crashlytics, jeśli włączone)

4. Cele przetwarzania i podstawy prawne

CelKategorie danychPodstawa prawna (RODO)
Świadczenie usługi (rejestracja, logowanie, komunikacja, powiadomienia) Dane konta, techniczne, metadane, tokeny push Art. 6 ust. 1 lit. b — wykonanie umowy
Realizacja subskrypcji PRO Identyfikator transakcji, status subskrypcji Art. 6 ust. 1 lit. b — wykonanie umowy
Zapewnienie bezpieczeństwa, wykrywanie nadużyć, rate-limiting Adres IP, identyfikator konta, metadane Art. 6 ust. 1 lit. f — prawnie uzasadniony interes Administratora
Wypełnienie obowiązków prawnych (rachunkowość, odpowiedzi na żądania organów) Dane konta, identyfikatory transakcji Art. 6 ust. 1 lit. c — obowiązek prawny
Diagnostyka stabilności (Crashlytics) — jeśli włączone Stack trace, identyfikator instalacji Art. 6 ust. 1 lit. a — zgoda użytkownika (możliwa do cofnięcia)
Marketing własny (jeśli zostanie wprowadzony) E-mail, identyfikator konta Art. 6 ust. 1 lit. a — zgoda + art. 10 uśude

Prawnie uzasadniony interes (art. 6 ust. 1 lit. f) obejmuje w szczególności: bezpieczeństwo usługi, ochronę przed nadużyciami (spam, phishing, próby przejęcia kont), zapewnienie integralności infrastruktury oraz ustalenie/dochodzenie roszczeń.

5. Odbiorcy danych — podmioty przetwarzające

W celu świadczenia usługi Administrator korzysta z następujących podmiotów przetwarzających dane na zlecenie Administratora (sub-procesorów), na podstawie odrębnych umów powierzenia przetwarzania (art. 28 RODO):

DostawcaFunkcjaLokalizacja przetwarzania
Google LLC / Google Ireland Ltd. Firebase Authentication, Cloud Firestore, Cloud Storage, FCM, Crashlytics, Analytics (jeśli włączone) UE + USA
Cloudflare, Inc. Cloudflare Calls (TURN + SFU dla audio/wideo) Globalnie (w tym UE i USA)
[Operator hostingu backendu, np. Railway Corp.] Hosting serwera aplikacyjnego, baza PostgreSQL [Lokalizacja datacenter]
Apple Inc. App Store (operator płatności), APNs (push notifications) USA + UE
Google LLC Google Play (operator płatności) USA + UE

Każdy sub-procesor został zobowiązany umową do stosowania środków technicznych i organizacyjnych zapewniających ochronę danych osobowych zgodnie z RODO. Aktualna lista sub-procesorów jest udostępniana na żądanie pod adresem [email protected].

6. Przekazywanie danych do państw trzecich

W związku z korzystaniem z usług Google LLC, Cloudflare, Inc. oraz Apple Inc. dane mogą być przekazywane do Stanów Zjednoczonych Ameryki. Podstawą przekazania jest:

Kopię stosowanych SCC oraz informację o certyfikacji DPF danego sub-procesora można uzyskać na żądanie pod adresem [email protected].

7. Okres przechowywania danych

Kategoria danychOkres przechowywania
Dane konta (UID, e-mail, klucze publiczne) Przez czas trwania konta + do 30 dni po usunięciu (techniczne usuwanie kaskadowe)
Zaszyfrowane wiadomości E2EE na serwerze Do dostarczenia odbiorcy (zwykle do 30 dni) lub zgodnie z ustawieniem TTL użytkownika (parametr messageTtlDays, domyślnie 90 dni)
Metadane rozmów (chatId, timestamp) Do momentu usunięcia rozmowy przez użytkownika lub usunięcia konta
Logi serwera (adresy IP, zdarzenia bezpieczeństwa) 30 dni
Dane subskrypcji PRO (transakcje) 5 lat — obowiązek z ustawy o rachunkowości
Dokumentacja zgłoszeń DSAR i naruszeń 3 lata — udokumentowanie zgodności z RODO
Raporty Crashlytics 90 dni (zgodnie z domyślnym ustawieniem Firebase)

8. Bezpieczeństwo i szyfrowanie end-to-end

Aplikacja stosuje środki techniczne adekwatne do ryzyka (art. 32 RODO), w szczególności:

Klucze prywatne nigdy nie opuszczają urządzenia użytkownika. Serwer nie ma technicznej możliwości odszyfrowania wiadomości w trybie E2EE.

9. Prawa użytkownika

Zgodnie z RODO przysługują Państwu następujące prawa:

  1. Prawo dostępu (art. 15) — uzyskanie kopii danych osobowych (funkcja „Pobierz moje dane” w aplikacji);
  2. Prawo do sprostowania (art. 16) — poprawienie nieprawidłowych danych;
  3. Prawo do usunięcia (art. 17) — „prawo do bycia zapomnianym” (funkcja „Usuń konto” w aplikacji);
  4. Prawo do ograniczenia przetwarzania (art. 18);
  5. Prawo do przenoszenia danych (art. 20) — otrzymanie danych w ustrukturyzowanym formacie (JSON, do importu w innej usłudze);
  6. Prawo sprzeciwu (art. 21) — wobec przetwarzania opartego o art. 6 ust. 1 lit. f;
  7. Prawo cofnięcia zgody (art. 7 ust. 3) — w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania sprzed cofnięcia;
  8. Prawo wniesienia skargi do organu nadzorczego:
    Prezes Urzędu Ochrony Danych Osobowych
    ul. Stawki 2, 00-193 Warszawa
    uodo.gov.pl

Aby skorzystać z praw 1–7, prosimy o kontakt pod adresem [email protected]. Odpowiadamy w terminie do 30 dni (art. 12 ust. 3 RODO; w uzasadnionych przypadkach termin może zostać przedłużony o kolejne 2 miesiące).

10. Czy podanie danych jest obowiązkowe

Podanie danych konta (UID + e-mail/telefon) jest wymogiem umownym — bez nich nie jest możliwe założenie konta i korzystanie z Usługi. Pozostałe dane (zdjęcie profilowe, nazwa wyświetlana) są dobrowolne.

11. Zautomatyzowane podejmowanie decyzji, profilowanie

Administrator nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie wpływały na użytkownika (art. 22 RODO).

12. Cookies i pamięć lokalna

Strony internetowe Administratora (/, /privacy, /terms) nie używają plików cookies do celów marketingowych ani analitycznych. Aplikacja mobilna używa bezpiecznego magazynu lokalnego (Keychain/Keystore) do przechowywania tokenu sesji i kluczy E2EE — nie są to pliki cookies w rozumieniu prawa telekomunikacyjnego (art. 173 Prawa Telekomunikacyjnego).

13. Dzieci i wiek minimalny

Usługa nie jest skierowana do osób poniżej 16. roku życia. Zgodnie z art. 8 RODO oraz polskimi przepisami wykonawczymi, użytkownik składający oświadczenie woli (akceptacja Regulaminu i Polityki) musi mieć ukończone 16 lat. W przypadku osób młodszych wymagana jest wyraźna zgoda osoby sprawującej władzę rodzicielską lub opiekę.

14. Naruszenia ochrony danych

W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator zgłasza je do Prezesa UODO nie później niż w terminie 72 godzin od stwierdzenia (art. 33 RODO), a jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób — zawiadamia również osoby, których dane dotyczą (art. 34 RODO).

15. Zmiany Polityki Prywatności

Polityka może być aktualizowana w celu odzwierciedlenia zmian w usłudze lub przepisach prawa. O istotnych zmianach informujemy z 14-dniowym wyprzedzeniem (in-app lub e-mail). Aktualna wersja jest zawsze dostępna pod adresem blackwirehq.com.pl/privacy oraz w aplikacji w sekcji „Ustawienia → O aplikacji → Regulamin i polityka prywatności”.

← Powrót na stronę główną