Polityka prywatności

// Co zbieramy

• 01
  Tożsamość OAuth. Kiedy logujesz się przez Google albo Discorda, dostajemy Twój e-mail, nazwę wyświetlaną i adres URL awatara. Twojego hasła nie widzimy. Przechowujemy: wygenerowany identyfikator konta (UUID), e-mail, nazwę, awatar, wybranego dostawcę, Twój ID u dostawcy, plan (bezpłatna beta / darmowy / płatny) oraz znaczniki czasu założenia konta i ostatniego logowania.
• 02
  Metadane aktywacji. Gdy aplikacja aktywuje się na urządzeniu, zapisujemy hash SHA-256 tzw. „miękkiego" odcisku urządzenia (model CPU, UUID płyty głównej, numer seryjny pierwszego dysku rozruchowego), edytowalną etykietę urządzenia i znaczniki czasu. Odcisk jest haszowany, zanim dotrze do serwera — surowe wartości nigdy nie opuszczają Twojego komputera.
• 03
  Zdarzenia aktywności. Aktywacja, heartbeat, pobranie i cofnięcie licencji logujemy ze znacznikiem czasu i hashem SHA-256 Twojego IP (solonym raz na dobę — hash codziennie się zmienia). Używamy tego do badania nadużyć i do pokazywania Ci listy urządzeń. Surowych adresów IP nigdzie nie zapisujemy.
• 04
  Opcjonalne raporty o awariach. Jeśli włączysz tę opcję w Ustawienia -> Diagnostyka, aplikacja wysyła stack trace wyjątków do Sentry. Przed wysyłką usuwamy ścieżki plików zawierające Twoją nazwę użytkownika. Domyślnie jest wyłączone. Możesz wycofać zgodę w każdej chwili.
• 05
  Analityka strony. Żadna. Żadnych ciasteczek poza sesyjnym, ustawianym przy logowaniu. Bez Google Analytics, Plausible, Fathom. Jedyne żądania wychodzące z kaption.one trafiają do samego Cloudflare (który obsługuje CDN i cache brzegowy).
• 06
  Źródło wejścia. Jeśli trafiasz z linka z ?src=... albo utm_source=... (np. post z naszego Discorda), zapisujemy ten slug + standardowe pola UTM w localStorage przeglądarki na 30 dni. Gdy nie ma parametru w URL-u, sprawdzamy host strony, z której trafiasz (np. facebook.com, youtube.com) i mapujemy go na ogólny slug kanału. Po rejestracji slug trafia na Twoje konto — dzięki temu liczymy rejestracje per kanał i możemy przyznać bonusy związane z danym kanałem. Dodatkowo zapisujemy jeden anonimowy „hit" na unikalną przeglądarkę × kanał × dobę (po stronie serwera z haszowanym subnetem IP, retencja 90 dni) do liczenia konwersji. Bez surowego IP, bez cross-site identyfikatorów, bez zewnętrznej analityki.

// Czego nie zbieramy

• ✗ Zrzutów ekranu, danych pikselowych ani wyników OCR. Zawartość ekranu nie opuszcza Twojego komputera.
• ✗ Plików gry, jej pamięci ani zapisów stanu rozgrywki.
• ✗ Naciśnięć klawiszy ani zdarzeń myszy.
• ✗ Śledzących ciasteczek, pikseli reklamowych ani skryptów firm trzecich na stronie.
• ✗ Surowych adresów IP (trzymamy tylko solone hashe).

// Gdzie żyją Twoje dane

Wszystko po stronie serwera działa na Cloudflare. Dane kont trzymamy w Cloudflare D1 (ich serverless SQLite), instalatory w Cloudflare R2. W obu przypadkach prosimy o lokalizację w UE. Cloudflare to nasz jedyny podmiot przetwarzający — danych nie udostępniamy stronom trzecim poza:

• -- Google i Discordem w trakcie OAuth (oni nic od nas nie dostają; my dostajemy od nich Twój publiczny profil).
• -- Sentry — tylko raporty o awariach, na które wyraziłeś zgodę, ze ścieżkami plików wyczyszczonymi.

// Jak długo je przechowujemy

• →
  Dane konta: dopóki istnieje konto. Usuniesz konto — dane znikają.
• →
  Logi pobrań: 90 dni, potem usuwane.
• →
  Logi aplikacji desktopowej: lokalnie na Twoim komputerze w %APPDATA%\Kaption\Logs przez 30 dni, potem rotowane. Nigdy nie trafiają na serwer.
• →
  Nonce'y stanu OAuth: 10 minut, potem usuwane.
• →
  Raporty o awariach: 30 dni w Sentry (nie wydłużamy domyślnego okresu).

// Twoje prawa (RODO)

Jeśli jesteś w UE albo Wielkiej Brytanii, RODO daje Ci prawo dostępu do swoich danych, ich sprostowania, usunięcia, przeniesienia i ograniczenia przetwarzania. Dashboard w aplikacji ma przyciski „Pobierz moje dane" (eksport do JSON) oraz „Usuń moje konto". Możesz też napisać z adresu, na który się zarejestrowałeś, na contact@kaption.one — zajmiemy się tym w ciągu 30 dni.

Masz też prawo wnieść skargę do lokalnego organu ochrony danych. W Polsce jest to UODO.

// Ciasteczka

Jedno ciasteczko, ustawiane dopiero po zalogowaniu. Nazwa: kaption_session. Cel: utrzymanie Twojej sesji. HttpOnly, Secure, SameSite=Lax. Wygasa po 30 dniach bez aktywności. Jego usunięcie oznacza wylogowanie. Bez ciasteczek śledzących, bez banera zgód — ciasteczko sesyjne mieści się w wyjątku „ściśle niezbędne".

// Zmiany

Jeśli zmienimy sposób zbierania albo udostępniania danych, zaktualizujemy datę u góry i opiszemy zmiany w changelogu. Przy zmianach istotnych (nowy podmiot przetwarzający, nowa kategoria danych) zawiadomimy zarejestrowanych użytkowników e-mailem, zanim wejdą w życie.

// Kontakt

Administrator danych: Kaption (jednoosobowy deweloper), Polska. E-mail: contact@kaption.one.

Nie sprzedajemy Twoich danych.