PRIVACY_POLICY.md

Polityka Prywatności

Ostatnia aktualizacja: 2026-04-24

// Administrator danych

Michał Wojciechowski DEV

ul. Wałowa 3a/10, 37-450 Stalowa Wola, Polska

NIP: 9452272167  ·  REGON: 525109472

Kontakt: contact@kaption.one

Nie wyznaczyliśmy odrębnego Inspektora Ochrony Danych — wszystkie sprawy dotyczące prywatności zgłaszaj bezpośrednio na powyższy adres.

// Krótko

Jak się zarejestrujesz, trzymamy Twój e-mail, imię i avatar (z Google albo Discorda). Jak kupisz plan, płatność obsługuje LemonSqueezy — my widzimy tylko to, co nam przekażą (pakiet, data ważności, ID zamówienia). Aplikacja desktopowa robi OCR z ekranu lokalnie; zrzuty i teksty dialogów nigdy nie opuszczają Twojego komputera. Nie używamy Google Analytics, nie puszczamy reklam, nic nie sprzedajemy. Jedyne ciasteczka, jakie ustawiamy, utrzymują Cię zalogowanego.

// Jakie dane przetwarzamy

Dla każdej kategorii: co · po co (podstawa prawna z art. 6 ust. 1 RODO) · gdzie siedzi.

E-mail z listy oczekujących

Adres e-mail, jeśli zapiszesz się na listę. Podstawa prawna: zgoda — art. 6 ust. 1 lit. a RODO. Przechowywany w: Supabase.

Profil OAuth (Google / Discord)

Imię, adres e-mail, URL avatara oraz identyfikator użytkownika po stronie dostawcy. Nigdy nie widzimy Twojego hasła. Podstawa prawna: wykonanie umowy — art. 6 ust. 1 lit. b RODO (konto i zarządzanie licencją). Przechowywane w: Cloudflare D1.

Dane o zakupie licencji

ID zamówienia, pakiet (30/180 dni), daty zakupu i wygaśnięcia. Dane karty obsługuje wyłącznie LemonSqueezy — my ich nie widzimy. Podstawa prawna: wykonanie umowy — art. 6 ust. 1 lit. b oraz obowiązek prawny (księgowość) — art. 6 ust. 1 lit. c RODO. Przechowywane w: Cloudflare D1 + LemonSqueezy.

Ciasteczka sesyjne

Ciasteczko HttpOnly z JWT (kaption_session) po zalogowaniu oraz pomocnicze (kaption_signed_in), żeby strona wiedziała, czy w ogóle pytać serwer, kim jesteś. Podstawa prawna: prawnie uzasadniony interes — art. 6 ust. 1 lit. f RODO (utrzymanie sesji). Przechowywane w: Twojej przeglądarce.

Rejestracja urządzeń

Do dwóch komputerów na konto: czytelna nazwa urządzenia (np. hostname) i zahashowany odcisk. Podstawa prawna: wykonanie umowy — art. 6 ust. 1 lit. b RODO (egzekwowanie limitu dwóch urządzeń). Przechowywane w: Cloudflare D1.

Zgłoszenia w formularzu opinii

Wolna treść, którą wysyłasz przez kreator pierwszego uruchomienia, oraz konto, z którego poszła. Limit 5 zgłoszeń dziennie na IP. Podstawa prawna: prawnie uzasadniony interes — art. 6 ust. 1 lit. f RODO (rozwój produktu). Przechowywane w: Cloudflare D1.

Odcisk głosującego

Losowy hash generowany u Ciebie w przeglądarce przy głosowaniu na język. Nie jest powiązany z e-mailem, IP ani kontem — służy tylko do blokowania duplikatów. Podstawa prawna: prawnie uzasadniony interes — art. 6 ust. 1 lit. f RODO. Przechowywane w: Supabase + localStorage przeglądarki.

Raporty o awariach (opt-in)

Wysyłane tylko wtedy, jeśli wyrazisz zgodę w oknie EULA przy pierwszym uruchomieniu. Zawierają stack trace, wersję systemu, wersję aplikacji i odcisk maszyny — bez plików osobistych, bez tekstów z gry, bez zrzutów ekranu. Zgodę możesz cofnąć w Ustawieniach. Podstawa prawna: zgoda — art. 6 ust. 1 lit. a RODO. Przechowywane w: GlitchTip.

// Czego NIE przetwarzamy

  • Zawartości ekranu. OCR działa lokalnie — żaden zrzut, tekst dialogu ani obraz z gry nigdzie się nie wysyła.
  • Numerów kart. Płatności idą przez LemonSqueezy od początku do końca; nasze serwery dostają tylko webhooki.
  • Żadnego Google Analytics, Facebook Pixela, Hotjara, trackerów reklamowych ani profilowania behawioralnego.
  • Loginów do Twojego konta w grze. Aplikacja nigdy nie dotyka klienta gry.

// Ciasteczka i pamięć lokalna

Ustawiamy dokładnie dwa ciasteczka, oba niezbędne do działania serwisu:

  • -- kaption_session — HttpOnly JWT utrzymujący Cię zalogowanego na podstronach. Ustawiane dopiero po logowaniu przez Google lub Discord.
  • -- kaption_signed_in — zwykłe ciasteczko-wskaźnik, żeby strona wiedziała, czy warto w ogóle dzwonić do /api/me. Oszczędza zbędnych zapytań dla odwiedzających bez konta.

Oba mieszczą się w wyjątku „ściśle niezbędnych" z art. 173 Prawa telekomunikacyjnego (oraz art. 5 ust. 3 dyrektywy e-Privacy) — ciasteczka uwierzytelniające, konieczne do świadczenia usługi, której użytkownik sam żąda, nie wymagają zgody. Dlatego nie pokazujemy baneru cookie. Po wylogowaniu albo wyczyszczeniu ciasteczek oba znikają.

Niezależnie od tego strona korzysta z localStorage przeglądarki do zapamiętania kilku ustawień między wizytami:

  • -- Czy zapisałeś się na listę oczekujących (żeby formularz pokazał potwierdzenie, a nie dopytywał drugi raz).
  • -- Wybrany język strony.
  • -- Twój głos i odcisk głosującego (blokada dubletów).
  • -- Flagi pierwszego uruchomienia (żeby banery powitalne nie wyskakiwały drugi raz) oraz — jeśli przyszedłeś z polecajki — kod, który Cię przyprowadził.

Wpisy w localStorage są pierwszostronne i nigdy nie trafiają do stron trzecich. Możesz je w każdej chwili wyczyścić w ustawieniach przeglądarki.

// Powierzenie przetwarzania danych

Poniżsi dostawcy przetwarzają dane na nasze zlecenie na podstawie umów powierzenia z art. 28 RODO. Każdy link prowadzi do ich własnej polityki prywatności.

Cloudflare

Hostuje tę stronę, Worker api.kaption.one i bazę D1 (konta, urządzenia, opinie). Może logować IP i nagłówki żądań w celu ochrony przed nadużyciami. Polityka prywatności.

Supabase

Hostuje starsze tabele: listę oczekujących i głosowanie na języki. Polityka prywatności.

LemonSqueezy

Nasz sprzedawca detaliczny (merchant of record). Obsługuje checkout, płatność kartą, podatki i faktury. Dostajemy tylko webhooki (ID zamówienia, pakiet, data ważności) — nigdy danych karty. Polityka prywatności.

Google (OAuth)

Tylko jeśli wybierzesz „Zaloguj przez Google". Zwraca imię, e-mail i URL avatara — bez hasła, kontaktów czy dostępu do Drive'a. Polityka prywatności.

Discord (OAuth)

Tylko jeśli wybierzesz „Zaloguj przez Discord". Zwraca nazwę użytkownika, e-mail i URL avatara. Polityka prywatności.

GlitchTip

Dostaje raporty o awariach wyłącznie za Twoją zgodą wyrażoną przy pierwszym uruchomieniu. Polityka prywatności.

YouTube

Na stronie głównej widać statyczną miniaturę YouTube z filmem demo. Ciasteczka YouTube lecą dopiero, jeśli klikniesz miniaturę i uruchomisz odtwarzanie. Polityka prywatności.

// Okres przechowywania

  • -- E-maile z listy oczekujących — trzymamy do momentu, aż poprosisz o usunięcie.
  • -- Dane konta i urządzeń — do momentu, aż poprosisz o usunięcie.
  • -- Dane o zakupie i dokumenty księgowe — 5 lat od końca roku podatkowego, zgodnie z art. 74 Ordynacji podatkowej.
  • -- Logi sesji — do 30 dni.
  • -- Raporty o awariach — 90 dni, potem automatyczne czyszczenie.
  • -- Zgłoszenia z formularza opinii — 12 miesięcy, chyba że dłużej potrzebujemy ich do rozwiązania zgłoszonego problemu.
  • -- Anonimowe głosy — bezterminowo (nie zawierają danych osobowych).

// Twoje prawa (RODO)

Jako osobie, której dane dotyczą, przysługują Ci następujące prawa:

  • Art. 15 Prawo dostępu do swoich danych.
  • Art. 16 Prawo do sprostowania danych nieprawidłowych.
  • Art. 17 Prawo do usunięcia danych („prawo do bycia zapomnianym").
  • Art. 18 Prawo do ograniczenia przetwarzania.
  • Art. 20 Prawo do przenoszenia danych w formacie nadającym się do odczytu maszynowego.
  • Art. 21 Prawo sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie.
  • Art. 7 ust. 3 Prawo cofnięcia zgody w dowolnej chwili (np. raportów o awariach).
  • Art. 77 Prawo wniesienia skargi do organu nadzorczego.

Żeby skorzystać z któregokolwiek z tych praw, napisz na contact@kaption.one. Odpowiadamy w ciągu 30 dni (standardowy termin z RODO).

// Przekazywanie danych poza EOG

Część naszych dostawców (Cloudflare, LemonSqueezy, GlitchTip) działa w Stanach Zjednoczonych lub globalnie. Kiedy dane wychodzą poza Europejski Obszar Gospodarczy, opieramy się na Standardowych Klauzulach Umownych Komisji Europejskiej, a tam gdzie to możliwe — dodatkowo na ramach EU–US Data Privacy Framework. W Cloudflare korzystamy z dostępnych opcji routingu regionalnego i wybieramy regiony UE wszędzie, gdzie to możliwe.

// Dzieci

Kaption nie jest kierowany do dzieci poniżej 16 roku życia. Zgodnie z art. 8 RODO użytkownicy z UE poniżej 16 lat potrzebują zgody opiekuna, gdy usługa opiera się na zgodzie jako podstawie prawnej. Jeśli uważasz, że dziecko podało nam dane bez takiej zgody — napisz, usuniemy.

// Zmiany w polityce

Jeśli zaktualizujemy politykę, przesuniemy datę u góry. Istotne zmiany oznaczymy na stronie głównej przez co najmniej dwa tygodnie — drobnych poprawek nie rozsyłamy e-mailem.

// Organ nadzorczy

Jeśli jesteś w Polsce i uważasz, że źle obchodzimy się z Twoimi danymi, możesz złożyć skargę do:

Prezes Urzędu Ochrony Danych Osobowych (PUODO)

ul. Stawki 2, 00-193 Warszawa

uodo.gov.pl

Użytkownicy z UE spoza Polski mogą zwrócić się do krajowego organu ochrony danych w swoim państwie.

Powrót do kaption.one