Polityka Prywatności Aplikacji
Status: Marzec 2026
Ważne Zawiadomienie – Tłumaczenie
Ten tekst jest tłumaczeniem maszynowym dostarczonym dla Twojej wygody. Nie jest prawnie wiążący.
Prawnie wiążące wersje tej Polityki Prywatności są dostępne pod adresem:
Niemiecki – dla użytkowników, których język aplikacji jest ustawiony na niemiecki: alma-app.eu/datenschutz
Angielski – dla wszystkich innych użytkowników: alma-app.eu/privacy
Jeśli cokolwiek w tym tłumaczeniu różni się od wersji niemieckiej lub angielskiej, obowiązuje odpowiednia wiążąca wersja. Jeśli nie masz pewności, która wersja dotyczy Ciebie, obowiązuje wersja angielska.
Kluczowe Fakty w Pigułce
Kim jestem: Bastian Matzen / Alma Softwareentwicklung (Jednoosobowa Działalność Gospodarcza), Kienitzer Str. 113, 12049 Berlin, Niemcy. Kontakt: privacy@alma-app.eu | www.alma-app.eu
Twoje dane u mnie:
✅ Bezpiecznie: Zaszyfrowana pamięć masowa wyłącznie w UE (Frankfurt nad Menem).
✅ Prywatnie: Bez transferu danych do stron trzecich (z wyjątkiem Twoich kontaktów w sytuacjach nadzwyczajnych w przypadku nadzwyczajności).
✅ Dobrowolnie: Dane o zdrowiu i wiele innych szczegółów są całkowicie opcjonalne.
✅ Kontrolowane: Możesz przeglądać, edytować lub usuwać wszystko w dowolnym momencie.
✅ Przezroczyście: Brak ukrytego użytku danych, brak sprzedaży Twoich danych.
Twoje prawa: Dostęp, sprostowanie, usunięcie, przenośność danych, sprzeciw, cofnięcie zgody – wszystko możliwe w każdej chwili.
Skargi można złożyć do: Berlińskiego Inspektora Ochrony Danych i Wolności Informacji (datenschutz-berlin.de). Użytkownicy w EOG mogą również skontaktować się z organem nadzoru w swoim kraju zwykłego pobytu. Użytkownicy w Wielkiej Brytanii mogą skontaktować się z Biurem Komisarza ds. Informacji (ico.org.uk). Użytkownicy w Szwajcarii mogą skontaktować się z Federalnym Komisarzem ds. Ochrony Danych i Informacji (FDPIC).
1. Administrator i Kontakt
Jestem administratorem danych odpowiedzialnym za przetwarzanie danych w kontekście aplikacji Alma, w znaczeniu Ogólnego Rozporządzenia o Ochronie Danych (RODO), Rozporządzenia Wielkiej Brytanii o Ochronie Danych (UK RODO), Szwajcarskiej Federalnej Ustawy o Ochronie Danych (FADP/DSG) i innych mających zastosowanie ustaw o ochronie danych:
Bastian Matzen Alma Softwareentwicklung (Jednoosobowa Działalność Gospodarcza) Kienitzer Str. 113 12049 Berlin Niemcy
Opcje Kontaktu W sprawach prywatności (preferowane): privacy@alma-app.eu
W sprawie wsparcia technicznego: support@alma-app.eu
Strona internetowa: www.alma-app.eu
1a. Przedstawiciel w Wielkiej Brytanii
Zgodnie z Artykułem 27 Rozporządzenia UK RODO wyznaczyliśmy następującego przedstawiciela w Wielkiej Brytanii w sprawach ochrony danych:
Aron Harris Flat 7 324 Lewisham High Street SE13 6JZ London United Kingdom
Email: privacy@alma-app.eu
2. Przegląd Aplikacji i Jej Funkcji
Alma to aplikacja bezpieczeństwa osobistego i komunikacji z dwiema głównymi funkcjami:
2.1 Alma Safety Net (Tylko z subskrypcją Connect+)
Automatyczne kontrole bezpieczeństwa w określonych oknach czasowych.
Automatyczne powiadomienie Twoich kontaktów w sytuacjach nadzwyczajnych w przypadku pominięcia sprawdzenia.
Opcjonalne przesyłanie informacji o lokalizacji i zdrowiu w sytuacji nadzwyczajnej.
2.2 Alma Moments (Bezpłatnie)
Sieć społeczna do dzielenia się chwilami z do 30 kontaktami.
Automatyczny post w kanale społecznym, jeśli weryfikacja zostanie pominięta (jeśli włączone).
Wymagane jest wzajemne potwierdzenie przyjaźni.
2.3 Wiek Minimalny
Korzystanie z aplikacji Alma jest dozwolone dla osób w wieku 16 lat i starszych. Osoby poniżej 16 roku życia nie mogą korzystać z aplikacji. Rejestrując się, potwierdzasz, że masz co najmniej 16 lat.
3. Jakie dane są przetwarzane?
3.1 Dane Obowiązkowe Przy Rejestracji
Do korzystania z aplikacji potrzebuję następujących danych (Podstawa prawna: Art. 6(1)(b) RODO – Wykonanie umowy):
Adres e-mail – do tworzenia konta, komunikacji i resetowania hasła.
Hasło – przechowywane w postaci zaszyfrowanej i używane do zabezpieczenia konta.
Imię – do personalizacji i wyświetlania kontaktom.
Nazwisko – do pełnej identyfikacji.
3.2 Opcjonalne Dane Profilu
Możesz dobrowolnie podać następujące dane (Podstawa prawna: Art. 6(1)(a) RODO – Zgoda):
Zdjęcie profilowe – do personalizacji i funkcji społecznych.
Data urodzenia – do weryfikacji wieku.
Numer telefonu – jako alternatywna metoda kontaktu.
Adres – dla informacji w sytuacjach nadzwyczajnych.
Biografia – dla funkcji społecznych.
Miasto – dla funkcji społecznych i wyszukiwania.
3.3 Dane o Zdrowiu (Tylko Connect+, Całkowicie Opcjonalne)
Te specjalne kategorie danych zgodnie z Art. 9 RODO są przetwarzane tylko za Twoją wyraźną zgodą.
Zebrane dane: Grupa krwi, alergie, leki, warunki medyczne, zwierzęta domowe, informacje o kluczu domu, inne informacje w sytuacjach nadzwyczajnych.
Podstawa prawna: Art. 9(2)(a) RODO (Wyraźna zgoda).
Bezpieczeństwo: Te dane są przechowywane za pomocą szyfrowania AES-256 i przesyłane wyłącznie do Twoich potwierdzonych kontaktów w sytuacjach nadzwyczajnych w przypadku nadzwyczajności.
3.4 Dane Lokalizacji (Opcjonalnie)
Śledzenie lokalizacji jest całkowicie opcjonalne i może funkcjonować w trzech trybach (Podstawa prawna: Art. 6(1)(a) RODO – Zgoda):
Zapisz przy Sprawdzeniu – Lokalizacja jest przechwytywana ręcznie tylko przy sprawdzeniu.
Zawsze Wysyłaj – Lokalizacja jest aktualizowana w tle. Technicznie zapisywana jest tylko ostatnia znana lokalizacja; poprzednia zostaje nadpisana.
Wyłączone – Żadna lokalizacja nie jest przechwytywana ani udostępniana.
Uwaga: Dane o lokalizacji są automatycznie usuwane po 30 dniach braku aktywności.
3.5 Dane Weryfikacji
Podczas weryfikacji przechwytywane są następujące dane:
Czas weryfikacji – do monitorowania bezpieczeństwa (Przechowywanie: 90 dni dla Connect+).
Informacje urządzenia – do analizy błędów (Przechowywanie: 90 dni).
Ostatnia znana lokalizacja – do powiadomień w sytuacjach nadzwyczajnych (Przechowywanie: maks. 30 dni, nadpisane).
3.6 Dane Społeczne (Alma Moments)
Przy korzystaniu z funkcji społecznych przetwarzane są następujące dane: Posty (tekst, obrazy, wideo), komentarze, polubienia, połączenia i emotikony nastroju.
Podstawa prawna: Art. 6(1)(b) RODO (Wykonanie umowy w celu świadczenia usług społecznych) i Art. 6(1)(a) RODO (za dobrowolną zawartość).
3.7 Dane Techniczne
Następujące dane techniczne są przetwarzane do obsługi aplikacji:
Typ urządzenia i OS – do optymalizacji aplikacji i analizy błędów (Podstawa prawna: Art. 6(1)(f) RODO).
Wersja aplikacji – do wsparcia i aktualizacji (Podstawa prawna: Art. 6(1)(f) RODO).
Token FCM – dla powiadomień push (Podstawa prawna: Art. 6(1)(b) RODO).
Strefa czasowa – dla prawidłowego czasu weryfikacji (Podstawa prawna: Art. 6(1)(b) RODO).
Dzienniki serwera – dla bezpieczeństwa infrastruktury i obrony przed atakami (Podstawa prawna: Art. 6(1)(f) RODO).
3.8 Komunikacja Marketingowa (Opcjonalnie)
Tylko jeśli wyraziłeś zgodę podczas rejestracji lub później w ustawieniach zaznaczając pole, będę przetwarzać Twój adres e-mail i imię do wysyłania porad, wiadomości aplikacji i aktualizacji (Newsletter).
Podstawa prawna: Art. 6(1)(a) RODO (Zgoda).
Rezygnacja: Możesz zrezygnować w dowolnym momencie za pośrednictwem linku rezygnacji w każdym e-mailu lub w ustawieniach powiadomień aplikacji. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania na podstawie zgody przed jej cofnięciem.
4. Cele Przetwarzania Danych
Przetwarzam Twoje dane do następujących celów:
Wykonanie Umowy (Art. 6(1)(b) RODO): Dostarczanie aplikacji, weryfikacje, powiadomienia, zarządzanie subskrypcją.
Zgoda (Art. 6(1)(a) RODO): Dane o zdrowiu, udostępnianie lokalizacji, opcjonalne informacje profilu, marketing.
Uzasadnione Interesy (Art. 6(1)(f) RODO): Zapobieganie oszustwom, bezpieczeństwo techniczne, rozwiązywanie problemów.
Obowiązki Prawne (Art. 6(1)(c) RODO): Obowiązki przechowywania, wnioski organów.
Uwaga na Temat Zautomatyzowanego Podejmowania Decyzji: Nie ma zautomatyzowanego podejmowania decyzji ani profilowania w rozumieniu Art. 22 RODO, które powoduje skutki prawne wobec Ciebie. Wyzwalanie alarmów opiera się wyłącznie na oknach czasowych i regułach (logika If-Then) zdefiniowanych osobiście przez Ciebie.
5. Odbiorcy Danych i Przetwarzający
5.1 Dostawcy Usług
Pracuję z następującymi dostawcami usług do obsługi aplikacji:
Google Firebase (Google Ireland Ltd.) – do hostingu, bazy danych i autentykacji. Lokalizacja: Frankfurt nad Menem (europe-west3). Gwarancja ochrony danych: EU-US Data Privacy Framework (DPF), Google Cloud DPA.
RevenueCat – do zarządzania subskrypcją (przetwarzane dane: status subskrypcji, czas zakupu, pseudonimowy identyfikator użytkownika aplikacji, metadane transakcji). Lokalizacja: USA (AWS). Gwarancja ochrony danych: EU Standard Contractual Clauses (SCCs), DPA. Dla transferów z Wielkiej Brytanii: UK International Data Transfer Agreement (IDTA) lub UK Addendum do EU SCCs. Dla transferów ze Szwajcarii: zgodność z wymogami FADP/DSG.
Mailgun (Sinch) – do dostarczania e-maili. Lokalizacja: UE. Gwarancja ochrony danych: DPA, zgodne z RODO.
Algolia – do wyszukiwania użytkowników. Lokalizacja: UE. Gwarancja ochrony danych: DPA, zgodne z RODO.
5.2 Warunkowy Transfer Danych (Kanały Powiadomień)
Transfer do tych usług odbywa się tylko, jeśli Twój kontakt w sytuacjach nadzwyczajnych wyraźnie wybierze te kanały:
Meta (WhatsApp Cloud API) – tylko jeśli WhatsApp zostanie wybrany przez kontakt. Meta jest certyfikowana pod EU-US Data Privacy Framework. Dla transferów z Wielkiej Brytanii dodatkowo stosuje się UK Extension do EU-US DPF.
Telegram – Telegram jest używany tylko, jeśli Twój kontakt w sytuacjach nadzwyczajnych aktywnie wybiera ten kanał. W tym przypadku Twój kontakt wyraża zgodę na przetwarzanie danych przez Telegram (potencjalnie na serwerach poza UE).
5.3 Brak Transferu Danych do Stron Trzecich
Twoje dane nie są sprzedawane.
Brak transferu w celach reklamy osób trzecich.
Brak transferu do pośredników danych.
Wyjątek: Twoje kontakty w sytuacjach nadzwyczajnych otrzymują informacje, które ujawniłeś w sytuacji nadzwyczajnej.
6. Magazynowanie i Usuwanie Danych
6.1 Lokalizacja Magazynu
Wszystkie dane są przechowywane głównie w Unii Europejskiej (Frankfurt nad Menem, region Google Cloud europe-west3).
6.2 Czas Przechowywania i Automatyczne Usuwanie
Historia Weryfikacji: Automatycznie usuwana po 90 dniach.
Dane Lokalizacji: Automatycznie usuwane po 30 dniach braku aktywności (lub stale nadpisywane).
Dzienniki Serwera: Automatycznie usuwane po 90 dniach (do analizy błędów/obrony przed atakami).
Linki Zaproszenia: Automatycznie usuwane po 7 dniach.
Dane o Zdrowiu: Usunięcie po 12 miesiącach braku aktywności.
Dane Konta: Usunięcie po 24 miesiącach braku aktywności.
Przypomnienia Przed Usunięciem Braku Aktywności:
Po 12 miesiącach bez logowania: Automatyczne usunięcie danych o zdrowiu; wysłana wiadomość e-mail z przypomnieniem.
Po 13 miesiącach bez odpowiedzi: Dalsze przypomnienie.
Po 23 miesiącach braku aktywności: Ostateczna wiadomość e-mail z ostrzeżeniem.
Po 24 miesiącach bez odpowiedzi: Pełne usunięcie konta.
Wyjątek dla Aktywnych Subskrypcji: Dopóki aktywna jest płatna subskrypcja Connect+, nie występuje automatyczne usuwanie braku aktywności.
Dane Fakturowania: Dane fakturowania (imię i nazwisko, adres, informacje o transakcji) są przechowywane przez 10 lat zgodnie z wymogami przechowywania podatku (§ 147 AO). Dane te są przechowywane oddzielnie od danych użytkownika.
Usunięte konta są trwale i bezpowrotnie usuwane po okresie zawarcia mocy 30 dni.
Ważne: Po żądaniu usunięcia konta użytkowanie natychmiast się kończy. Od tego momentu żadne przypomnienia weryfikacji, alarmy ani inne powiadomienia nie będą wyzwalane – ani dla Ciebie, ani dla Twoich kontaktów w sytuacjach nadzwyczajnych. Ponadto Twój profil w Alma Moments nie będzie już widoczny. Ostateczne fizyczne usunięcie wszystkich danych następuje po okresie zawarcia mocy 30 dni.
7. Bezpieczeństwo Danych
Stosuję nowoczesne standardy bezpieczeństwa:
Szyfrowanie: TLS 1.2+ do transmisji danych (Transit) i przechowywania na serwerach szyfrowanych AES-256 (At Rest) dla danych wrażliwych.
Kontrola Dostępu: Firebase Security Rules, ścisła autentykacja.
Bezpieczeństwo Aplikacji: Firebase App Check, opcjonalna ochrona biometryczna (Connect+), oddzielna blokada ustawień.
8. Twoje Prawa
Masz następujące prawa w dowolnym momencie (zgodnie z Art. 15-21 RODO):
Dostęp i Eksport Danych: W aplikacji w Ustawienia → Prywatność.
Sprostowanie: Możesz sam edytować wszystkie dane profilu i zdrowia w aplikacji.
Usunięcie: Możesz usunąć poszczególne dane lub całe konto bezpośrednio w aplikacji.
Ograniczenie Przetwarzania (Art. 18 RODO): Możesz zażądać ograniczenia przetwarzania, na przykład jeśli kwestionujesz dokładność swoich danych lub przetwarzanie jest niezgodne z prawem.
Cofnięcie Zgody: Możesz cofnąć zgodę (np. lokalizacja, dane o zdrowiu, marketing) w dowolnym momencie w ustawieniach. Cofnięcie nie wpływa na zgodność z prawem przetwarzania przeprowadzonego przed cofnięciem.
Prawo do Sprzeciwu (Art. 21 RODO): Jeśli przetwarzanie danych opiera się na uzasadnionych interesach (Art. 6(1)(f) RODO), masz prawo do sprzeciwu w dowolnym momencie z powodów wynikających z Twojej szczególnej sytuacji.
Prawo do Złożenia Skargi: Możesz skontaktować się z właściwym organem nadzoru ochrony danych. Dla użytkowników w Niemczech jest to Berlińskie Biuro Inspektora Ochrony Danych i Wolności Informacji (datenschutz-berlin.de). Użytkownicy w Europejskim Obszarze Gospodarczym (EOG) mogą skontaktować się z organem nadzoru w swoim kraju zwykłego pobytu, miejsca pracy lub miejsca domniemanego naruszenia. Lista organów nadzoru jest dostępna na edpb.europa.eu. Użytkownicy w Wielkiej Brytanii mogą skontaktować się z Biurem Komisarza ds. Informacji (ICO): ico.org.uk. Użytkownicy w Szwajcarii mogą skontaktować się z Federalnym Komisarzem ds. Ochrony Danych i Informacji (FDPIC): edoeb.admin.ch.
9. Specjalne Sytuacje Przetwarzania
9.1 Powiadomienie o Nadzwyczajności (Tylko Connect+)
W przypadku pominięcia weryfikacji Twoje kontakty w sytuacjach nadzwyczajnych zostaną powiadomione. Przesłane będą tylko dane, które zapisałeś w swoim profilu i autoryzowałeś do ujawnienia (np. lokalizacja, informacje o zdrowiu). Podstawa prawna:
Art. 6(1)(b) RODO (Wykonanie Umowy)
Art. 9(2)(a) RODO (Wyraźna Zgoda na Dane o Zdrowiu)
Dodatkowo Art. 9(2)(c) RODO (Ochrona Żywotnych Interesów), aby zapewnić fizyczną integralność w sytuacji nadzwyczajnej.
9.2 Zaproszenie Kontaktów w Sytuacjach Nadzwyczajnych
Aby chronić prywatność osób trzecich, nie wprowadzasz informacji kontaktowych innych osób bezpośrednio do aplikacji.
Tworzenie Linku: Generujesz osobisty link zaproszenia w aplikacji.
Wysyłanie: Wysyłasz ten link zaufanej osobie za pośrednictwem wybranego kanału (np. WhatsApp, E-mail).
Rejestracja: Zaufana osoba otwiera link i niezależnie wprowadza swoje dane kontaktowe i żądany kanał powiadomienia. Dopóki link nie jest używany, żadne dane Twoich kontaktów nie są przechowywane. Nieużywane linki wygasają po 7 dniach.
9.3 Ty jako Kontakt w Sytuacjach Nadzwyczajnych
Jeśli zaakceptujesz zaproszenie, zgadzasz się, że Twoje podane dane kontaktowe (Imię i Nazwisko, E-mail/Telefon/Handle) będą przechowywane w celach powiadomienia w sytuacjach nadzwyczajnych. Możesz zrezygnować w dowolnym momencie za pośrednictwem linku rezygnacji w wiadomościach.
9.4 Konfiguracja Zdalna (Connect+)
Możesz tymczasowo udzielić zaufanej osobie dostępu (za pośrednictwem wygenerowanego kodu) do skonfigurowania aplikacji dla Ciebie i zarządzania ustawieniami. Po pomyślnym połączeniu dostęp ten pozostaje do czasu jego odwołania w aplikacji. Dla Twojego bezpieczeństwa wszystkie zmiany dokonane przez zaufaną osobę są rejestrowane (Dziennik Audytu).
Podstawa prawna: Art. 6(1)(b) RODO (Wykonanie Umowy, funkcja zainicjowana przez użytkownika).
10. Autentykacja Osób Trzecich
Google Sign-In: Przesyłane dane zawierają e-mail, imię, zdjęcie profilowe. (Prywatność: policies.google.com/privacy)
Apple Sign-In: Przesyłane dane zawierają e-mail (lub adres przekaźnika) i imię. (Prywatność: apple.com/legal/privacy)
11. Powiadomienia Push
Używam powiadomień push do przypomnień weryfikacji, alarmów i interakcji społecznych.
Podstawa prawna: Art. 6(1)(b) RODO (dla funkcji umownych, takich jak alarmy) i Art. 6(1)(f) RODO (dla powiadomień społecznych).
Kontrola: Możesz zarządzać większością typów powiadomień w ustawieniach aplikacji. Krytyczne powiadomienia o bezpieczeństwie stanowią część usługi podstawowej.
12. Analiza i Rozwiązywanie Problemów
12.1 Firebase Analytics
Używam Firebase Analytics w konfiguracji minimalizującej dane, aby zapewnić stabilność aplikacji i naprawić błędy.
Środki Prywatności: Identyfikatory reklam (IDFA/AAID) nie są gromadzone. Anonimizacja IP jest włączona.
Cel: Anonimowe statystyki awarii i użycia do optymalizacji technicznej.
Podstawa prawna: Art. 6(1)(f) RODO (Uzasadniony interes w bezawaryjnej pracy i bezpieczeństwie aplikacji).
12.2 Firebase Crashlytics
W przypadku awarii aplikacji szczegóły techniczne (ślad stosu, informacje urządzenia) są wysyłane w celu naprawienia błędu. Żadne dane bezpośrednio identyfikujące nie są przechowywane w raporcie awarii.
12.3 ePrivacy i Komunikacja Elektroniczna
Dostęp do określonych funkcji urządzenia i przechowywanie informacji technicznych na urządzeniu (np. tokeny FCM) mogą podlegać krajowym ustawom wdrażającym Dyrektywę ePrivacy (2002/58/EC). W Wielkiej Brytanii stosuje się Przepisy dotyczące Prywatności i Komunikacji Elektronicznej z 2003 roku (PECR). W Szwajcarii stosuje się przepisy Ustawy o Telekomunikacji (TCA/FMG). Gdzie zgoda jest wymagana zgodnie z prawem stosowanym, uzyskuje się ją przed odpowiednim dostępem.
13. Zmiany w Tej Polityce Prywatności
Zastrzegam sobie prawo do zmiany tej Polityki Prywatności. W przypadku znaczących zmian będziesz powiadomiony za pośrednictwem aplikacji lub e-maila. Aktualna wersja jest zawsze dostępna w aplikacji i na stronie internetowej.
14. Międzynarodowy Transfer Danych
Pierwotne przechowywanie danych odbywa się w Unii Europejskiej (Frankfurt nad Menem). Gdy dane są przesyłane dostawcom usług poza EOG (patrz Sekcja 5), polegam na następujących gwarancjach:
EU-US Data Privacy Framework (DPF): Dla transferów do firm sedzonych w USA certyfikowanych pod DPF (np. Google, Meta).
EU Standard Contractual Clauses (SCCs): Dla transferów do firm niecertyfikowanych pod DPF (np. RevenueCat).
Dla transferów z Wielkiej Brytanii: Używam UK International Data Transfer Agreement (IDTA) lub UK Addendum do EU SCCs, a także UK Extension do EU-US DPF, gdzie ma to zastosowanie.
Dla transferów dotyczących Szwajcarii: Przestrzegam wymogów Szwajcarskiej Federalnej Ustawy o Ochronie Danych (FADP/DSG), w tym uznania decyzji o wystarczającej ochronie przez Radę Federalną i stosowania standardowych klauzul umownych, gdzie jest to wymagane.
Aby uzyskać więcej informacji o poszczególnych dostawcach usług, zobacz Sekcję 5.
15. Użytkownicy Poza UE/EOG, Wielką Brytanią i Szwajcarią
Dla użytkowników w krajach nieobjętych RODO, UK RODO lub Szwajcarskim FADP, Dostawca stosuje te same środki techniczne i organizacyjne, co dla użytkowników w zakresie RODO. Obligatoryjne przepisy dotyczące ochrony danych kraju zwykłego pobytu użytkownika pozostają niezmienione.
16. Kontakt
Bastian Matzen Alma Softwareentwicklung Kienitzer Str. 113 12049 Berlin
Email: privacy@alma-app.eu
Strona internetowa: www.alma-app.eu