Prywatność

Polityka prywatności

Obowiązuje od: 29 maja 2026 · Ostatnia aktualizacja: 29 maja 2026

Niniejsza Polityka prywatności wyjaśnia, jak Alar Finance („Serwis”) zbiera, wykorzystuje, udostępnia i chroni Twoje dane osobowe. Dotyczy strony alarfinance.com, aplikacji webowej pod adresem app.alarfinance.com, Telegram Mini App i powiązanych aplikacji instalowalnych.

Staramy się, by tekst był czytelny. Każda sekcja odpowiada na realne pytanie. Jeśli coś jest niejasne — napisz na [email protected].

Spis treści

Kto jest administratorem
Jakie dane zbieramy
Jak je wykorzystujemy
Podstawa prawna (RODO)
Komu przekazujemy dane
Transfery międzynarodowe
Jak długo przechowujemy
Bezpieczeństwo
Twoje prawa
Dzieci
Zmiany Polityki
Kontakt

1. Kto jest administratorem

Administratorem danych w Serwisie jest Illia Vyshnevskyi, osoba fizyczna prowadząca Serwis z Krakowa, Polska („Operator”, „my”).

Kontakt we wszystkich sprawach dotyczących prywatności: [email protected]. Adres pocztowy udostępniamy na żądanie pod tym samym adresem.

Nie wyznaczyliśmy Inspektora Ochrony Danych (IOD) — nie przekraczamy progu, który tego wymaga — ale powyższy adres trafia bezpośrednio do osoby odpowiedzialnej.

2. Jakie dane zbieramy

Zbieramy wyłącznie to, co jest potrzebne do działania Serwisu. Konkretnie:

2.1 Dane konta

E-mail + hash hasła (dla kont e-mailowych). Hasło jest haszowane algorytmem PBKDF2-SHA256, nigdy nie jest przechowywane w postaci jawnej.
ID Telegrama + nazwa wyświetlana (dla użytkowników logujących się przez Telegram Login / Mini App).
Identyfikator OAuth (Google / Apple / Facebook ID), jeśli rejestrujesz się przez tych dostawców.
Nazwa wyświetlana, którą wybrałeś.
Preferencje: język, waluta, strefa czasowa, przełączniki powiadomień, motyw.
Kod weryfikacyjny e-mail (tymczasowy, ważny 15 minut).

2.2 Dane finansowe, które wprowadzasz

Transakcje: kwota, kategoria, data, konto. Opcjonalny opis tekstowy szyfrujemy w spoczynku algorytmem AES-256-GCM przy użyciu klucza, który tylko my kontrolujemy.
Konta (profile): nazwa, typ, waluta, saldo.
Budżety: limity per kategoria, okres.
Rachunki cykliczne: nazwa, kwota, dzień miesiąca.
Paragony: uporządkowane pozycje wyciągnięte ze zeskanowanego paragonu (nazwa towaru, ilość, cena jednostkowa, suma), nazwa sklepu i data. Nie przechowujemy zdjęcia paragonu ani surowego tekstu OCR — są przetwarzane w pamięci i odrzucane po zapisaniu pozycji.
Klucze API giełd kryptowalut, jeśli podłączysz konto kryptowalutowe, szyfrowane w spoczynku AES-256-GCM. Tam, gdzie giełda na to pozwala, używamy uprawnień tylko do odczytu.

2.3 Dane płatności (subskrybenci Pro)

Jeśli wykupisz Alar Finance Pro, płatność obsługuje Stripe. Nigdy nie widzimy, nie przechowujemy ani nie mamy dostępu do danych Twojej karty. Otrzymujemy jedynie ID klienta Stripe, status subskrypcji, koniec bieżącego okresu i datę końca okresu próbnego. Zobacz Politykę prywatności Stripe.

2.4 Dane techniczne

Logi dostępu serwera (adres IP, user-agent, sygnatury czasowe żądań) przechowywane przez ~30 dni do celów bezpieczeństwa i ograniczania nadużyć. Dostarczane przez Cloudflare.
Identyfikatory powiązane z urządzeniem przechowywane lokalnie u Ciebie (zobacz Polityka Cookies / Local Storage).

2.5 Wprowadzanie głosowe i skanowanie paragonów

Gdy używasz wprowadzania głosowego lub skanujesz paragon, nagranie audio lub obraz paragonu jest wysyłane do Groq (USA) w celu przetwarzania AI. Otrzymujemy wynik i zapisujemy tylko ustrukturyzowane pola opisane wyżej. Po przetworzeniu nie przechowujemy u siebie nagrania ani zdjęcia.

2.6 Czego nie zbieramy

Brak pikseli śledzących, ID reklamowych, fingerprintingu.
Brak analityki typu Google Analytics, Hotjar, Mixpanel itp.
Brak ciasteczek marketingowych. Brak retargetingu.
Brak danych lokalizacyjnych poza tymi, które IP zgrubsza ujawnia Cloudflare dla celów bezpieczeństwa.

3. Jak wykorzystujemy Twoje dane

Świadczenie Serwisu: przechowywanie i wyświetlanie Twoich transakcji, kont, budżetów; synchronizacja między urządzeniami.
Uwierzytelnianie: weryfikacja e-maila, wydawanie tokenów sesji, kontrola dostępu.
Przetwarzanie płatności: przekazywane do Stripe w celu rozliczenia subskrypcji.
Wysyłka maili transakcyjnych: kody weryfikacyjne, przypomnienia 24 h przed obciążeniem, powiadomienia krytyczne dla konta. Wysyłane przez Brevo (UE).
Wysyłka wiadomości Telegram (tylko użytkownicy Telegrama): codzienne przypomnienia, raporty miesięczne, przypomnienia o opłatach. Wysyłane przez Telegram Bot API.
Bezpieczeństwo i przeciwdziałanie nadużyciom: rate-limit logowań, wykrywanie ataków brute-force, blokowanie znanych zagrożeń.
Przetwarzanie głosu i paragonów przez AI: wyłącznie gdy aktywnie uruchomisz funkcję.

Nie używamy Twoich danych transakcyjnych do trenowania modeli AI, nie sprzedajemy ich, nie udostępniamy markom. Nie profilujemy Cię w celach reklamowych.

4. Podstawa prawna (RODO Art. 6)

Cel	Podstawa prawna
Świadczenie Serwisu	Wykonanie umowy (Art. 6 ust. 1 lit. b)
Przetwarzanie płatności za Pro	Wykonanie umowy
Maile transakcyjne / powiadomienia Telegram (można wyłączyć)	Wykonanie umowy + prawnie uzasadniony interes (Art. 6 ust. 1 lit. f)
Bezpieczeństwo, przeciwdziałanie nadużyciom, retencja logów	Prawnie uzasadniony interes
Anonimowa analityka, przyszły cashback	Zgoda (Art. 6 ust. 1 lit. a) — wyłącznie opt-in, można wycofać
Dokumentacja podatkowa (subskrybenci Pro)	Obowiązek prawny (Art. 6 ust. 1 lit. c)

5. Komu przekazujemy dane

Dane przekazujemy wyłącznie podmiotom przetwarzającym niezbędnym do działania Serwisu. Każdy jest związany umową powierzenia (DPA) lub równoważną.

Podmiot	Do czego	Gdzie
Cloudflare	Hosting, baza danych (D1), pamięć (KV), CDN, ochrona DDoS	UE + globalny edge
Stripe	Płatności subskrypcji (Pro)	Irlandia (UE) + USA
Brevo (Sendinblue)	Wysyłka maili transakcyjnych	UE (Francja)
Groq	Transkrypcja głosu i OCR paragonów (tylko na żądanie użytkownika)	USA
Telegram	Wiadomości bota, uwierzytelnianie Mini App (użytkownicy Telegrama)	Globalnie
Google / Apple / Facebook	Logowanie OAuth (tylko jeśli wybierzesz tę metodę)	USA

Nie sprzedajemy danych osobowych. Nie udostępniamy danych reklamodawcom. Nie dajemy markom dostępu do historii Twoich zakupów.

Jeśli kiedykolwiek będziemy zobligowani postanowieniem sądu lub przez organy ścigania do ujawnienia danych, wykonamy to jedynie w zakresie wymaganym prawem i, gdzie to dozwolone, powiadomimy Cię uprzednio.

6. Transfery międzynarodowe

Niektórzy z naszych dostawców (amerykańska część Stripe, Groq, Google/Apple/Facebook OAuth) przetwarzają dane w USA. Transfery te opierają się na Standardowych Klauzulach Umownych UE (SCC) oraz, gdy ma to zastosowanie, na ramach EU–US Data Privacy Framework. Stripe i główni dostawcy OAuth są certyfikowani w ramach tej ramy.

Używamy amerykańskiego dostawcy AI (Groq) do funkcji głosu i paragonów, ponieważ obecnie żaden dostawca w UE nie oferuje porównywalnej latencji i jakości w naszym przedziale cenowym. Wysyłamy tylko audio lub obraz potrzebny do tej jednej transakcji — historia transakcji nie jest udostępniana.

7. Jak długo przechowujemy dane

Podczas aktywnego konta — przechowujemy dane konta, transakcje i profil tak długo, jak korzystasz z Serwisu.
Po usunięciu konta — wszystkie dane osobowe są usuwane z aktywnej bazy natychmiast. Szyfrowane kopie zapasowe mogą przechowywać kopię do 30 dni, zanim zostaną nadpisane.
Dokumentacja podatkowa / faktur — dla subskrybentów Pro metadane faktur mogą być przechowywane do 5 lat zgodnie z polską ustawą o rachunkowości.
Zdjęcia paragonów i nagrania audio — nigdy nie są przechowywane. Odrzucane natychmiast po przetworzeniu AI.
Logi dostępu serwera — ~30 dni.
Śledzenie powiadomień przedrozliczeniowych — 60 dni, by nie wysyłać duplikatów.

8. Bezpieczeństwo

Transport: cały ruch po HTTPS (TLS 1.3). HSTS wymuszone.
Hasła: haszowane PBKDF2-SHA256 (100 000 iteracji, sól 128-bit). Nigdy nie widzimy Twojego hasła.
Wrażliwe pola w spoczynku: opisy transakcji, klucze API giełd kryptowalut i ich sekrety są szyfrowane AES-256-GCM kluczem znajdującym się wyłącznie w naszym środowisku serwerowym.
Sesje: 30-dniowe, jednorazowe tokeny przechowywane w localStorage (i ciasteczko na iOS dla ciągłości PWA).
Weryfikacja e-mail: wymagana przed dostępem do konta — żadnych anonimowych kont jednorazowych.
Rate limiting przy logowaniu, rejestracji i ponownym wysłaniu kodu.
Weryfikacja podpisów webhook dla Stripe i Telegrama.

Żaden system nie jest idealnie bezpieczny. Jeśli podejrzewasz, że Twoje konto zostało naruszone, natychmiast zmień hasło i napisz na [email protected]. Odpowiemy w ciągu 72 godzin i zgłosimy incydent organowi nadzorczemu w przypadku naruszenia wymagającego notyfikacji (RODO Art. 33).

9. Twoje prawa według RODO

Masz następujące prawa dotyczące Twoich danych osobowych:

Prawo dostępu (Art. 15) — zobaczyć, co o Tobie przechowujemy. Użyj funkcji Eksport w aplikacji dla transakcji lub napisz do supportu po resztę.
Prawo do sprostowania (Art. 16) — popraw błędne dane w aplikacji lub napisz do nas.
Prawo do usunięcia (Art. 17) — „prawo do bycia zapomnianym”. Użyj Ustawienia → Usuń konto w aplikacji lub napisz do nas. Usuwamy w ciągu 7 dni (kopie zapasowe w ciągu 30).
Prawo do ograniczenia przetwarzania (Art. 18) — poproś o wstrzymanie przetwarzania określonych danych podczas rozstrzygania sporu.
Prawo do przenoszenia danych (Art. 20) — otrzymaj dane w CSV lub Excel. Eksport w aplikacji to pokrywa.
Prawo sprzeciwu (Art. 21) — wobec przetwarzania opartego na uzasadnionym interesie.
Prawo do wycofania zgody — w każdej chwili, wyłączając odpowiednią funkcję w Ustawieniach lub pisząc do nas.
Prawo do złożenia skargi — do polskiego organu nadzorczego (UODO — Urząd Ochrony Danych Osobowych, uodo.gov.pl) lub Twojego lokalnego DPA w UE.

Aby skorzystać z dowolnego prawa, napisz na [email protected]. Odpowiadamy w ciągu jednego miesiąca (RODO Art. 12 ust. 3).

10. Dzieci

Serwis nie jest skierowany do osób poniżej 16 roku życia. Świadomie nie zbieramy danych osób poniżej 16 lat. Jeśli dowiesz się, że osoba niepełnoletnia podała nam dane, skontaktuj się z nami — usuniemy konto.

11. Zmiany Polityki

Możemy zaktualizować Politykę w miarę rozwoju Serwisu. Przy zmianach istotnych:

Zaktualizujemy datę Ostatnia aktualizacja u góry.
Powiadomimy aktywnych użytkowników e-mailem lub banerem w aplikacji przed wejściem zmiany w życie.
Poprzednie wersje udostępniamy na żądanie.

12. Kontakt

Pytania o prywatność, żądania dotyczące danych, skargi, zgłoszenia naruszeń:

[email protected]

Adres pocztowy udostępniamy na żądanie pod tym samym adresem.