Polityka prywatności.

Administratorem danych osobowych jest ClayCircuit sp. z o.o. (TODO: po rejestracji spółki — obecnie działalność indywidualna), z siedzibą w Polsce, NIP: TODO, adres kontaktowy: hello@claycircuit.eu.

W sprawach dotyczących ochrony danych możesz kontaktować się bezpośrednio z administratorem pod adresem privacy@claycircuit.eu (TODO: uruchomić skrzynkę).

Zakres zależy od sposobu korzystania z platformy:

• ›Konto użytkownika (zawodnik / administrator strzelnicy / super admin): imię i nazwisko, adres e-mail, hasło (zahaszowane, bcrypt 10–12), opcjonalnie numer telefonu, klub, numer licencji zawodniczej.
• ›Dane dotyczące zawodów: zapisy (kategoria, custom fields), wyniki (trafienia/punkty), fotografie tarcz (opcjonalnie, wykonywane przez sędziego).
• ›Dane techniczne: adres IP, nagłówek User-Agent, czas ostatniego logowania, nieudane próby logowania (mechanizm lockout).
• ›Dane komunikacyjne: historia wysłanych wiadomości e-mail i SMS (kto, do kogo, kiedy, status doręczenia).
• ›Dane audytowe: kto wykonał kluczowe akcje administracyjne (kasowanie kont, reset haseł) — na potrzeby bezpieczeństwa.

Nie zbieramy: danych o zdrowiu, przekonaniach, orientacji ani żadnych kategorii szczególnych (art. 9 RODO).

Przetwarzamy dane w poniższych celach:

• ›Świadczenie usługi platformy (rejestracja, logowanie, zapisy na zawody, prowadzenie wyników) — art. 6 ust. 1 lit. b RODO (umowa).
• ›Wysyłka transakcyjnych e-maili (potwierdzenie zapisu, zmiana hasła, weryfikacja adresu) — art. 6 ust. 1 lit. b RODO.
• ›Wysyłka SMS-ów informacyjnych o zawodach — wyłącznie po Twojej aktywnej zgodzie (smsOptIn), art. 6 ust. 1 lit. a RODO. Zgodę możesz wycofać w każdej chwili w profilu lub wysyłając STOP w odpowiedzi na SMS.
• ›Cotygodniowy digest e-mailowy — art. 6 ust. 1 lit. a RODO (zgoda). Domyślnie włączony, można wyłączyć w profilu lub jednym kliknięciem z linku w mailu (zgodny z RFC 8058 List-Unsubscribe).
• ›Zabezpieczenie platformy (rate limiting, audit log, lockout po nieudanych logowaniach) — art. 6 ust. 1 lit. f RODO (uzasadniony interes).
• ›Ewentualne płatności za udział w zawodach — art. 6 ust. 1 lit. b oraz c RODO (obowiązki księgowe).

Korzystamy z poniższych usług zewnętrznych, którym powierzamy dane w zakresie koniecznym do świadczenia usług:

Pełna lista subprocessorów dostępna na żądanie pod privacy@claycircuit.eu. Wszystkie podmioty zewnętrzne mają podpisane umowy powierzenia przetwarzania danych (DPA).

• ›Konto aktywne — do momentu jego usunięcia przez użytkownika.
• ›Konto usunięte — dane osobowe (imię, e-mail, telefon) są trwale usuwane; wyniki i rejestracje zawodów pozostają zanonimizowane ("USER_DELETED") dla integralności historii zawodów.
• ›Tokeny bezpieczeństwa (reset hasła, weryfikacja e-maila, magic link) — automatyczny cleanup po 7 dniach (cron codziennie 04:15 UTC).
• ›Dane audytowe — 2 lata od utworzenia.
• ›Logi e-maili/SMS — 12 miesięcy (status doręczenia).
• ›Dane księgowe (w razie płatności) — 5 lat zgodnie z przepisami podatkowymi.

Wszystkie dane są przechowywane w Unii Europejskiej (centrum danych w Niemczech, Frankfurt nad Menem). Dane nie opuszczają obszaru EOG, z wyjątkiem metadanych technicznych wysyłki e-maili/SMS (Resend, Twilio), gdzie stosujemy Standardowe Klauzule Umowne zgodne z decyzją Komisji Europejskiej 2021/914.

Codzienne backupy, retention 30 dni. Baza szyfrowana at-rest (AES-256), hasła hashowane bcryptem.

Masz prawo do:

• ›Dostępu do swoich danych (art. 15 RODO) — pobrania pełnej kopii.
• ›Sprostowania danych nieprawdziwych lub niepełnych (art. 16).
• ›Usunięcia danych ("prawo do bycia zapomnianym", art. 17) — wystarczy usunięcie konta z poziomu profilu lub e-mail do nas.
• ›Ograniczenia przetwarzania (art. 18).
• ›Przeniesienia danych (art. 20) — eksport JSON na żądanie.
• ›Sprzeciwu wobec przetwarzania (art. 21).
• ›Wycofania zgody w dowolnej chwili — bez wpływu na legalność przetwarzania przed jej wycofaniem.
• ›Skargi do organu nadzorczego (UODO, ul. Stawki 2, 00-193 Warszawa).

Żeby skorzystać — napisz na privacy@claycircuit.eu. Odpowiadamy w ciągu 30 dni (zwykle szybciej).

Używamy tylko niezbędnych technicznie cookies:

• ›authjs.session-token — token sesji zalogowanego użytkownika (NextAuth v5). Wymagane do logowania.
• ›__Host-authjs.csrf-token — ochrona przed CSRF.
• ›Brak cookies marketingowych, reklamowych ani analitycznych (na moment pisania tego dokumentu).

Jeżeli w przyszłości wprowadzimy cookies analityczne (np. Plausible, matomo), poprzedzimy to baner consent oraz aktualizacją tej polityki.

Politykę możemy aktualizować w związku ze zmianami w platformie lub prawie. O istotnych zmianach poinformujemy mailem lub banerem w aplikacji. Wersja i data obowiązywania zawsze widnieją u góry tego dokumentu.

Pytania dotyczące danych osobowych: privacy@claycircuit.eu

Pytania ogólne: hello@claycircuit.eu

TODO(legal): uzupełnić dane spółki (NIP, KRS, adres) po rejestracji działalności.